Digitale veiligheid voor onderwijsinstellingen steeds belangrijker
Cybercrime was altijd al een groot probleem voor onderwijsinstellingen. De opkomst van AI, de verschuiving van data naar de cloud en het gebruik van diensten als Azure hebben bovendien nieuwe vormen ervan met zich meegebracht. Daarom was het de hoogste tijd voor een rondetafel 'Security in Educatie', waarbij leveranciers en onderwijsinstellingen met elkaar in discussie gingen.
Cybercriminaliteit stijgt, cyberweerbaarheid blijft achter
Aan het begin van de rondetafel benadrukt Charles Stork, directeur van SLBdiensten, nog maar eens het belang van een goede beveiliging aan de hand van wat incidenten die er de afgelopen tijd in het onderwijs plaatsgevonden hebben, waarbij SLBdiensten de school heeft ondersteund. Tony Krijnen, Cloud Solutions Architect van Microsoft, haalt vervolgens twee rapporten aan: de publicatie van Ministerie van Justitie en Veiligheid ‘Cybersecuritybeeld Nederland 2023’ en de publicatie van Microsoft ‘The state of Cybercrime’.
De voornaamste conclusie: de trend van aanvallen stijgt alleen maar, terwijl de cyberweerbaarheid van Nederland achterblijft.
Georganiseerde misdaad met een managementstructuur
Krijnen stelt zelfs dat cybercriminaliteit zich tot een miljardenindustrie van georganiseerde misdaad met een managementstructuur heeft ontwikkeld, omdat bedrijven, organisaties en onderwijsinstellingen hen de gelegenheid hiervoor bieden. Omdat 79 procent van de succesvolle aanvallen zijn gericht tegen organisaties met minder dan 500 werknemers, moeten veel onderwijsinstellingen zich volgens hem zorgen maken. Volgens Stork is een Multi-Factor Authenticatie (MFA) belangrijk bij de digitale beveiliging. Een rondvraag leert echter dat dit bij lang niet alle onderwijsinstellingen vanzelfsprekend is. Hetzelfde geldt voor het maken van een back-up.
Stork spreekt daarop zijn verbazing uit dat onderwijsinstellingen wel investeren in fysieke veiligheid, maar vanwege de kosten vaak niet in digitale veiligheid. Dit is om meerdere redenen onverstandig:
- Een cyberaanval kan grote gevolgen hebben, tot schoolsluiting aan toe.
- Het nalaten van MFA kan onderwijsinstellingen problemen opleveren bij een verzekeraar.
André Poot, beleidsadviseur ICT & Onderwijs bij de Willem van Oranje Onderwijsgroep, geeft daarop in een reactie aan, dat verzekeraars aangeven dat scholen in het funderend onderwijs slecht verzekerbaar zijn, omdat bij bestuurders van onderwijsinstellingen er rond de dreiging van cybercrime onvoldoende besef van urgentie bestaat, waardoor niet geïnvesteerd wordt in tegenmaatregelen.
Persoonlijke aansprakelijkheid bestuurders
De discussie gaat er vervolgens over in hoeverre bestuurders van onderwijsinstellingen persoonlijk aansprakelijk kunnen worden gesteld vanwege nalatigheid bij cybercrime. Hoewel de conclusie is dat dat niet moet en dat het bovendien nog niet zo eenvoudig is, moet er volgens de deelnemers wel awareness bij de bestuurders komen over het belang van cybersecurity.
Volgens Jurgen Schouten, ICT-manager van de Stichting voor Onderwijs op Reformatorische Grondslag (SORG), zien veel bestuurders IT en IT beveiliging over het algemeen als kostenpost, omdat het uitgaven zijn die op onderwijsgebied niet zichtbaar iets bijdragen. Vaak moet er eerst iets gebeuren, vóór men beseft dat het écht nodig is.
De aanwezigen zijn het erover eens dat de ogen vaak pas open gaan als zich een incident voordoet of als een game wordt gespeeld die een levensechte bedreigende situatie simuleert.
Goed beheer huidige licenties voorkomt problemen
Krijnen geeft aan dat de meeste onderwijsinstellingen met een Microsoftlicentie zich geen zorgen hoeven te maken. Ze hebben namelijk al alle licenties en mogelijkheden en hoeven geen extra kosten te maken. Wel moeten ze de licenties goed inrichten en ze configureren, instellen en aanzetten. Sohrab voegt hieraan toe dat scholen altijd tekortkomen aan financiële mogelijkheden. Om die reden moeten onderwijsinstellingen zich eerst focussen op wat zij al beschikbaar hebben om toe te passen. "Zo kun je al veel doen met de al aanwezige A3(E3) licentie voor beveiliging."
Rob Tesselaar, eigenaar Check Privacy en Check Security, komt vervolgens met de suggestie dat leveranciers gaan eisen wat de klant op het gebied van cybersecurity voor elkaar moet hebben.
Volgens Stork is het vooral belangrijk dat scholen weten wat de baseline op het gebied van cybersecurity is en hoe ze die moeten inrichten. Bovendien moeten er duidelijk afspraken zijn over het aanzetten ervan.
Verloop in IT-branche verstoort ontwikkelen duurzame relaties
Stork stelt de onderwijsinstellingen de vraag wat SLBdiensten kan bespreken met de partners om het kennisniveau van de onderwijsinstellingen te verhogen. Poot geeft in een reactie aan dat het voornaamste probleem het verloop van accountmanagers en specialisten is bij de IT-branche. Hierdoor kunnen onderwijsinstellingen geen duurzame relatie opbouwen met hun partners en dat staat duurzaam IT-beheer in de weg. Sohrab Ghaderi, Coördinator IT, Stichting ZAAM, interconfessioneel voortgezet onderwijs, geeft daarop aan dat ZAAM om deze reden besloten heeft om te verkavelen en niet meer te doen aan onestopshops. Schouten benadrukt dat het voor de scholen belangrijk is om een IT-partij te hebben die de business kent.
Urgentie van digitale veiligheid
De deelnemers discussiëren vervolgens erover hoe ervoor gezorgd kan worden dat bestuurders inzien hoe groot de urgentie van digitale veiligheid is bij onderwijsinstellingen. Volgens Poot helpt het als bestuurders voorbeelden zien wat er gebeurt als het mis gaat. De grootste angst van bestuurders is namelijk reputatieschade. Stork vraagt daarop aan de deelnemers of het scholen zou helpen als er meer assessment beschikbaar zouden zijn.
Schouten wijst er op dat het niet op orde hebben van de digitale beveiliging grote gevolgen kan hebben. Hij vindt dat schoolbesturen net zo naar ICT-basisvoorzieningen moeten kijken als naar gas, water en licht: het moet het altijd doen en als het het niet doet moet een monteur al onderweg zijn. Schouten zou het prettig vinden als er voor de vo-sector een partij zou zijn, die veel zaken bij elkaar brengt en initieert en organiseert, zodat instellingen zelf niet allemaal het wiel hoeven uit te vinden, net als SURF bij het hoger onderwijs.
Nog veel te winnen
De deelnemers concluderen aan het eind van de rondetafel, dat er in het onderwijs op het gebied van cyberbeveiliging nog veel te winnen is. Wel zijn ze het erover eens dat de discussie veel stof tot nadenken heeft gegeven en intern zeker aanleiding zal zijn voor gesprekken over vervolgacties. Ondertussen werpt het Normenkader Informatiebeveiliging en Privacy Funderend Onderwijs, de ondergrens waaraan iedere schoolorganisatie in 2027 moet voldoen, zijn schaduw vooruit. Tesselaar doet daarom aan het eind een oproep: “Maak bestuurders aan de hand van actuele voorbeelden bewust van de risico’s van cybercrime als ze niet aan de slag gaan met het Normenkader.”
Neem contact op
Heb jij naar aanleiding van deze rondetafel vragen of opmerkingen? Neem dan contact op met onze servicedesk. Naar aanleiding van jouw verzoek koppelen we je door aan een van onze expert die jou verder kan helpen.
