donderdag 31 maart 2016

Ooooh het is maar een cybercrimineel

Samenvatting
Overal waar we onze ogen op richtten, daar kunnen we een digitalisering van de maatschappij opmerken. In hoge mate gedigitaliseerd leven biedt vele opties voor jan en alleman, dus ook voor kwaadwillenden. Met de jaren hebben we een toename gezien van apparaten die met elkaar en met het internet verbonden zijn. Is dit niet ook voor u van toepassing?


Studenten/leerlingen en leerkrachten/docenten communiceren met elkaar via een digitaal pedagogisch platform. Langs deze weg kunnen we diverse malen aan data, telkens vanop een ander apparaat. Met andere woorden er is praktisch geen onderscheid meer tussen het netwerk van een instelling (privaat) versus een publiek netwerk.
Verschillende soorten informatie kunnen door elkaar heen geraken aangezien we op hetzelfde moment bezig zijn met het voorbereiden van een les, terwijl we eveneens onze familiefoto’s aan het uploaden zijn. Men kan dus zeggen dat de grens hier eveneens aan het vervagen is.

Welke gevaren schuilen achter deze ‘twilight zone’?

Ik haal enkel drie dreigingen aan aangezien deze het meest benoemd worden door leerkrachten op de werkvloer.
Diegene die voor mij het verst -van -mijn -bed -show ligt is cyberspionage. Uit onderzoek blijkt deze vorm van criminaliteit nog steeds te voorkomen maar is het lastig te detecteren. Desondanks is dit heel problematisch voor het onderwijs aangezien het doel sensitieve gegevens verwerven is van de daders. Daarenboven tasten we in het donker want we weten niet wat er vervolgens met die data wel of niet verricht wordt.

Ten tweede haalt men DDoS-aanvallen (distributed denial-of-service-aanvallen) aan. Hierbij wilt men ervoor zorgen dat een computer, computernetwerk of dienst ontoegankelijk wordt voor de gebruiker. Het gebruik van cryptoware en ransomware zijn de laatste tijd populair bij de cybercriminelen, ook binnen de onderwijsinstellingen. De piekperiodes van deze aanvallen op de onderwijsnetwerken zijn het begin van het schooljaar en tijdens examenperiodes.

Ten laatste is identiteitsfraude vaak voorkomend. Dit is mogelijk doordat het onderwijs nood heeft aan goede digitale ID-documentatie van alle leerlingen en medewerkers. Het is noodzakelijk dat alle info accuraat en precies is zowel op digitaal als analoog niveau. Digitale toetsen moeten door de correcte leerling gemaakt worden, evaluaties moeten door de juiste leerkracht ingevoerd worden, enkel de geautoriseerde leerkrachten moeten rapporten kunnen wijzigen, enz. Als deze basis niet goed gelegd is kan er chaos ontstaan. Door identiteitsfraude kunnen onbevoegden resultaten wijzigen bijvoorbeeld.

Is het dan niet aan de overheden of overkoepelende entiteiten en in mindere mate aan de scholen om deze dreigingen te elimineren?

Onderzoekers geven naar mijn gevoel vooral hetgeen aan dat ik als onderdanig ervaar. Is het niet efficiënter als de overkoepelende organisatie de maatregelen neemt, aangezien alle scholen waarschijnlijk met deze dreigingen te maken zullen hebben. In een ‘whitebook’ word aangeraden dat het bestuur en de directie van een school zullen bepalen welke bescherming nodig is. Dit zou dan moeten verlopen aan de hand van een risicoanalyse, die consequent plaats vindt. Zodat men constant weet welke maatregelen uitgevoerd moeten worden. De vraag hierbij is: “Waar vinden ze de tijd en het personeel om deze risicomanagementcyclus uit te voeren?”


Misschien is het opstellen van een organisatie zoals ‘cybermonitor’ een alternatieve oplossing. Natuurlijk zou dit moeten aangepast worden naar het onderwijs.



Bronnenlijst

Algemene Inlichtingen- en Veiligheidsdienst. (2014). AIVD Jaarverslag 2014. Opgehaald van https://www.rijksoverheid.nl/documenten/jaarverslagen/ 2015/04/01/jaarverslag-aivd-2014
Cisco. (2015). 2015 Midyear Security Report. Opgeroepen op 10 5, 2015, van http://www.cisco.com/web/offers/lp/2015-midyear-security-report/index. html?keycode=000854836www.cisco.com/go/msr2015
Cybermonitor. (2015). Cybermonitor animatie. Opgeroepen op 20, 03, 2016, van youtube.com: https://www.youtube.com/watch?v=HsmhkuacrOI
Dijkstra, A. (2014, 06 14). Risico en gevaar van achterhaalde technologie. Opgeroepen op 10 2, 2015, van computable.nl: https://www.computable.nl/artikel/opinie/datacenters/5112098/4907128/risico-en-gevaar-van-achterhaalde-technologie.html
ENISA. (2014). ENISA Threat Landscape 2014 - Overview of current and emerging cyber-threats (27-01-2015 ed.). ENISA. Opgehaald van https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-landscape/enisa-threat-landscape-2014
Janes, P. (2012). People, Process, and Technologies Impact on Information Data Loss. SANS Institute.
Klijnsma, Y. (2015). The state of Ransomware. Opgehaald van Fox IT: http://blog.fox-it.com/
Mandiant. (2015). Mandiant M-Trends: A View from the Front Lines. Opgehaald van https://www2.fireeye.com/WEB-2015-MNDT-RPT-M-Trends-2015_LP.html
NCSC. (2015). Cybersecuritybeeld Nederland. NCSC.
NSA. (sd). Opgeroepen op 10 16, 2015, van https://www.nsa.gov/ia/_files/support/defenseindepth.pdf
OWASP Top Ten Privacy Risks Project. (2014). Open Web Application Security Project. Opgeroepen op 11 9, 2015, van www.owasp.org: https://www.owasp.org/index.php/OWASP_Top_10_Privacy_Risks_Project
OWASP Top Ten Project. (2013). Open Web Application Security Project. Opgeroepen op 11 9, 2015, van www.owasp.org: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Pool, R. O. (2008). Maak van het kasteel een hotel. Opgeroepen op 09 29, 2015, van https://www.security.nl/posting/18385/Maak+van+het+kasteel+een+hotel
PWC. (2015). Global State of Information Security® Survey 2015. PWC. Opgehaald van http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/download.html
SCIPR (SURFibo). (2015, 5 1). Opgeroepen op 10 16, 2015, van https://www.surf.nl/binaries/content/assets/surf/nl/2015/baseline-informatiebeveiliging-ho-2015.pdf
SINTEF. (2013, 05 22). Opgeroepen op 11 13, 2015, van http://www.sintef.no/en/corporate-news/big-data--for-better-or-worse/
SURF. (sd). SURF Meerjarenplan 2015-2018. Opgeroepen op 11 20, 2015, van https://www.surf.nl/over-surf/missie-en-strategie/meerjarenplan-surf/index.html
Vacature. (2014). Multitasking-slechter-voor-je-IQ-dan-marihuana-roken. Opgehaald op 31, 03, 2016 van http://www.vacature.com/carriere/werk-leven/Multitasking-slechter-voor-je-IQ-dan-marihuana-roken
Verizon. (2015). 2015 Data Breach Investigations Report. Verizon. Opgehaald van http://www.verizonenterprise.com/DBIR/2015/

Geen opmerkingen:

Een reactie plaatsen