De uitdaging met het smartphoneverbod en MFA-beveiliging in de klas
Per 1 januari 2024 is de regel van kracht dat de smartphone het klaslokaal niet meer inkomt. Een maatregel die is genomen om de focus van leerlingen terug te brengen naar de les. Dat elk voordeel z’n nadeel heeft, blijkt maar weer, want mobieltjes verbannen uit de klas opent de deur voor nieuwe uitdagingen. Met oog op de komst van het normenkader en de harde eis van MFA-beveiliging bespreken onze technisch expert Martijn Frank en Check Security directeur Rob Tesselaar de grootste problemen rondom deze nieuwe regelgeving binnen het onderwijs.
Waarom is MFA-beveiliging noodzakelijk op scholen?
Een multifactor authenticatie (MFA) is een methode waarbij een leerling zich op meer dan één manier moet verifiëren. Zo’n extra veiligheidsstap maakt het hackers moeilijker een account buit te maken. Cruciaal, want digitale schoolomgevingen zijn vaak doelwit van cybercriminelen. Het normenkader stelt een MFA dan ook verplicht. Zodoende zal ook cybersecurityverzekeraar om verantwoording vragen indien er sprake is van cybercriminaliteit. Rob en Martijn zetten drie serieuze risico’s uiteen.
Risico op accounthack
In de beleving van Martijn Frank onderschatten onderwijsinstellingen nog steeds hoe groot het risico is dat een school ook via een leerling device gehackt kan worden. Hier is volgens hem niet zoveel voor nodig: “Uiteindelijk is het enige wat een hacker nodig heeft een doelwit om op in te willen loggen en het achterhalen van een local admin account, wat vaak niet heel complex beveiligd is. Op het moment dat je rechten hebt op een apparaat, is het redelijk eenvoudig om binnen een aantal uur een omgeving plat te leggen.”
Risico op productscam
Leerling accounts zijn ook op andere manieren zeer waardevol voor hackers. Martijn stelt dat hackers goed geld kunnen verdienen door via leerling accounts promotie te maken voor schoolproducten. Martijn schetst een scenario: “Hackers weten wanneer het schooljaar begint en dat leerlingen producten voor school nodig hebben. Op basis van deze behoefte stellen ze een mailtje op met een betere deal, waardoor het voor leerlingen zo goed als onweerstaanbaar is om te klikken. Dan rinkelt de kassa.”
Risico op identiteitsfraude
Tot slot is identiteitsfraude ook een reëel probleem waar vooral de leerling zelf gewaarschuwd voor moet zijn. “Iedereen heeft een digitale footprint, en als bijvoorbeeld een YouTube-account gehackt wordt, dan kan men zien wat je kijkt. Iets als een geboortedatum is ontzettend waardevolle informatie voor hackers. Zeker als ze dit met andere persoonlijke gegevens combineren. In het ergste geval kunnen ze met jouw identiteit een bankrekening openen of een postorder doen”, aldus Rob. “Met een MFA wordt het inloggen van zo’n leerling account al een stuk lastiger, maar hier heeft een leerling wel zijn mobiel voor nodig.”
Mobiel uit de klas
Hoewel Rob het in essentie een goed idee vindt om alle telefoons uit de klas te halen, gaat het OCW volgens hem voorbij aan technologische alternatieven. Hij stelt de vraag wat je nu eigenlijk werkelijk uit de klas haalt. “Je haalt de telefoon uit de klas, maar de smartwatch dan? Daar kan je tegenwoordig zo goed als alles op.”
Rob acht de leerling wel zo slim dat wanneer je naast de telefoons ook de smartwatches uit de klas haalt, ze hun weg wel vinden op andere devices. “Door het op te schuiven los je het probleem niet op. Dan kun je wel weer allerlei websites willen blokkeren via de Firewall, maar welke dan precies, en hoe ga je dat verder controleren? Dan moet je de bemensing van je IT verdubbelen, dus dat is niet te handhaven.”
Nu steeds meer leerlingen gebruikmaken van het wifi-netwerk van hun school schuilt er volgens Rob ook een risico in een netwerkverstoring: “Op het moment dat die telefoons vanuit het kluisje weer in gebruik worden genomen, heb je in één keer een grote uitdaging op je wifi, dus daar moet je dan ook weer rekening mee houden.”
Waar ligt de verantwoordelijkheid?
Duidelijk is volgens de mannen dat we met zijn allen gewoon regels af moeten spreken. Alleen kan over de vorm nog gediscussieerd worden, want elke school heeft zo zijn eigen bestuursvorm, principes en regels. Hierdoor rijst in Martijn Frank ook de vraag over de verantwoordelijkheid. “Is het nu de verantwoordelijkheid van de school of de verantwoordelijkheid van de ouders en de leerlingen? Want uiteindelijk gaan alle leerlingen een keertje werken. En dan worden ze weer met dezelfde verleiding geconfronteerd. Moeten werkgevers dan ook gaan verplichten dat die telefoon de werkvloer niet opkomt?”
Awareness en mediawijsheid
Rob is het eens dat iedereen opgevoed moet worden, van leerling tot bestuurder. Awareness is niet voor niets een belangrijke pijler in het normenkader. “We zijn met zijn allen verantwoordelijk. Niet alleen IT. Niet alleen de bestuurder. Niet alleen de leerling. Maar met zijn allen. Afdelingsleiders zijn verantwoordelijk voor hun team en een team is vervolgens weer verantwoordelijk voor de leerlingen.”
Waarna hij vervolgt: “Maar dat is dus ook waarom mediawijsheid verplicht zou moeten zijn op elke school. Al vanaf de basisschool moeten die leerlingen leren hoe om te gaan met techniek in de breedste zin van het woord en ook hun verantwoordelijkheid daarin te nemen.”
De essentie blijft volgens Rob “dat je je kind wel veilig wil opvoeden. Je leert het vallen. Je leert het opstaan. Je leert het voor zichzelf zorgen tot op zekere hoogte. En uiteindelijk is het kind volwassen genoeg om op zijn eigen benen te staan in de maatschappij. En digitaal maakt daar onderdeel van uit.”
Geen ICT- maar bestuurdersfeestje
Als het over te nemen verantwoordelijkheid gaat, wijst Martijn naar bestuurders: “Wat mij betreft moet security niet meer een ICT-feestje, maar een bestuurdersfeestje zijn.” Waar vervolgens Rob weer op inhaakt: “Eigenlijk zou het normenkader per direct verplicht gesteld moeten worden, waarbij bestuurders echt hoofdelijk aansprakelijk zijn voor hun keuzes. Het belangrijkste is dat er goed wordt nagedacht over de consequenties. Dat die consequenties er wel degelijk zijn, maar ook dat hier oplossingen voor zijn en dat het aan de school is om die oplossingen te implementeren.”
Normenkader en zero trust brengen hoop en rust
Met het normenkader aan de slag zal schoolinstellingen volgens beide heren de nodige houvast en dus rust bieden. Rob schetst hier alleen wel een grote ‘maar’ bij: “Bedenk vooral dat het niet opgelost is met een telefoon uit de klas. Daar begint het bij, dus denk goed aan de consequenties. En als je die consequenties goed inzichtelijk hebt gemaakt en daar beleid op hebt gemaakt, dan heb je het denk ik voldoende getackeld.”
Hij sluit af: “Het is gewoon zaak om zo weinig mogelijk prijs te geven van jezelf. Dit kan met een zero trust beleid. Naar dit grondbeginsel in de securitywereld dien je niets te vertrouwen zonder eerst te controleren wie en wat verbinding probeert te maken.”
Een gepaste oplossing voor jouw onderwijsinstelling
Met deze onderwijsregels in strijd snappen wij de behoefte aan een oplossing. Onze technisch expert Martijn Frank gaat graag het gesprek met je aan om te kijken voor een passende oplossing voor jouw onderwijsinstelling.
Nu hackers steeds inventiever worden om de sleutel van een normale MFA te kraken, schuilt volgens Martijn Frank een gepaste oplossing in Phishing Resistant MFA: "Bij deze oplossing heeft de gebruiker een Fido2-apparaat nodig als een USB-key of SmartCard (token). Gebruikers weten dan het eigen wachtwoord niet en hebben ook geen telefoon nodig om in te loggen, want de gebruiker logt in met behulp van het Fido2-apparaat." Lees hier meer over Phishing Resistant MFA.