Beschermen tegen DDos - aanvallen: “regelmatig testen een must”

Een van meest bekende digitale aanvallen is een DDoS-aanval. Ook scholen krijgen met DDoS-aanvallen te maken. “De redenen hiervoor verschillen”, vertelt Koen Rozendaal van KPN onlangs tijdens de Securitydag. “Het kan bijvoorbeeld zijn dat een leerling niet heeft geleerd voor een bepaalde toets of dat een puber de grenzen wil opzoeken. Maar sluit ook gewoon cybervandalisme niet uit.”

DDoS staat voor Distributed Denial of Service. Met een DDoS-aanval maken veel computers of met het internet verbonden apparaten – vaak vanaf verschillende locaties ter wereld – verbinding met één server. De server is het doelwit: de mensen achter de aanval proberen de server traag te maken of – in het ergste geval – onbereikbaar. Hierdoor zijn essentiële bestanden en systemen niet of moeilijk toegankelijk.

Makkelijker en goedkoper

DDoS-aanvallen, waarbij websites worden overspoeld met dataverkeer, worden steeds gemakkelijker en goedkoper, door de opkomst van speciale websites die die aanvallen op commando uitvoeren. De afgelopen jaren zijn dit soort sites in opkomst en de servers achter zo’n website kunnen soms wel duizenden aanvallen per dag uitvoeren.

Demonstratie

Als jongeren zelf geen aanval kunnen inzetten doen ze dit via een dergelijke site. Dat uitbesteden van een aanval gaat volgens Rozendaal vrij eenvoudig. “Met een creditcard krijg je veel voor elkaar. Voor een klein bedrag geeft een hackersite een demonstratie, waarbij ze een server naar keuze bijvoorbeeld een uur plat leggen. Als je tevreden bent, kun je voor een groter bedrag een langere sessie boeken.” Wil een onderwijsinstelling een veilige digitale omgeving bouwen en behouden, dan doet deze er verstandig aan een visie te ontwikkelen, procesprioriteiten te stellen en beveiligingsmaatregelen te treffen.

Ontwikkel een visie op de inzet van ICT in het onderwijs

De tijd dat een computerlokaal met wat computers voldeed aan de digitale norm is lang vervlogen. Willen scholen bij de tijd blijven, dan dienen ze aandacht te hebben voor de bouwstenen van de digitale leeromgeving om op basis daarvan een (veilige) digitale leeromgeving te construeren. Onderwijsinstellingen kunnen het ‘vier in balans-model’ gebruiken om een totaalvisie op de inzet van ICT in het onderwijs te formuleren. Het model heeft vier kernpunten:

Visie
De opvatting over kwalitatief goed en doelmatig onderwijs en de plaats die ICT daarbij inneemt. De visie omvat de overkoepelende ambities en gaat in op de randvoorwaarden om deze te verwezenlijken.

Deskundigheid
De benodigde competenties van alle medewerkers om ICT goed in te zetten. Zoals de ICT-bekwaamheid van leraren, de deskundigheid van leidinggevenden en bestuurders om ICT in te zetten, en de deskundigheid van het onderwijsondersteunend personeel om ICT te laten werken voor de algehele onderwijsinstelling.

Inhoud en toepassingen
De informatie, educatieve content en software die gebruikt worden in een onderwijsinstelling, zoals digitaal lesmateriaal.

Infrastructuur
In het kader van DDoS-aanvallen is dit het kernpunt waar de aandacht zou moeten liggen. Het gaat hier om de beschikbaarheid en kwaliteit van hardware, netwerken en connectiviteit binnen het onderwijs van de instelling. Daarbij gaat het onder andere om digitale schoolborden, pc’s, laptops en tablets, internetverbindingen, servers en eventuele clouddiensten.

Met de visie op de inzet van ICT in de hand is het vervolgens van belang om te analyseren wat de kritische processen binnen de instelling zijn. Daarna dient de instelling te bepalen wat de aannemelijke risico’s zijn binnen deze processen. De risico’s verschillen uiteraard per instelling. “Niet elk proces is even belangrijk”, aldus Rozendaal. “Maar er zijn altijd kritische processen waarvan een instelling graag heeft dat deze altijd overeind blijven. Daarom is het stellen van prioriteiten van belang. Niet alles kan tegelijk even goed beschermd worden en kritische functies zijn nu eenmaal vaker doelwit van een aanval.”

Stel prioriteiten voor recovery time objective

Een onderwijsinstelling moet kiezen welke processen het belangrijkst zijn, want bij een DDoS-aanval is het onpraktisch om op alle processen tegelijk te reageren. Daarna is het van belang realistische doelen te stellen voor de recovery time objective (RTO); de snelheid waarmee processen van een digitale omgeving die wordt aangevallen weer volledig moeten kunnen functioneren om onacceptabele schade te voorkomen.

“Niet alle processen zijn even belangrijk”, stelt Rozendaal. “We maken onderscheid tussen primaire, secundaire en tertiaire processen.” Primaire processen zijn bijvoorbeeld onderwijs ontwikkelen, onderwijsplannen, afwezigheid en verzuim en onderwijs uitvoeren. Onder secundaire processen zouden financiële, inkoop- en facilitaire processen kunnen vallen. De tertiaire processen zijn het minst belangrijk.

Na afbakening en indeling, rest nog een keuze: hoe gaat de onderwijsinstelling ervoor zorgen dan de belangrijkste processen zo snel mogelijk weer optimaal opereren? Koen Rozendaal: “Wil de onderwijsinstelling het beste resultaat behalen, dan is regelmatig testen en evalueren een must. Dit hangt samen met de maatregelen die scholen treffen om de digitale omgeving te beschermen.”

Kies de te nemen maatregel

Om de inbreukrisico’s binnen de belangrijkste processen te beperken doet de school er verstandig aan om passende maatregelen te kiezen die aansluiten bij de behoeften van de gekozen visie. KPN biedt twee opties om een onderwijsinstelling tegen DDos-aanvallen te wapenen. Een reactieve variant (basic), met een reactietijd van maximaal een uur. Dit komt omdat de instelling zelf een inbreuk moet signaleren. Bij de proactieve variant (premium) monitort KPN continu of er sprake is van DDoS-aanval. Dit resulteert in een gemiddelde reactietijd van ongeveer vijftien minuten. Rozendaal is eerlijk: “Premium is behoorlijk duurder, maar mocht een school last hebben van aanval, dan is dat het zeker waard. Bovendien zijn er speciale onderwijsprijzen voorhanden.”

 

Anderen bekeken ook dit

Edwin van Andel (Zerocopter): “Hug ...

Geplaatst: 24-09-2017 Edwin van Andel (Zerocopter): “Hug the ethische hacker”

Wie huren kluisproducenten in om de kwaliteit van de kluis te testen? Een dief. Iets ...

Drie vragen aan… Pieter Oosterhof

Geplaatst: 16-09-2017 Drie vragen aan… Pieter Oosterhof

DDoS aanvallen, ransomware en keyloggers; de digitale bedreigingen voor onderwijsinstellingen stapelen zich op, en ze ...

Het Cybersyndroom: besmettelijke ziekte

Geplaatst: 29-08-2017 Het Cybersyndroom: besmettelijke ziekte

Vanuit zijn vakgebied cybersecurity sprak Dave Maasland, managing director van ESET Nederland, tijdens de recente ...