Onderwijsinstellingen missen overzicht in domeinnaamportfolio
Coronatijd leidde tot enorme toename en versnippering
In opdracht van Nederlandse organisaties zoeken we regelmatig uit welke domeinnamen deze organisaties precies hebben en waar (via welke registrars) deze geregistreerd zijn. Fusies, overnames en reorganisaties leiden er vaak toe dat domeinnamen binnen de organisatie geen eigenaar meer hebben, terwijl er nog wel applicaties en mailadressen aan verbonden zijn. Beheer- en veiligheidsrisico’s zijn het gevolg. Dit probleem speelde van oudsher bij multinationals met veel werkmaatschappijen en verschillende merken. Maar ook bij grote onderwijsinstellingen zoals universiteiten en hogescholen. En de coronacrisis versterkte dit enorm. Wat speelt daar? En waarom zouden securityprofessionals dit probleem juist nu op de agenda moeten zetten?
Versnelde digitaliseringsslag
Veel onderwijsinstellingen maakten de afgelopen 2 jaar een versnelde digitaliseringsslag door. Vooral in de cloud zijn veel nieuwe applicaties toegevoegd. Om een universiteit te citeren: het IAAS/PAAS-landschap is geëxplodeerd. Onder druk van corona moesten organisaties in hoog tempo nieuwe applicaties en websites lanceren. Vaak met eigen domeinnamen die omwille van de tijd door de leverancier werden geregistreerd en decentraal werden aangeschaft. Nu ontdekt men dat men het overzicht over het eigen domeinnamenportfolio en de applicaties kwijt is in een toch al complex landschap. Voor securityteams is het zaak dit zo snel mogelijk terug te krijgen, want waar je overzicht mist, mis je mogelijke securityrisico’s.
Decentrale organisatiestructuur
Bij universiteiten speelt er nog een extra risico: de van oudsher decentrale organisatiestructuur en bedrijfscultuur. Faculteiten opereren bijvoorbeeld vaak zelfstandig waardoor de centrale regie vermindert. Waar deze er wel is, zijn de officiële aanvraagprocessen soms zo complex dat men alsnog de voorkeur geeft aan eigen inkoop. Voor veel wetenschappelijke projecten, vakgroepen en faculteiten worden aparte websites opgezet zonder betrokkenheid van een IT- of securityprofessional. Degenen die de domeinnaam registreren zijn zich niet altijd bewust van de juiste voorzorgsmaatregelen en dragen bij aan de wirwar van domeinnamen binnen een universiteit.
Verschillende risico’s
De risico’s die verlies van overzicht in het domeinnaamportfolio met zich meebrengt variëren van naamsverwarring, via imagoschade tot mogelijk ingangen voor cybercriminelen. Een recent voorbeeld was een domeinnaam voor vacatures bij een hogeschool (werkenbij<..>). Deze domeinnaam verwees naar de homepage van deze hogeschool, maar was door een interne fout opgeheven. Hierna registreerde een derde partij de domeinnaam en plaatste er een nepwebwinkel op. Daar werden sneakers voor €50 aangeboden. Omdat de domeinnaam nog werd gelinkt op de homepage en nog op naam stond van de hogeschool, werd de domeinnaam gerankt in Google en gebruikten cybercriminelen deze als landingspagina voor een spamcampagne. En dit ten laste van de goede naam van de hogeschool.
Let ook op mail!
Een factor die vaak over het hoofd gezien wordt is dat een domeinnaam ook zonder website misbruikt kan worden. Vaak zijn er aan de domeinnamen mailadressen verbonden, waarmee wordt ingelogd op applicaties van de onderwijsinstelling. Als deze niet beveiligd zijn met 2FA vormen deze een ingang voor hackers. Bijvoorbeeld om ransomware te installeren.
SIDN Merkbewaking & Domeinnaam Portfolio Checker
Daarom schakelen steeds meer grote onderwijsinstellingen over op het doorlopend monitoren van domeinnaamregistraties via SIDN Merkbewaking. Hiermee ontdek je domeinnamen die de naam van de instelling bevatten of die erop lijken. Daarbij is het ook handig om te onderzoeken welke domeinnamen er allemaal door de organisatie zelf zijn geregistreerd. Dit kan met de Domeinnaam Portfolio Checker (DPC). Doe dit preventief, het bespaart puinruimen.
