Kwaadwillende bestoken onderwijsinstellingen steeds vaker via DDoS- aanvallen. De ene keer betreft het een ‘ludieke’ actie van een overijverige ICT-student, de andere keer zit een criminele hackersgroep achter zo’n attack. Hoe kan de onderwijssector zich wapenen tegen deze vorm van cybercrime? Lees dat én meer in deze blog!
DDoS-aanvallen vinden steeds vaker plaats, ze worden krachtiger en duren langer. Het gevolg? De (financiële) schade voor onderwijsinstellingen neemt enorm toe. Universiteiten, hbo’s en scholengemeenschappen zijn momenteel ‘sitting ducks’ voor criminele hackers. Tijd om daar verandering in te brengen, want voorkomen is beter dan genezen.
Voorbeelden van DDoS attacks in het onderwijs
DDoS-attacks gericht tegen onderwijsinstellingen halen regelmatig het nieuws. Zo ondervond een koepel van middelbare scholen in de omgeving van Apeldoorn hinder omdat hun computernetwerk voortdurend onder vuur lag via DDoS. Digitaal lesmateriaal, webpagina’s en programma's waren onbereikbaar, werkten traag of gaven tijdelijk de geest.
De Radboud Universiteit was een tijd geleden ook doelwit. In twee weken tijd werd de Nijmeegse universiteit vijf maal bestookt met een DDoS-aanval. Het netwerk lag plat en één tentamen kon niet doorgaan. De gevolgen? Gefrustreerde studenten en onnodige roosterproblemen.
Soms komt het gevaar zelfs uit eigen gelederen! Friese leerlingen legden dit jaar hun eigen schoolnetwerk plat met een DDoS attack. Zo’n 1500 leerlingen en 150 personeelsleden van deze middelbare school hadden wekenlang last van een slecht functionerend internet.
Dat sectoren als technologie, telecommunicatie en financiën het vaakst worden getroffen door DDoS aanvallen, zal niet verbazen. Nummer vier op de ranglijst zijn helaas educatieve instellingen als universiteiten en (hoge)scholen! Dat moet directeuren, onderwijsmanagers, ict-coördinatoren en andere professionals binnen het onderwijs zorgen baren.
Wat is het verschil tussen DoS en DDoS?
Voor we DDoS gaan bespreken is het van belang om eerst onderscheid te maken tussen DoS en DDos. DoS staat voor Denial of Service. Daarbij is sprake van één computer - de aanvaller - die zich richt op één doelwit, bijvoorbeeld het netwerk van een universiteit.
De extra ‘D’ in DDoS staat voor Distributed. Bij een Distributed Denial-of-Service aanval voeren meerdere computers tezamen een gesynchroniseerde attack uit op een specifiek doelwit. Het is een aanval die ‘van alle kanten’ komt, niet vanaf één specifieke locatie, zoals bij DoS.
Wat is een DDoS attack en hoe werkt zo’n aanval?
Bij een DDoS-aanval maakt de hacker - of z’n opdrachtgever - gebruik van een groep computers die van te voren zijn geïnfecteerd met bepaalde malware. Eerst dringt deze hacker een computer binnen, de zogenaamde botmaster. Van daaruit gaat hij massaal andere computers infecteren, meestal middels Trojan virussen.
Zo’n ‘zwerm geïnfecteerde apparaten’ noem je een botnet en die kan bestaan uit tienduizenden geïnfecteerde computers. Klaar om de aanval in te zetten op een onderwijsinstelling! Het woord ‘botnet’ is trouwens een samentrekking van ‘robot’ en ‘netwerk’. De aanvaller kan de overgenomen computers - de bots - laten doen wat hij wil. Hij kan ‘zijn’ bots inzetten voor het versturen van spam, het stelen van data of voor een netwerkaanval via Distributed Denial-of-Service.
Een DDoS-attack kan allerlei systemen en apparatuur uit de lucht halen. Van (web)servers, applicaties tot complete online diensten. Hoe? Door voortdurend ‘requests’ te versturen naar het adres van het slachtoffer. Vaak zal dat de website van een educatieve instelling zijn, maar een hacker kan het bijvoorbeeld ook gemunt hebben op een onderzoeksdatabase van zo’n organisatie. Het ‘bot-leger’ veroorzaakt tezamen een zware piekbelasting waardoor een website of andere dienst slechter gaat functioneren of crasht.
Welke DDoS aanvallen zijn er?
DDoS aanvallen komen in allerlei soorten en maten voor. In hoofdlijnen bestaan er drie aanvalstypen.
- Volume aanval;
- Protocol aanval;
- Applicatie aanval.
De eerste is de bekendste vorm van DDoS. Het netwerk van het slachtoffer wordt overbelast door al het botverkeer, waardoor de gehele bandbreedte wordt gebruikt. Dit aanvalstype wordt daarom gemeten in bits per seconde. Tegenwoordig worden al aanvallen uitgevoerd van meer dan 400 Gbps. Om zo’n volume attack uit te voeren worden verschillende technieken gebruikt. Het voert nu te ver om deze uitgebreid te bespreken. Populaire aanvalstechnieken zijn:
- UDP floods;
- ICMP floods;
- andere nep spoofed-packet floods.
De tweede variant richt zich niet op het netwerk zelf, maar op de netwerkapparatuur die het webverkeer mogelijk maken, van routers tot load balancers (die de aanvragen en de ‘workload’ binnen het netwerk optimaal verdelen over de aangesloten apparatuur)
Zo’n protocol attack vreet capaciteit en rekenkracht van apparatuur en wordt gemeten in het aantal verstuurde packets per seconde. De aanval ontregelt het vermogen van netwerkapparaten om packets af te handelen. Onder meer de volgende DDoS-technieken worden gebruikt:
- SYN floods;
- Ping of Death;
- Gefragmenteerde packet attacks;
- Smurf DDoS.
Bij een applicatie DDoS-aanval wordt er volledig beslag gelegd op de capaciteit van een webserver, DNS-server of andere applicatie. De continue verzoeken van de aanvaller krijgen voorrang ten koste van reguliere en eerlijke ‘requests’. De verzoeken lijken normaal en legitiem. De eenheid waarin wordt gemeten is het aantal ‘requests’ per seconde. De volgende DDoS-technieken worden ingezet:
- GET/POST ‘vloedgolven’;
- low-and-slow attacks;
- aanvallen op kwetsbaarheden binnen b.v. Apache en Windows.
Waarom zijn onderwijsinstellingen een aantrekkelijk doelwit van DDoS aanvallen?
Het onderwijs verwerkt enorme hoeveelheden gevoelige data. Denk aan persoonsgegevens als namen, adressen, e-mailadressen en telefoonnummers van medewerkers en studenten. Vaak liggen betaalgegevens en burgerservicenummers ook voor het oprapen. Hartstikke interessant voor cybercriminelen.
Wat zijn andere redenen om het onderwijs als doelwit uit te kiezen?
- grote afhankelijkheid van digitale communicatie, opslag van onderzoeksgegevens en diensten als online learning;
- makkelijk doelwit, vanwege beperkter ICT-budget voor beveiligen netwerk;
- kwetsbaar door de open, toegankelijke ICT-structuur voor medewerkers en studenten;
Wat zijn de gevolgen van een DDoS-aanval?
DDoS-aanvallen kunnen de ICT en alle daarvan afhankelijke werkzaamheden binnen een onderwijsinstelling verstoren. Leerlingen kunnen opeens niet meer bij hun digitale leeromgeving, de website is onbereikbaar, medewerkers kunnen niet meer werken en digitale toetsen moeten op een ander moment hervat worden.
Dit kan leiden tot serieuze financiële gevolgen en imagoschade, wat invloed heeft op het vertrouwen in de school bij de leerlingen en ouders.
Hoe kan het onderwijs zich beschermen tegen een cyberaanval?
Laten we eerst beginnen met het slechte nieuws. DDoS-aanvallen ‘are here to stay’. Ze zijn simpelweg nooit helemaal te voorkomen. Is er dan geen goed nieuws? Jawel! Deze vorm van cyberaanval is tegenwoordig prima af te slaan, waardoor het onderwijs er minimaal last van hoeft te ondervinden.
Het is wel van belang om als onderwijsinstelling eerst orde op zaken te stellen. Ik som hieronder enkele essentiële punten op met betrekking tot het afweren van DDoS aanvallen.
- Afspraken maken met leveranciers, zoals (hosting-)provider. Belangrijk punt daarvoor is het in kaart brengen van alle software en digitale middelen die je bij leveranciers hebt ingekocht. Bij elke leverancier moet je de vraag stellen of het product of de dienst die je afneemt vatbaar is voor DDoS-aanvallen. Wanneer dat zo is, moet je samen met de leverancier bepalen wie verantwoordelijk is voor de bescherming en wie wat doet wanneer er een DDoS-aanval plaatsvindt.
- Applicatie firewall. Deze bescherming is alleen nodig als je zelf web-, mail of andere diensten via je infrastructuur aanbiedt.
- Intern kan je werken met een incident response plan. Dat is een stappenplan met duidelijke instructies voor medewerkers waarin staat beschreven hoe je als organisatie omgaat met digitale veiligheid en beveiliging. Een apart hoofdstuk kan gaan over hoe te handelen bij een DDoS aanval;
- Security awareness trainingen. Dit zijn cursussen waar medewerkers uitleg krijgen over riskant ICT-gedrag waar kwaadwillenden op inspelen. Van datalekken (en AVG) tot malware, phishing en cyberattacks zoals DDoS;
- Vergroten van de bewustwording over informatiebeveiliging en privacy (IBP), zowel bij leerlingen als ouders. Zo kan het bijvoorbeeld al veel verschil maken als leerlingen zich bewust zijn van de gevolgen van een DDoS-aanval.
- Internetverkeer voortaan in een DDoS Wasstraat wassen.
Op de laatste optie ga ik in de volgende paragraaf iets dieper in.
Waarom is een DDoS wasstraat interessant voor het onderwijs?
Een DDoS-aanval kan je ook afslaan door je internetverkeer te wassen in een digitale wasstraat. In deze ‘wasserette’ wordt voorafgaand aan toelating tot het netwerk, het DDoS-verkeer (vuil) gescheiden van het legitieme (schone) verkeer. Het resultaat? Alleen het gewenste verkeer krijgt toegang.
De website blijft in de lucht, diensten en apps draaien gewoon door en digitale communicatie blijft mogelijk. Een DDoS wasstraat is niets minder dan een cordon sanitaire om het netwerk van een onderwijsinstelling.
Een aantal van onze partners is aangesloten bij NaWas. Dat is de Nationale DDoS Wasstraat van NBIP (Nationale Beheersorganisatie Internet Providers). Ook Universiteit Twente participeert hierin. Deze universiteit heeft begin dit jaar in samenwerking met het bedrijfsleven zelfs een nieuw expertisecentrum voor cybersecurity gelanceerd. Vooral de veiligheid van netwerken, data en de sociaaleconomische aspecten van cybersecurity zetten zij centraal. Helaas zijn nog niet alle onderwijsinstellingen zo sterk doordrongen van het thema digitale security.
Wat zijn andere cyberdreigingen voor onderwijsinstellingen?
Cybersecurity binnen het onderwijs is een actueel thema. DDoS - de focus van deze blog - is slechts een deelonderwerp binnen dit bredere veld. De verwachting is dat DDoS zal toenemen. Zowel qua frequentie als in kracht.
Natuurlijk kent cybercrime vele andere vormen. Educatieve instellingen zijn ook kwetsbaar voor ransomware. Dat is een digitale gijzeling waarbij de toegang tot de eigen systemen en data door criminele hackers wordt geblokkeerd. Pas na het betalen van ‘losgeld’ krijgt de instelling weer toegang tot hun netwerk, apps en gegevens. Dat is een mooi onderwerp voor een toekomstige blog!
Heb je vragen naar aanleiding van het bovenstaande verhaal over DDoS? Wil je misschien informatie over dark fiber dat op een andere manier zorgt voor betrouwbaar, supersnel, stabiel en schaalbaar internet?
Schroom dan niet om contact op te nemen. De digitalisering van het onderwijs gaat onverminderd voort. Van steeds slimmere smartboards, onderwijs via tablets, videotoepassingen tot augmented reality. Met (redundante) dark fiber krijg je de beschikking over je eigen netwerk met een enorme bandbreedte waar je al dit soort toepassingen vlekkeloos kan laten verlopen! Zo kan jij je eigen onderwijsomgeving precies inrichten zoals je wilt. Veilig en betrouwbaar!
Een hybride werkomgeving vraagt om goede connectiviteit inclusief slimme security maatregelen
TReNT Glasvezel | Hybride werken introduceert nieuwe securityrisico's. Dat vraagt om slimme securitymaatregelen, bijvoorbeeld op het gebied van endpointsecurity.
Is jouw organisatie voorbereid op de vijf grootste cyberrisico’s van 2023?
TReNT Glasvezel | Wie weet hoe het dreigingslandschap van morgen eruitziet en kan daar vandaag al op anticiperen. Daarom werpen wij samen een blik op de toekomst.