Een datalek bij Hogeschool Arnhem en Nijmegen (HAN) waarvoor de Autoriteit Persoonsgegevens (AP) afgelopen woensdag een boete oplegde, brengt in perspectief hoe kwetsbaar onderwijsinstellingen zijn voor digitale aanvallen.

Uit een onderzoeksrapport van de Autoriteit Persoonsgegevens blijkt dat de hackers die het datalek veroorzaakten, persoonsgegevens wisten te bemachtigen via een zogenoemde SQL‑injectie in een webformulier. Een SQL‑injectie is een aanvalstechniek waarbij misbruik wordt gemaakt van invoervelden op een website, zoals een zoekbalk of formulier. Door daar een speciale code in te voeren, kunnen hackers de vragen aanpassen die een website aan de database stelt.

Normaal kan een bezoeker alleen gegevens invullen, maar bij een SQL‑injectie kan ook de werking van zo’n databasevraag worden veranderd. Daardoor krijgen hackers toegang tot informatie waar zij normaal geen recht op hebben. Met deze techniek kunnen zij gegevens uit een database opvragen, aanpassen, verwijderen of toevoegen, en zelfs beveiligingsmechanismen omzeilen. Op die manier wist de hacker de databaseserver van de HAN binnen te dringen.

Werkwijze

Hackers gaan volgens Gert-Jan de Boer, Technisch directeur bij aaZoo Network & Security Solutions, veelal op dezelfde manier te werk en lekken data pas nadat er al meerdere stappen zijn ondernomen. Allereerst dringen ze in een systeem binnen. “Uit een wereldwijd onderzoek is gebleken dat hackers 180 á 270 dagen onopgemerkt in een systeem kunnen zitten. Soms hebben ze een doelwit te pakken waar op dat moment nog niet veel te halen valt. Dan komen ze op een later tijdstip terug,” aldus De Boer. De hackers gaan pas tot actie over als ze eenmaal de benodigde persoonsgegevens hebben gevonden.

Naast technische kwetsbaarheden spelen gebruikers soms zelf ook een grote rol bij datalekken. Hackers beginnen bijvoorbeeld vaak met het verzamelen van e-mailadressen van docenten en studenten. Vervolgens sturen ze phishingmails naar een groot deel van de school, waarin wordt gevraagd opnieuw in te loggen via een nepformulier. Op die manier kunnen ze de inloggegevens en andere persoonlijke informatie bemachtigen, die later voor verschillende vormen van misbruik kunnen worden gebruikt.

Wanneer deze persoonlijke gegevens, ook wel sleutelgegevens genoemd, in verkeerde handen vallen, kan dat grote gevolgen hebben. “mensen hebben de neiging om vaker hetzelfde wachtwoord te gebruiken. Een hacker kan dan op meerdere sites met jouw gegevens inloggen.” Daarnaast kan iemand met naam, adres en geboortedatum zich telefonisch voordoen als een ander bij een bank of ziekenhuis. Deze gegevens vormen daardoor een aantrekkelijk doelwit voor kwaadwillenden.

Digitale valkuilen

Schoolinstellingen lopen niet per se meer risico op gehackt te worden dan andere organisaties. Wel hebben zij met veel mensen te maken: er werken veel medewerkers en er zijn veel studenten. Binnen zo’n instelling hebben daardoor veel personen toegang tot verschillende systemen, wat de kans vergroot dat iemand in een nepmail of nepformulier trapt.

En dat is ook niet gek. Door de opkomst van AI zien mailtjes van hackers er veel geloofwaardiger uit dan een paar jaar geleden. Vroeger waren deze mails te herkennen aan spel- en formuleringsfouten. Tegenwoordig moet je meer letten op een dwingende toon, die je vertellen dat je nu actie moet ondernemen.  “Mensen schieten dan in de paniek en zijn geneigd om eerder te handelen.” Vertelt De Boer. “Andere kenmerken zijn links of knopjes waar je op moet drukken. De meeste organisaties, banken, overheidsinstanties zetten dit soort dingen niet in hun mail. Scholen zouden dit ook niet moeten doen.”

De boete die de HAN opgelegd kreeg, onderstreept dat onderwijsinstellingen verantwoordelijk blijven voor de beveiliging van persoonsgegevens. Volgens De Boer ligt de sleutel tot betere beveiliging niet alleen in techniek, maar vooral in bewustwording. Door medewerkers en studenten beter te informeren over digitale dreigingen, kunnen onderwijsinstellingen de kans op datalekken aanzienlijk verkleinen.