Kov case study banner 1
Case study

Katholiek Onderwijs Vlaanderen

Onder druk van het toenemende aantal phishingmails in 2020 zette de koepelorganisatie voor het Katholiek Onderwijs een interne phishingsimulatie op. Het resultaat legde enkele pijnpunten bloot.


Fact sheet

23 werknemers
Test voor nulmeting
35% gephisht
Katholiek Onderwijs Vlaanderen is de koepelorganisatie voor katholieke scholen in Vlaanderen.

"In mei 2020 stelden we vast dat het aantal phishingmails dat onze leden ontving was verdubbeld ten opzichte van dezelfde maand een jaar eerder", zegt Peter Declerck, Stafbestuurder en Contactpersoon Informatiebeveiliging "Helaas zagen we dat ook terug in het aantal getroffen instellingen: nog nooit waren zoveel scholen ten prooi gevallen aan hackers."

"Phishing in het onderwijs wordt nog wel eens onderschat", zegt Declerck. Hij is verantwoordelijk voor opleidingen over de GDPR en cybersecurity bij de onderwijsinstellingen van ongeveer 600 schoolbesturen in Vlaanderen en merkt dat dergelijke onderwerpen niet altijd top of mind zijn: "Zoals zo vaak lijkt het wel alsof mensen het eerst aan den lijve moeten ondervinden voor ze beseffen hoe kwetsbaar ze zijn."

Ervaring

"Dat is ook de reden waarom we simulaties hebben uitgevoerd bij onze collega's. Op die manier werden ze geconfronteerd met phishing in de praktijk en ervoeren ze wat er gebeurt als zo'n aanval succesvol is," aldus Declerck. In dit geval klikte 35% van de geadresseerden op een link in de simulatie - meer dan het gemiddelde van 20%. "De test zorgde eigenlijk voor tumult, ondanks het feit dat het maar om een simulatie ging en er dus geen gegevens of systemen in gevaar werden gebracht. Mensen begonnen zich onmiddellijk zorgen te maken en onze IT-afdeling werd al snel overstelpt met vragen.

"De impact bleef daarna ook nog een hele tijd nazinderen", zegt Declerck. "Onze medewerkers zijn nu veel alerter en hebben sindsdien tal van verschillende phishingpogingen kunnen herkennen en melden. Iedereen beseft nu hoe gemakkelijk het leven soms is voor hackers."

Casestudy kov schoolbuilding

La mine d’informations de l’enseignement

Wanneer een school getroffen wordt door bijvoorbeeld een ransomware-aanval, richten de hackers zich soms tegen het Contact voor Informatiebeveiliging (CIS). Zo komt Declerck verschillende soorten digitale risico's en problemen tegen. "Het is opvallend hoe gelijkaardig problemen vaak zijn, ondanks hun eigen specifieke context. De grootste gemene deler is vaak een gebrek aan tijd, geld en middelen."

"Iedereen stelt alles in het werk om scholen, medewerkers en leerlingen zo goed mogelijk te beschermen, maar er is een grens aan wat je kunt bereiken met de beperkte middelen die je tot je beschikking hebt. Elke instelling is echter een schat aan informatie: elke school beheert heel veel persoonlijke gegevens van mensen. Zo'n buit maakt hackers bijzonder gelukkig."


Onze medewerkers zijn nu veel alerter en hebben sindsdien tal van verschillende phishingpogingen kunnen herkennen en melden.

"Het gaat daarbij niet alleen om de mogelijke winst die met losgeld te behalen valt", legt Declerck uit. "Iemand die in staat is de gegevens van zijn leerlingen in handen te krijgen, heeft ook greep op het leven van die mensen in een kwetsbare fase van hun ontwikkeling. Het zet de deur open voor discriminatie, pesten, identiteitsfraude, enzovoort." (Lees verder onder het formulier.)

Whitepaper Book Cover Phished ENG
Download het gratis e-book

Download ons gratis e-book over phishing in het onderwijs

GDPR-naleving

De meest voorkomende digitale bedreigingen worden nog steeds veroorzaakt door massacampagnes die zoveel mogelijk slachtoffers proberen te maken. Declerck: "Denk aan een 'mailtje van een schoolhoofd' aan een administratief medewerker met daarin het verzoek om een factuur te controleren, al merken we wel dat ook 'spear phishing', gerichte mails op basis van informatie die hackers vinden in personeelsgegevens, toeneemt. Als zo'n poging slaagt, leidt dat meteen tot veel grotere gevolgen."

Daarom hebben Declerck, en zijn collega's een extra onderdeel toegevoegd aan de trainingen die ze geven. "We focussen vooral op de GDPR compliance van de scholen", zegt hij, "maar cybersecurity maakt daar natuurlijk integraal deel van uit; het staat zelfs letterlijk zo in twee artikels in de GDPR. Een school die gegevens verliest, moet dat op gepaste wijze melden aan de bevoegde toezichthouder. Zo'n lek kan worden veroorzaakt door hackingaanvallen. Daarom is het belangrijk dat we de bron van het probleem aanpakken."

Kov case study thumbnail

Het wordt alleen maar erger

"Scholen zullen echt alert moeten zijn: de huidige omstandigheden zorgen ervoor dat digitalisering steeds belangrijker wordt en dat zal nooit meer afnemen", aldus Declerck. "Kijk bijvoorbeeld naar het voorstel van Vlaams minister van Onderwijs, Ben Weyts. Hij wil elke leerling een laptop en internet ter beschikking stellen, zodat iedereen in dezelfde mate toegang heeft tot kwaliteitsvol onderwijs. Dat is een nobel - en essentieel - streven. Maar als scholen niet gelijktijdig evolueren, zullen er problemen ontstaan, en die zullen zich eerder vroeg dan laat voordoen."

De leerlingen moeten ook betrokken worden bij sensibiliseringscampagnes," zegt Declerck. "Ze nemen hun eigen apparaten mee naar school. Zij brengen onbedoeld systemen en netwerken in gevaar als ook zij zich niet bewust zijn van de gevaren die op hen liggen te wachten. Je smoort problemen in de kiem door hen al op jonge leeftijd te informeren.

Informatie delen

Tot slot wil Declerck dat organisaties die getroffen zijn naar voren treden: "Zoals de Universiteit Maastricht heeft gedaan. Dat was een goed verhaal van crisiscommunicatie. Ze hebben duidelijk gecommuniceerd wat hen was overkomen en ook hoe ze ermee zijn omgegaan. Ze deelden hun ervaring, waardoor andere instellingen zich beter konden wapenen.

"Nog te vaak proberen organisaties te zwijgen over hun digitale ongelukken. Dat is jammer: door informatie zoveel mogelijk te delen, kunnen we ons wapenen, best practices ontwikkelen en mogelijk veel meer en groter onheil voorkomen. Een hack meemaken is pijnlijk, maar eigenlijk hoef je je er niet voor te schamen", zegt Declerck. Immers: "Iedereen is kwetsbaar, iedereen kan slachtoffer worden."