10 lessen uit de succesvolle webinarreeks ‘Help, onze school is gehackt’
Stel je voor: één van de scholen in de stichting is gehackt. Plotseling staan in alle scholen de laptops en digiborden op zwart. Leraren en leerlingen hebben geen toegang meer tot digitaal lesmateriaal en een anonieme afzender eist tonnen aan losgeld. Wat nu?
Het aantal ransomware-aanvallen in het onderwijs neemt alleen maar toe. Dit scenario is helaas dan ook zeer reëel: het lijkt niet meer de vraag óf je wordt gehackt, maar wanneer. De afgelopen maanden zijn leden van de PO-Raad en VO-raad daarom meegenomen in de wereld van digitale veiligheid en cybercriminaliteit in het onderwijs tijdens een driedelige webinarreeks. In dit artikel delen we de 10 belangrijkste lessen.
-
Ingrid de Bonth (vicevoorzitter VO-raad): Schoolbesturen worden ondersteund bij het op orde brengen van de digitale veiligheid.
"We zien dat dit geen kleine opdracht is en dat schoolbesturen en scholen vanuit wisselende startposities komen. Vanuit de PO-Raad en VO-raad zetten we ons in samenwerking met OCW, Kennisnet en SIVON in om scholen te ondersteunen bij deze ontwikkeling en de professionaliseringsbehoefte die daarbij ontstaat." Ook pleiten we ervoor om de uitvoerbaarheid en haalbaarheid van de normen te onderzoeken, zodat de benodigde maatregelen getroffen kunnen worden.
-
Sanne Maasakkers (security specialist bij het Nationaal Cyber Security Center): Oefen binnen je organisatie met digitale veiligheid
"Hiermee oefenen kan bijvoorbeeld door een hack te simuleren met een game. Hiermee kun je bepaalde kennis en vaardigheden trainen. Denk aan vragen als: wat doe je als eerste bij een incident? Wie bel je? Wat zeg je tegen de media? En zou je losgeld betalen? Wanneer wel, wanneer niet?" De opbrengsten van de simulatie kunnen worden opgenomen in een crisis- en herstelplan, zodat je een draaiboek hebt klaarliggen.
-
Chris Zintel (kwartiermaker programma Digitaal Veilig Onderwijs): Je hoeft het niet alleen te doen
"We gaan samen stap voor stap zorgen voor digitaal veilig onderwijs voor iedere leerling. Gebruik het normenkader IBP FO als leidraad en ga aan de slag. Je kunt daarbij gebruik maken van het landelijke ondersteuningsaanbod van de PO-Raad, VO-raad, Kennisnet en SIVON."
-
Henk Links (Information Security Officer Christelijke Onderwijs Groep Vallei & Gelderland-Midden): Gebruik het normenkader niet als checklist, maar als groeimodel
“Het mbo werkt vanuit drie aandachtsgebieden, die alle statements van het model omvatten: Governance, Processen en Technische Weerbaarheid. Het is dus niet alleen een feestje van ICT, maar bij informatieveiligheid heeft iedereen in de organisatie een rol. Erg belangrijk om duidelijke beleidsafspraken te maken, expliciet de verantwoordelijkheden te beleggen en processen met betrekking tot informatieveiligheid vast te leggen. Gebruik het normenkader daarom niet als checklist, maar als groeimodel. Het is een handreiking voor scholen om te werken aan digitale veiligheid."
-
Pauline Satter (bestuurder Christelijke Onderwijs Groep Vallei & Gelderland-Midden): Neem als bestuurder je organisatie goed mee
“Studenten en leerlingen geven hun gegevens in goed vertrouwen aan de school. Ik stelde al bestuurder in het MBO de vraag: ‘Hoe gaan we om met deze gegevens?’ en startte een projectgroep om het gesprek op gang te brengen. Managers en directeuren volgden een training en het onderwerp komt ook bij het bestuur regelmatig op de agenda. Maak gebruik van bestaande samenwerkingen en platforms: Kennisnet en SIVON bijvoorbeeld. En kijk naar collega- bestuurders, die je kunnen helpen om het gesprek te voeren."
-
Raymondo Boerkamp (Informatiemanager OVO Zaanstad): Begin op tijd
"Begin op tijd, wij wilden eerst weten waar onze organisatie nu staat zodat we een plan kunnen maken.’’ Tegen andere schoolbesturen zegt hij: "Wees niet terughoudend, misschien ben je wel verder dan je denkt. De Deep Dive audit) van SIVON geeft concrete suggesties over waar en hoe er verbeterd kan worden op het gebied van informatiebeveiliging en privacy. Bovendien krijg je een advies voor de prioritering hiervan en krijg je duidelijkheid over wie in jouw organisatie welke verantwoordelijkheid zou moeten dragen."
-
Daniël Verlaan (onderzoeksjournalist): Scholen zijn een eenvoudig doelwit
"Misschien kun je aan scholen wel minder losgeld vragen dan aan andere organisaties, maar ze zijn op dit moment wel een eenvoudig doelwit. Criminelen zoeken altijd naar manieren om binnen te komen."
-
Daniël Verlaan: Gebruik zowel zakelijk als privé een wachtwoordmanager
"Een password-manager stopt al jouw wachtwoorden in een digitale kluis en beveiligt ze met een overkoepelend wachtwoord. Je hoeft dan voortaan maar één wachtwoord te onthouden om toegang te krijgen tot al je accounts. Password-managers hebben de mogelijkheid om jouw inloggegevens in te voeren bij websites. Dit beschermt je al tegen veel phishing-aanvallen. Goede voorbeelden van een wachtwoordmanagers zijn 1Password of Bitwarden."
-
Daniël Verlaan: Kies een zin als wachtwoord
"Kies een zin die je makkelijk onthoudt en gebruik spaties en leestekens. Bijvoorbeeld: ‘Star Wars is 100% de beste film aller tijden!’ of ‘Ik eet elke week 3 borden boerenkool."
➝ Luister ook de podcast 'Ik weet je wachtwoord' van Daniël Verlaan. -
Freddy Weima (voorzitter PO-Raad): Regel ook voor leerlingen multifactorauthenticatie
"76 procent van de circa 250 deelnemers aan de webinars geeft aan een wachtwoordbeleid te hebben en multifactorauthenticatie (MFA) te hebben ingesteld voor personeel op de belangrijkste systemen. Nog veiliger is om daarnaast ook MFA voor leerlingen in te stellen, dat heeft 9 procent van de deelnemers al geregeld." Dit onderwerp is onderdeel van het Normenkader, domein 11 (security management).
Jouw leidraad: het Normenkader IBP funderend onderwijs:
Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Het is daarom een belangrijk hulpmiddel om jouw school digitaal veilig te maken. Het voldoen aan de normen kan stap voor stap worden aangepakt. Daarvoor wordt een groeipad gemaakt, dat adviseert over de maatregelen die je kunt nemen en op welk moment je dat het beste kunt doen om de normen te halen. Als je dit groeipad volgt, bereik je het doel in een realistisch tempo en kan je de maatregelen nemen die passen bij wat nodig is voor jouw school.
Bit by Bit, Samen voor Digitaal Veilig Onderwijs
Om digitaal veilig onderwijs te kunnen bieden, zijn doordachte gegevensverwerking én goede gegevensbeveiliging van groot belang. Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen heldere leidraden en een concreet ondersteuningsaanbod. Zo kunnen zij voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.