Risico van phishing en hacking
Het kan iedereen gebeuren: je ontvangt een mail van een collega met een link naar een OneDrive-bestand. Als je op de link klikt moet je inloggen in MS 365 met je gebruikersnaam en wachtwoord. In werkelijkheid is dit echter een nagemaakte inlogpagina en zonder het te weten heb je zojuist je inloggegevens gedeeld met een hacker. De mail van je collega was namelijk een phishingmail; zijn account is – zonder dat hij het zelf weet – besmet geraakt met een virus. Vervolgens lees je tot je schrik het volgende:
Gevolgen voor scholen
Je hoeft maar een willekeurige nieuwspagina te openen en de kans is groot dat je een bericht leest over een organisatie die is getroffen door hacking.
Ook het onderwijs is steeds vaker doelwit van internetcriminelen. De belangrijkste oorzaak hiervan is het feit dat steeds meer organisaties in de cloud zijn gaan werken en daarmee belangrijke en gevoelige informatie in datacenters hebben gezet. Helaas (b)lijken cybercriminelen de toekomst te hebben: phishing is zeer lucratief en neemt hand over hand toe. De gevolgen voor de organisatie kunnen groot zijn: scholen kunnen volledig platgelegd worden en regelmatig worden er forse bedragen betaald om weer toegang te krijgen tot de eigen bestanden.
In het onderwijs geldt bovendien dat je de verantwoordelijkheid hebt over de gegevens van leerlingen, waarbij het vaak ook nog eens gaat om (zeer) gevoelige gegevens.
Tweefactor-authenticatie (2FA)
Het goede nieuws is dat veel schade voorkomen kan worden. Tweefactor-authenticatie (2FA) maakt het voor criminelen veel lastiger een netwerk te hacken. 2FA houdt in dat er – naast de inloggegevens – nog een tweede authenticatiecode nodig is welke bijvoorbeeld wordt ontvangen op de telefoon via een app of per sms. Hierdoor wordt voorkomen dat een hacker met enkel de inloggegevens toegang kan krijgen tot het netwerk, data van de organisatie op Sharepoint, jouw OneDrive en/of je mail. De oproep is daarom om 2FA standaard in te stellen voor alle medewerkers.
Privacy- en gegevensbescherming balanceert vaak tussen veiligheid en werkbaarheid. Door 2FA slim in te stellen blijft het werkbaar. Zo kun je alle schoollocaties van je bestuur en het bestuurskantoor als veilig aangeven, zodat op die locaties 2FA slechts eenmalig nodig is.
De Autoriteit Persoonsgegevens ziet 2FA in veel gevallen als een belangrijke en daarmee verplichte maatregel om te voldoen aan de AVG. Ons advies is dan ook om 2FA als norm in te stellen voor de meest belangrijkste toepassingen, (waaronder de MS 365/Google-omgeving en het LVS/LAS).
Vanuit Privacy op School denken wij hierbij vanzelfsprekend graag met je mee!
