De Britse universiteiten worden aangevallen: zo reageren ze op ISMS.online

De Britse universiteiten worden aangevallen: zo reageren ze

Door Phil Muncaster • 25 juni 2024

De Britse universiteiten worden van alle kanten aangevallen. Een verslag Vorig jaar bleek dat tientallen instellingen de afgelopen zes jaar minstens 122 tot 156 miljoen pond uit Chinese bronnen hadden aanvaard. Het probleem? Ongeveer een vijfde van deze donaties kwam van entiteiten die door de VS waren gesanctioneerd vanwege banden met het Chinese leger. De onthullingen benadrukken het baanbrekende onderzoek dat veel universiteiten ondernemen, en het strategische belang ervan voor bepaalde regeringen.

Altijd alert op de dreiging, MI5 onlangs geïnformeerd vice-kanseliers van 24 toonaangevende universiteiten over aanhoudende door de staat gesteunde inspanningen om intellectueel eigendom te verkrijgen. Maar het zijn niet alleen de natiestaten waartegen zij zich moeten verdedigen. Ook de dreiging van financieel gemotiveerde cybercriminelen is groot.

Moeilijk te verdedigen

De sector hoger onderwijs levert een vaak ondergewaardeerde bijdrage aan de nationale economie. Volgens de meest recente cijfersUniversiteiten en andere aanbieders van hoger onderwijs zijn jaarlijks goed voor £71 miljard aan bruto toegevoegde waarde (BVA) en £130 miljard aan algemene economische productie. Dat alleen al is een reden om het land te beschermen tegen natiestaten en cybercriminaliteitsgroepen.

“Cyber biedt een ontkenbare route om informatie te verkrijgen die anders niet voor hen beschikbaar is”, aldus de Nationaal Cyber Security Center (NCSC) zegt over door de staat gesteunde agenten. “Het wordt waarschijnlijk uitgebuit in plaats van, of in combinatie met, traditionele routes om toegang te krijgen tot onderzoek, zoals partnerschappen, ‘gedetacheerde studenten’ of directe investeringen.”

Toch worden instellingen voor hoger onderwijs geconfronteerd met meerdere uitdagingen bij hun inspanningen om de cyberweerbaarheid te verbeteren. Ten eerste hebben de meeste grote aantallen medewerkers en studenten die hun netwerken gebruiken. Dat maakt phishing een populaire methode om inloggegevens voor netwerktoegang en persoonlijk identificeerbare informatie (PII) te verkrijgen. Het helpt niet dat – hoewel 84% van de universiteiten informatiebeveiligingstrainingen voor hun personeel oplegt – slechts 5% dit verplicht stelt voor studenten.

Universiteiten moeten ook de risico's binnen een potentieel grote en complexe IT-netwerktopologie beheersen. Volgens het NCSC bevatten veel universitaire netwerken “een verzameling kleinere, particuliere netwerken, die hechte diensten leveren aan faculteiten, laboratoria en andere functies”. Dit kan het consequent handhaven van het veiligheidsbeleid een grotere uitdaging maken. Het wordt nog verergerd door potentiële risico's aan de gedistribueerde rand, inclusief thuiswerkers en studenten op afstand.

“De aard van academisch onderzoek gedijt bij samenwerking en de open uitwisseling van informatie. Dit vereist open toegang tot netwerken en bronnen, waardoor het moeilijk wordt om al te restrictieve beveiligingsmaatregelen te implementeren. Het vinden van een evenwicht tussen openheid en robuuste beveiliging is een voortdurende strijd”, vertelt Chris Gilmour, CTO van Axians UK, aan ISMS.online.

“Dit wordt alleen maar verergerd doordat studenten en personeel persoonlijke apparaten gebruiken – laptops, smartphones, waarbij universiteiten een balans moeten vinden tussen BYOD en het mogelijk maken van toegang tot belangrijke bronnen, terwijl ze toch over het algemeen een passende beveiligingshouding behouden. Deze onbeheerde apparaten kunnen, als ze niet goed zijn beveiligd, kwetsbaarheden introduceren en fungeren als potentiële toegangspunten voor cyberaanvallen.”

Ten slotte worden HO-aanbieders geconfronteerd met “systemische langdurige druk op hun financiële duurzaamheid en levensvatbaarheid”, aldus een commissie voor openbare rekeningen uit 2022 verslag. Een aanhoudend plafond voor het collegegeld en factoren op de kortere termijn, zoals stijgende energie- en leenkosten en inflatie, hebben het budgetteren uitdagender gemaakt. Dat kan een domino-effect hebben op de budgetten voor cyberbeveiliging, terwijl de schade als gevolg van inbreuken op de beveiliging wordt vergroot. Naast eventuele directe kosten moeten universiteiten ook rekening houden met de potentiële gevolgen van een ernstige reputatieschending in de ogen van aankomende studenten.

De dreiging is reëel

Wanneer staten niet kunnen krijgen wat ze willen door grote ‘altruïstische’ donaties te doen aan instellingen voor hoger onderwijs, vallen ze terug op traditionele cyberspionage. Ondertussen richten cybercriminaliteitsgroepen zich steeds vaker op de PII van personeel en studenten en stellen ze systemen bloot via ransomware. Volgens universitaire IT-partner JISCwordt ransomware gezien als de grootste cyberdreiging voor de sector, gevolgd door social engineering/phishing en niet-gepatchte kwetsbaarheden. De non-profitorganisatie beweert dat 97% van de aanbieders van hoger onderwijs cyber nu in hun risicoregister heeft opgenomen, en 87% rapporteert regelmatig over cyberrisico's aan de raad van bestuur. Maar dat betekent niet dat de uitdaging zomaar verdwijnt.

Sterker nog, het is meer uitgesproken dan ooit. Een overheid verslag uit april 2023 beweert dat 85% van de instellingen voor hoger onderwijs in de afgelopen twaalf maanden inbreuken of aanvallen heeft geïdentificeerd, vergeleken met slechts 12% van de bedrijven.

een verwoestende inbreuk op de Universiteit van Manchester in 2023 resulteerde in het compromitteren van meer dan een miljoen NHS-patiëntendossiers en was het gevolg van een phishing-aanval. In feite komen dit soort ransomware-aanvallen vaak voor, en de aanvallen worden zo getimed dat ze samenvallen met de kritieke clearingperiode – zoals velen zijn – kan een buitensporige impact hebben.

De dreiging van statelijke actoren is subtieler, maar nog steeds wijdverbreid. In februari 2021 waarschijnlijk door de staat gesteunde hackers hebben inbreuk gemaakt de afdeling Structurele Biologie van de Universiteit van Oxford, die destijds samen met AstraZeneca aan een COVID-19-vaccin werkte. Al in 2018, Iraanse hackers waren het doelwit Britse universiteiten gaan gevoelig onderzoek stelen.

Terug slaan

Gelukkig kunnen zelfs instellingen voor hoger onderwijs met weinig geld hun cyberweerbaarheid verbeteren met een aantal beproefde best practices, aldus Gilmour.

“Door prioriteit te geven aan de opleiding van personeel op het gebied van cybersecuritybewustzijn kan iedereen bedreigingen identificeren en vermijden”, betoogt hij. “Het implementeren van open source-beveiligingstools en het benutten van gratis overheidsbronnen kan een aantal veiligheidslacunes dichten. En door een cultuur van dataminimalisatie aan te moedigen en prioriteit te geven aan kritieke systemen, kunnen ze meer doen met minder.”

Tim Line, hoofd van de diensten bij Secure Schools, voegt eraan toe dat diepgaande verdediging cruciaal is. Multi-factor authenticatie, incidentresponsplanning, robuuste back-ups, eindpuntdetectie (EDR), firewalls en encryptie moeten allemaal een prioriteit zijn, vertelt hij aan ISMS.online. De inzet van dergelijke controles en operationele best practices, waaronder snelle patching, acceptabel gebruik en veilige configuratie, moeten worden uiteengezet in duidelijk beleid “dat verwachtingen schetst en regels stelt”, voegt Line eraan toe.

“Beschouw elke veilige controle als een plakje Zwitserse kaas”, legt hij uit. “Eén sneetje heeft veel gaten en kan gemakkelijk worden doorbroken. Voeg nog een stukje beveiligingscontrole toe, en dit sluit een aantal gaten in het eerste stukje af, enzovoort totdat het risico is teruggebracht tot een niveau dat als acceptabel wordt beschouwd.”

Zowel Line als Gilmour wijzen ook op de waarde van best practice beveiligingsstandaarden zoals ISO 27001 en aanbiedingen zoals het NIST Cybersecurity Framework.

“ISO 27001 biedt een gestructureerde aanpak voor informatiebeveiligingsbeheer. Door de controles te implementeren kunnen universiteiten cyberveiligheidsrisico’s identificeren en beheren, een cultuur van veiligheidsbewustzijn ontwikkelen en duidelijke processen voor incidentrespons opzetten”, zegt Gimour.

Nog meer basisinitiatieven zoals Cyber Essentials kunnen nuttig zijn bij het verminderen van risico's, voegt Line toe.

“Ze zullen het risico nooit tot nul terugbrengen – net zoals het implementeren van rookmelders, branddeuren, brandalarmen en evacuatieprocedures het risico op brand niet tot nul reduceert”, besluit hij. “Het vermindert echter aanzienlijk het risico dat de brand zich voordoet, dat de brand zich verspreidt en dat de brand een aanzienlijke impact heeft op mensen en activiteiten.”

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 20 januari 2026

Het dichten van de kloof in AI-governance met ISO 42001

Het Verenigd Koninkrijk kampt met een probleem op het gebied van AI-governance. Dit was wellicht geen probleem een paar jaar geleden, toen projecten in de meeste organisaties nog in kleine stappen werden uitgevoerd. Maar vandaag de dag...

Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster