Door het gebruik van cloud-toepassingen en het uitbesteden van ict-beheer aan externe partijen krijgen cybercriminelen meer kansen, waarschuwt SURF. Instellingen moeten alles op alles zetten om hen buiten de deur te houden.
Elk jaar brengt SURF, een ict-samenwerkingsverband van hoger onderwijs, mbo, umc’s en onderzoeksinstellingen, een ‘cyberdreigingsbeeld’ uit. De editie 2019/2020 stemt niet vrolijk: het aantal incidenten met gijzelsoftware, phishing en DDoS-aanvallen is opnieuw gestegen.
Zwakke schakel
De mens is en blijft een zwakke schakel: het openen van een fout mailtje kan enorme gevolgen hebben, bleek onlangs bij de Universiteit Maastricht. Goede voorlichting blijft dus belangrijk, maar SURF wijst ook op structurele zwaktes in het ict-beleid.
Veel instellingen besteden onderdelen van hun ondersteunende processen uit. Denk aan het beheer en onderhoud van gebouwautomatisering. Dat wordt vaak vanaf een externe locatie gedaan waar de beveiliging niet altijd even goed is.
Meer clouds
Bovendien maken instellingen steeds meer gebruik van cloudtoepassingen van een klein aantal grote, niet-Europese leveranciers. Onvoldoende beveiliging van deze externe applicaties kan volgens SURF tot veel schade leiden. Een voorbeeld hiervan is het gebruik van een externe mailer. Langs deze weg kunnen criminelen grote hoeveelheden phishingmail versturen.
SURF spreekt van “een nieuwe werkelijkheid” en roept haar leden onder meer op om goede afspraken te maken met alle externe partijen en leveranciers, en opnieuw te controleren of alle back-ups juist staan ingesteld.
De coöperatie erkent dat dit om hoge investeringen vraagt en dat er bovendien een groot tekort is aan gekwalificeerd personeel. Betere samenwerking tussen de instellingen is daarom van cruciaal belang.