Bewustwording over ICT-beveiliging: tussen de oren vaak meer winst te halen dan onder de knoppen
Het hybride onderwijs als gevolg van het coronavirus heeft grote veranderingen met zich meegebracht. Op onderwijsgebied, maar ook zeker als het gaat om IT-security. Dat scholen hiermee aan de slag moeten, is een understatement. Ruim 60 procent van alle aanvallen met malware is gericht op het onderwijs, zo laat de Global threat activity monitor van Microsoft zien. Het onderwijs is daarmee - met afstand! - de meest gehackte sector ter wereld. En dat gevaar wordt onderschat, blijkt wel uit een recent onderzoek in opdracht van ICT-organisatie Breens Network, onder bestuurders en IT-specialisten binnen het onderwijs.
Charles Stork, directeur SLBdiensten
Voor hackers zijn scholen een gewild doelwit. Persoonsgegevens van leerlingen, ouders en medewerkers zijn veel geld waard op het Darkweb. Zo’n hacker zit soms al wel een jaar op je systemen en kiest geduldig zijn moment om met gevoelige data aan de haal te gaan. In het slechtste geval achterhaalt zo iemand ook nog eens een admin-account en raken zelfs je backups gecompromitteerd. Bij een malware-aanval sta je dan helemaal machteloos. Ondanks de toegenomen dreigingen blijft het IT-beleid van 63 procent van de scholen onveranderd, laat het onderzoek over de stand van zaken van de IT-veiligheid in het vo- en mbo zien.
Veilige leeromgeving
Als school wil je niet dat je data op straat komt te liggen. En wat je ook niet wilt: de volgende krantenkop worden na een aanval op je systemen. Dat spreekt voor zich. Maar wat ons toch wel verbaast is dat IT-security in veel onderwijsinstellingen niet de aandacht krijgt die het behoort te krijgen. De verantwoordelijkheid voor dataveiligheid dragen zij niet alleen ten opzichte van de wetgeving, maar vooral ook naar hun leerlingen toe. Maar dat laatste wordt weleens vergeten. Scholen zijn allemaal druk bezig met zaken als brandveiligheid en pestprotocollen, maar bieden ze ook veiligheid als het gaat om online leren?
Scholen zijn allemaal druk bezig met zaken als brandveiligheid en pestprotocollen, maar bieden ze ook veiligheid als het gaat om online leren?
Tja, securitymaatregelen kosten geld. Dat is waar. Maar het is ook geld dat je moet uitgeven. Die wettelijke, maar ook morele verplichting heb je. Het kan en mag niet zo zijn dat een gebrekkige IT-security een budgetkwestie is. Toch is er veel onderschatting van de gevaren. Het lijkt soms alsof het op afstand houden van hackers bij leerlingen en medewerkers thuis wel besproken wordt, maar aan de bestuurstafel minder een ‘hot topic’ is. Dat kun je gerust naïef noemen. Zeker als je bekijkt wat voor een enorme snoeppot onderwijsinstellingen zijn voor hackers als het gaat om persoonsgegevens.
Roadmap en laaghangend fruit
Bij SLBdiensten zitten we in de positie om scholen goed te informeren over risico’s en gevaren. Dit doen wij onder meer met de Onderwijs ICT Security Scan, die scholen een overzicht geeft van waar zij staan en een roadmap met verbeterpunten op de korte, middellange en lange termijn. Niet alleen is zo’n scan heel nuttig, eigenlijk verdient het de aanbeveling deze periodiek uit te voeren. Het liefst eenmaal per half jaar, omdat bedreigingen zich nu eenmaal ontwikkelen en omdat je maatregelen om wilt zetten in beleid inclusief monitoring om vervolgens de voortgang te meten. Alleen dan weet je structureel of je je zaken wel op orde hebt. Iets wat nu zelden goed inzichtelijk is bij scholen, blijkt uit het onderzoek.
Onze rol zit daarnaast ook in een breed aanbod van softwareleveranciers, met name rondom veelgebruikte cloudoplossingen en Microsoft. Via onze overeenkomst voor scholen met Microsoft zijn simpele oplossingen beschikbaar zoals tweefactorauthenticatie. Daarmee logt een leerling in op een systeem en krijgt deze ook nog eens per sms een code toegestuurd, wat zorgt voor een extra beveiligingslaag. Of neem LastPass, waarmee we een verbeterde overeenkomst hebben afgesloten waarmee scholen heel goedkoop aan een goede wachtwoordmanager kunnen komen voor hun medewerkers en leerlingen.
Dialoog met leveranciers
Bovenal nemen wij onze rol als vaste sparringpartner voor scholen serieus. Wij denken graag mee over oplossingen. Maar ook hebben wij korte lijnen met leveranciers die met hun kennis van grote waarde kunnen zijn voor het onderwijs. Wat wij steeds vaker doen, is deze in contact brengen met scholen om een onderlinge dialoog tot stand te brengen. De focus voor komend jaar ligt er ook op om meer sessie te organiseren waarbij we leveranciers de kans geven om de laatste updates en inzichten rondom hun product te delen met gebruikers. Hierdoor gaan onze klanten meer profiteren van nieuwe updates en features. Dat security een complex probleem is, begrijpen we heel goed. Juist daarom is het belangrijk dat we snelle verbeteringen bieden en vooral een startpunt waarmee elke school aan de slag kan.
Naar een veiligere, hybride onderwijsomgeving
Breens Network, waar SLBdiensten onderdeel van is, heeft een whitepaper samengesteld gebaseerd op een security-onderzoek binnen het vo en mbo uitgevoerd door Kantar. In deze whitepaper krijg je concrete handvatten mee om te komen tot een verantwoorde en veilige (hybride) leeromgeving.
