Waarom het hoger onderwijs zowel IT- als cyberveerkracht moet opbouwen

Door Phil Muncaster • 17 September 2024

Als bewakers van uiterst gevoelige persoonlijke informatie en onderzoek van wereldklasse zijn de Britse instellingen voor hoger onderwijs (HE) populaire doelwitten voor cybercriminelen en natiestaten. Dat zou cyber-veerkracht helemaal bovenaan van de prioriteitenlijst voor CISO's in de industrie. Maar zoals de recente CrowdStrike-storing aantoonde, moet de HE-sector voorbereid zijn op meer dan alleen dreigingsactoren.

Cyber-veerkracht is een integraal onderdeel van bedrijfscontinuïteit, maar er zijn andere risico's voor de informatie die HE-instellingen beheren en de diensten die ze leveren die ook beheerd moeten worden. Gelukkig kan ISO 27001 ook helpen door de beschikbaarheid, vertrouwelijkheid en integriteit van informatiesystemen te beschermen in het geval van een onverwachte verstoring.

Wat is er gebeurd?

Beschreven als mogelijk de ergste IT-storing ter wereld, het CrowdStrike-incident was het gevolg van een foutieve update van de Falcon-eindpuntbeveiligingstool van het bedrijf, wat wijdverspreide problemen veroorzaakte met Microsoft Windows-computers waarop de software draaide. Hoewel minder dan 1% van de wereldwijde Windows-eindpunten werd beïnvloed, kwam dit neer op meer dan acht miljoen machines, waarvan er veel kritieke services in ziekenhuizen, luchtvaartmaatschappijen en HE-instellingen bedienden.

Think meldtDe dienstverlening aan Britse instellingen voor hoger onderwijs, waaronder de universiteiten Manchester, East Anglia, Oxford Brookes, Lancaster en Aston, werd beïnvloed door de storing. Vele anderen over de Atlantische Oceaan werden ook getroffen, met studentenportals die werden gesloten en sommigen gedwongen de zomerlessen te sluiten. Als een soortgelijk incident tijdens de schoolperiode had plaatsgevonden, was de verstoring misschien veel erger geweest.

Veerkracht opbouwen

Britse universiteiten zijn al een tijdje op hun hoede voor bedreigingsactoren. Volgens de overheid, 97% van de HE-instellingen identificeerde een inbreuk of cyberaanval in het afgelopen jaar, waarbij zes op de tien aangaven dat ze er negatief door waren beïnvloed. Een combinatie van complexe gedistribueerde netwerken en grote aantallen medewerkers en studenten die open internettoegang nodig hebben, zorgt voor een uitgebreid aanvalsoppervlak om zich te verdedigen. Ransomware, phishing, door de staat gesteunde gegevensdiefstal en info-stealing scams komen veel voor. En aanhoudende financiële druk maakt het moeilijk voor CISO's om prioriteiten te stellen waar de uitgaven op gericht moeten worden.

Toch geloven experts dat het CrowdStrike-incident een katalysator zou moeten zijn voor een bredere discussie over IT-veerkracht die verder gaat dan het voorkomen, detecteren en reageren op kwaadaardige cyberincidenten. Volgens Chris Gilmour, CTO van IT-managed services-bedrijf Axians UK, zou de planning voor dergelijke gebeurtenissen samen moeten gaan met de gebruikelijke cyberhygiëne-basisprincipes van patchen, multi-factor authenticatie (MFA) en het beperken van netwerktoegang.

"Regelmatig testen van rampenherstelplannen en noodplannen voor 'left field'-uitdagingen is essentieel om ervoor te zorgen dat ze effectief zijn in het geval van een crisis", vertelt hij aan ISMS.online. "Het is ook ongelooflijk belangrijk om een cultuur van beveiligingsbewustzijn te creëren onder personeel en studenten, die kan helpen inbreuken te voorkomen en de impact ervan te beperken."

Bharat Mistry, technisch directeur van Trend Micro UK&I, voegt toe dat bedrijfscontinuïteitsplannen voor HE betrekking moeten hebben op IT, communicatie, gegevenstoegang en onderwijs.

"Deze plannen moeten kritieke functies en systemen identificeren, duidelijke procedures schetsen voor het handhaven van essentiële operaties tijdens verstoringen, en rollen en verantwoordelijkheden definiëren voor noodhulpteams, inclusief communicatieprotocollen voor belanghebbenden", vertelt hij aan ISMS.online.

“Er moeten ook regelmatig oefeningen en simulaties worden uitgevoerd om bedrijfscontinuïteitsplannen te testen en zwakke punten te identificeren. Dit helpt ervoor te zorgen dat personeel is voorbereid om effectief te reageren tijdens echte incidenten.”

Technologie- en beveiligingsleiders in HE moeten ook rekening houden met de IT-infrastructuur die ze gebruiken. Mistry raadt cloudgebaseerde oplossingen aan om toegankelijkheid, load balancing en failover te garanderen om de beschikbaarheid van de service te behouden, evenals hybride cloudarchitecturen om het risico over meerdere omgevingen te spreiden.

"Vermijd overmatige afhankelijkheid van één leverancier of systeem. Het implementeren van redundante systemen en het diversifiëren van kritieke services kan helpen de operaties te behouden als één systeem uitvalt", voegt hij toe. "Dit omvat het gebruik van meerdere cybersecurityoplossingen van verschillende leveranciers, het onderhouden van offline back-ups van kritieke gegevens en systemen en het implementeren van redundante netwerkverbindingen en voedingen."

Zowel Gilmour als Mistry pleiten ook voor post-incident postmortems om ervoor te zorgen dat IT-teams de lessen van ernstige beveiligingsinbreuken en storingen leren. Deze kunnen helpen bij het leveren van "een grondige analyse van incidenten, het blootleggen van grondoorzaken en het markeren van gebieden voor procesverbetering" en het bevorderen van "een cultuur van verantwoording en continu leren in de hele organisatie", aldus Mistry.

ISO 27001 en verder

De vraag is: waar te beginnen? ISO 27001 en Cyber Essentials zijn bij veel IT- en beveiligingsleiders bekend als manieren om de basiscyber- en informatiebeveiliging te verbeteren. Maar terwijl de laatste zich richt op technische controles voor internetgerichte systemen om cyberrisico's te minimaliseren, biedt ISO 27001 waarschijnlijk meer dat ook kan worden gekoppeld aan bedrijfscontinuïteit/rampenherstelplanning.

Hieronder vallen onder meer de volgende kerngebieden:

Risicobeheer van leveranciers
Reactie op incidenten
Communicatie met interne en externe stakeholders/klanten
Software testen
Werknemerstraining

Door ISO 27001 als uitgangspunt te gebruiken, kunnen organisaties in het hoger onderwijs cyberveerkracht opbouwen en tegelijkertijd de basis leggen voor een uitgebreidere aanpak van bredere IT-veerkracht.

"Door deze standaarden te hanteren, kunnen universiteiten een systematische aanpak van risicomanagement, incidentrespons en gegevensbescherming opzetten. Deze frameworks bieden een uitgebreide set best practices die organisaties kunnen helpen kwetsbaarheden te identificeren en aan te pakken, hun veerkracht te vergroten en te voldoen aan wettelijke vereisten", aldus Gilmour van Axians UK.

“Door de processen en het beleid van deze normen te adopteren en te implementeren, kunnen universiteiten hun cybersecuritypositie aanzienlijk verbeteren en hun gevoelige gegevens en activiteiten beschermen.”

Mistry van Trend Micro voegt toe dat veel organisaties beginnen met Cyber Essentials en daarop voortbouwen met de “uitgebreidere” ISO 27001-norm om de beveiliging en veerkracht verder te verbeteren.

"Frameworks zoals ISO 27001 en Cyber Essentials spelen een cruciale rol bij het opbouwen van IT- en cyberveerkracht, en bieden organisaties een gestructureerd pad om hun beveiligingspraktijken te verbeteren", concludeert hij. "Door deze frameworks te benutten, kunnen organisaties systematisch hun vermogen verbeteren om cyberincidenten te voorkomen, detecteren, erop te reageren en ervan te herstellen, wat uiteindelijk hun algehele cyberveerkracht versterkt."

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster