Ransomware-aanval op Mount Royal University treft gegevens van studenten en medewerkers

Een ransomware-aanval op Mount Royal University (MRU) in Calgary heeft persoonlijke gegevens van zowel studenten als medewerkers blootgelegd, wat dringende vragen oproept over hoe postsecundaire instellingen met datalekmeldingen omgaan en welke bescherming zij verschuldigd zijn aan de meest getroffenen. De universiteit heeft bevestigd dat bedrijfsgegevens bij de aanval zijn buitgemaakt, maar haar beslissing om alleen aan medewerkers kredietbewaking aan te bieden, niet aan studenten, stuit op kritiek en laat velen zich afvragen of hun informatie werkelijk veilig is.

Dit incident staat niet op zichzelf. Het patroon van ransomware-aanvallen op universiteiten en datalekken is een van de hardnekkigste cybersecurityverhalen van de afgelopen jaren geworden, waarbij postsecundaire instellingen onophoudelijk onder druk staan van criminele groepen die campussen zien als waardevolle, vaak onvoldoende verdedigde doelwitten.

Waarom universiteiten waardevolle ransomware-doelwitten zijn

Universiteiten bevinden zich op een bijzonder kruispunt: ze bezitten grote hoeveelheden gevoelige persoons-, financiële en onderzoeksgegevens, maar opereren in open, op samenwerking gerichte netwerkomgevingen waar toegang belangrijker wordt gevonden dan beperking. Een ziekenhuis of bank kan strenge toegangscontroles rechtvaardigen; van een universiteitscampus wordt verwacht dat deze van nature open is.

Deze openheid creëert structurele kwetsbaarheden. Studenten, docenten, contractanten en gastonderzoekers maken allemaal verbinding met dezelfde netwerken, vaak vanaf persoonlijke apparaten met inconsistente beveiligingsinstellingen. IT-teams van de meeste postsecundaire instellingen hebben te weinig capaciteit in verhouding tot de schaal van de infrastructuur die ze beheren. En omdat universiteiten vaak intellectueel eigendom bezitten naast persoonsgegevens, kunnen ransomwaregroepen dreigen beide categorieën gegevens vrij te geven, wat hun pressiemiddel maximaliseert.

De financiële rekensom voor aanvallers is eenvoudig. Universiteiten zullen hun activiteiten waarschijnlijk niet volledig stilleggen, wat betekent dat ze onder sterke druk staan om te betalen of te onderhandelen. En in tegenstelling tot private bedrijven hebben ze vaak zichtbare bestuursstructuren, inschrijvingsaantallen en financieringsbronnen die aanvallers helpen in te schatten hoeveel druk ze kunnen uitoefenen.

Welke gegevens bij Mount Royal University zijn buitgemaakt

MRU heeft bevestigd dat bedrijfsgegevens over de universiteit bij de aanval zijn buitgemaakt, samen met persoonlijke informatie van studenten en medewerkers. De universiteit waarschuwt dat een volledige analyse van wat precies is geraadpleegd enkele weken tot maanden kan duren, een veelvoorkomende en frustrerende realiteit na ransomware-incidenten. Forensisch onderzoek is traag en aanvallers laten niet altijd duidelijke sporen achter van wat ze hebben buitgemaakt.

Wat nu al duidelijk is, is dat medewerkersgegevens in de reactie van MRU anders zijn behandeld dan studentengegevens. De universiteit biedt kredietbewaking aan aan medewerkers, maar niet aan studenten, met het argument dat studentinformatie niet hetzelfde financiële risicoprofiel kent. Dit onderscheid verdient een zorgvuldige toetsing.

Waarom MRU's besluit om studenten kredietbewaking te weigeren vraagtekens oproept

MRU's stelling dat studentengegevens een lager risico vormen dan medewerkersgegevens gaat ervan uit dat de belangrijkste dreiging van een datalek onmiddellijke financiële fraude is, het soort dat kredietbewaking beoogt te signaleren. Maar studentendossiers bevatten doorgaans namen, geboortedata, studentnummers, contactgegevens en in veel gevallen immigratiestatus, inschrijvingsgeschiedenis en betalingsgegevens. Dat is een rijke dataset voor identiteitsdiefstal, ook al ziet het directe frauderisico er anders uit dan bij een gestolen salarisstrook.

Kredietbewaking is toegegeven geen perfect instrument en de waarde ervan varieert afhankelijk van welke gegevens daadwerkelijk zijn buitgemaakt. Maar het besluit om studenten van deze bescherming uit te sluiten, zonder een volledig forensisch onderzoek naar wat er is gecompromitteerd af te wachten, is een ingrijpende afweging. Studenten zijn vaak jonger, kunnen een dunner kredietverleden hebben en zijn mogelijk minder ervaren in het herkennen van waarschuwingssignalen van identiteitsmisbruik. Ze beschikken bovendien over minder institutionele hulpbronnen om te reageren als er maanden later iets misgaat.

Universiteiten hebben een zorgplicht tegenover degenen die hun persoonlijke informatie aan hen toevertrouwen. Die plicht wordt niet minder omdat de getroffene is ingeschreven in plaats van in dienst.

Stappen die studenten en medewerkers nu kunnen nemen om zichzelf te beschermen

Of MRU nu wel of niet formele bescherming uitbreidt naar studenten, getroffen personen moeten onmiddellijk zelf actie ondernemen. Wachten tot een instelling haar analyse afrondt, wat maanden kan duren, is geen haalbare beschermingsstrategie.

Controleer uw rekeningen op ongebruikelijke activiteit. Kijk bankrekeningen, creditcards en alle financiële rekeningen die aan uw studenten- of medewerkers-e-mailadres zijn gekoppeld na. Stel transactiemeldingen in als uw bank deze aanbiedt.

Wijzig wachtwoorden die aan uw universiteitsaccounts zijn gekoppeld. Als u wachtwoorden hergebruikt voor verschillende diensten, wijzig die dan ook. Gebruik een wachtwoordmanager om unieke inloggegevens voor elk account te genereren en op te slaan.

Wees alert op phishingpogingen. Ransomwaregroepen verkopen of gebruiken gestolen gegevens vaak om gerichte phishingmails op te stellen. Wees sceptisch over elke communicatie die u vraagt op een link te klikken of persoonlijke informatie te verifiëren, zelfs als deze van een vertrouwde bron lijkt te komen.

Overweeg een kredietbevriezing. In Canada kunt u een kredietbevriezing of fraudewaarschuwing aanvragen bij Equifax en TransUnion. In tegenstelling tot kredietbewaking verhindert een bevriezing actief dat er nieuwe kredieten op uw naam worden geopend zonder uw uitdrukkelijke toestemming.

Gebruik een VPN op de campus en openbare netwerken. Wifi-omgevingen op campussen kunnen worden gemonitord of gecompromitteerd. Het gebruik van een gerenommeerde VPN bij het benaderen van gevoelige accounts op universitaire netwerken voegt een versleutelingslaag toe die het moeilijker maakt voor anderen op hetzelfde netwerk om uw verkeer te onderscheppen. Dit is een praktische gewoonte voor elke student of medewerker, los van een specifiek datalek.

Blijf uw informatie op de lange termijn monitoren. Gestolen gegevens worden vaak niet onmiddellijk gebruikt. Zet een herinnering om uw kredietrapport elk paar maanden te controleren gedurende het komende jaar, en wees alert op onverwachte nieuwe rekeningen of wijzigingen.

Wat dit voor u betekent

De ransomware-aanval en het datalek op Mount Royal University zijn een herinnering dat cybersecurityincidenten bij instellingen werkelijke, persoonlijke gevolgen hebben voor de personen die geen andere keuze hadden dan hun informatie af te staan om er te studeren of te werken. Het forensisch onderzoek loopt nog en het volledige beeld van wat er is buitgemaakt, kan nog maanden onduidelijk blijven.

Als u student of medewerker bent bij MRU, neem dan nu bovenstaande stappen in plaats van te wachten tot de universiteit haar onderzoek heeft afgerond. En als u student of medewerker bent bij een postsecundaire instelling, is dit incident een aanleiding om uw eigen digitale gewoonten onder de loep te nemen. Campusnetwerken zijn gedeelde omgevingen en uw persoonlijke beveiligingshouding doet er onafhankelijk van wat uw instelling wel of niet biedt, toe. Evalueren hoe u die netwerken gebruikt, inclusief of een VPN in uw standaarduitrusting thuishoort, is een praktische stap die weinig kost en een betekenisvol verschil kan maken.