De uitdagingen voor digitale veiligheid in het primair en voortgezet onderwijs




Hoe maak je de digitale schoolomgeving veilig én gebruiksvriendelijk?

 

Whitepaper in samenwerking met Jelle Niemantsverdriet, National Security Officer bij Microsoft

 

Digitale veiligheid is een belangrijk aspect om rekening mee te houden en wordt alleen maar belangrijker. Geen enkele organisatie is tegenwoordig gevrijwaard als het om ransomware gaat, ook scholen niet. Als IT/ICT coördinator denk je misschien, wat valt er nou op mijn school te halen? Maar dat is stiekem best wel wat. Denk aan cijfers of familiesituaties. Voor dit soort data kan veel losgeld gevraagd worden. Als school heb je dus al snel meer waardevolle data dan je denkt en zeker reden om deze goed af te schermen.

 

Digitale veiligheid van primair en voortgezet onderwijs moet omhoog
Scholen zijn digitaal vaak kwetsbaar. Als IT/ICT coördinator moet je waken voor de gedachte: ‘wij zijn maar een kleine school in een kleine gemeente, ons zal niets overkomen’. Gezien de persoonsgegevens waar je mee te maken hebt, heb je als school een grote verantwoordelijkheid om daar zorgvuldig mee om te gaan. Zeker omdat het onderwerp privacy van jongeren en kinderen nog veel gevoeliger ligt dan bij volwassenen.

 

Helaas zie je dat privacy bedenkingen ertoe leiden dat slimme technologieën niet altijd ingezet worden. Het negatieve sentiment over Big Tech leidt ertoe dat scholen bijvoorbeeld geen gebruikmaken van de Windows Defender. Ze zijn bang dat die data steelt of weten niet goed hoe de cloud of een technologie werkt. Een gedachte die voorbijkomt is dan: ‘de cloud heeft een connectie met Google en Facebook, dus er zal wel geld verdiend worden met onze data’. Dat is niet zo, want Microsoft verkoopt ouderwets softwarelicenties en kan heel goed uitleggen waar je data opgeslagen wordt. Het blijft allemaal in Europa. Vanaf 1 januari 2023 is Microsoft bovendien begonnen met een gefaseerde uitrol van de EU Data Boundary-oplossing voor klanten in de publieke sector en commerciële klanten in de Europese Unie (EU). Met deze release breidt Microsoft bestaande lokale opslag- en verwerking verplichtingen uit. Goed om te weten: de cloudservices van Microsoft voldoen al aan de EU-vereisten, de EU-gegevensgrens zal de publieke sector en commerciële klanten in de EU verder in staat stellen hun gegevens te laten verwerken en opslaan in de regio.

 

Onderwijs valt onder de publieke sector en zal daarom ook meer mogelijkheden krijgen voor de keuze in lokale dataopslag. Hard nodig, zo vindt ook het ministerie van Onderwijs, Cultuur en Wetenschappen. Zij heeft halverwege 2022 in een brief aan de Tweede Kamer een plan voorgelegd voor het aanscherpen van de digitale veiligheid van het primair en voortgezet onderwijs. Naast investeringen en beleidsmaatregelen worden ook speciale afspraken gemaakt met softwareleveranciers als Google, Microsoft en Zoom. Volgens het ministerie lopen het primair en voortgezet onderwijs flink achter als het gaat om digitale veiligheid en privacy. Dit is een verontrustende ontwikkeling, aangezien onderwijsinstellingen in toenemende mate het doelwit zijn van cyberaanvallen. De gegevens van en over leerlingen kunnen op straat komen te liggen en de continuïteit van het onderwijs kan in gevaar komen wanneer systemen niet meer benaderbaar zijn. De komende jaren wordt daarom 6 miljoen euro vrijgemaakt voor de nieuwe maatregelen.

 

Nieuw normenkader voor informatiebeveiliging en privacy
De maatregelen komen erop neer dat de overheid meer centrale regie gaat voeren over het digitale veiligheidsbeleid voor het primair en voortgezet onderwijs. Kernelementen van deze regie zijn normen, het ondersteunen van scholen met raad en daad, het uitvoeren van externe audits en sneller optreden bij incidenten.

 

Omdat er nu geen normenkader is, weten scholen vaak niet wat ze moeten doen om hun systemen te beveiligen. Ook privacy maatregelen vergen specialistische juridische kennis die niet op iedere school aanwezig is. Het normenkader wordt gebaseerd op die van SURF, een onderwijsvereniging voor universiteiten en hogescholen. Dit zorgt voor een standaard voor scholen die ze kunnen volgen. Het zijn richtlijnen die helpen en structuur geven, net als leerdoelen of kerndoelen zoals scholen die zelf gebruiken. Daarnaast verplicht het ministerie schoolbesturen om vanaf schooljaar 2023/2024 in hun jaarverslag expliciet aandacht te geven aan informatiebeveiliging en privacy. Verder wordt er een computer emergency response team (CERT) voor het primair en voortgezet onderwijs opgericht. Scholen kunnen hier incidenten melden en worden geholpen met de afhandeling ervan. Het ministerie heeft ook afspraken gemaakt met leveranciers van software die veel wordt gebruikt in het primair en voortgezet onderwijs. Denk daarbij aan aanbieders als Google, Microsoft en Zoom. De producten en diensten moeten voldoen aan zogenoemde Data Protection Impact Assessments. Daarnaast lopen er onderzoeken en gesprekken met Google over Chrome OS en het Google Cloud Platform. Google heeft aangegeven in augustus 2023 een nieuwe versie van Chrome OS en Chrome browser gereed te willen hebben.

 

Wat kun jij als IT/ICT coördinator doen als het gaat om privacy en beveiliging?
Hoe is de digitale veiligheid nu bij jou op school geregeld? Maken jullie al gebruik van tools als Intune voor centrale beveiliging, de Microsoft Security Suite of software met ingebouwde compliance oplossingen?

Enkele praktische tips die je meteen toe kunt passen:

●       Tip 1: Beveilig alle school applicaties met Multi Factor Authentication. Dat is een minimale tweestapsverificatie die je gebruikt om ergens in te loggen. Heb je dit nog niet geregeld, dan moet dit het eerste zijn wat je gaat doen. Aangezien de meeste cyberaanvallen via e-mail plaatsvinden verlaagt het gebruik van Multi Factor Authentication enorm de kans dat jouw digitale leeromgeving getroffen wordt. Hoe meer leerlingen en leerkrachten dit instellen hoe minder vaak je te maken krijgt met gijzelsoftware waarbij losgeld betaald moet worden. Je kunt ook gaan werken met Conditional Access om de gebruiksvriendelijkheid hoog te houden. Hiermee kun je inregelen dat leerlingen niet bij alles wat ze doen continu hun telefoon moeten pakken voor bevestiging.

●       Tip 2: Denk altijd na over het maken van back-ups. Een laptop kan altijd kwijtraken of stuk gaan, maar ook door gijzelsoftware getroffen worden. Gebruik daarom veilige cloud diensten, zoals Microsoft OneDrive. Zo is er altijd een kopie beschikbaar van het schoolwerk van leerlingen. Vergeet ook niet om af en toe te checken of de ingestelde backups goed uitgevoerd worden en of je in staat bent om de data ook weer netjes terug te zetten. Dat kun je beter rustig uitproberen met een testbestandje in plaats van als het eens echt misgegaan is.

       Tip 3: Wees alert op phishing aanvallen. Ook leerlingen kunnen te maken krijgen met internetfraude in de vorm van phishing. Dit zijn nepberichten waarmee je naar een valse website gelokt wordt. Daar wordt je gevraagd om in te loggen en zaken als bankgegevens achter te laten. Maar phishing komt ook vaak voor op WhatsApp. Iemand doet zich bijvoorbeeld voor als de oma van een leerling die geld nodig heeft. “Ik heb een nieuw telefoonnummer en met dit nummer kan ik niet internetbankieren, maar ik moet nu echt iets betalen. Wil jij even wat overmaken?’’. Laat leerlingen weten dat er mensen zijn die aan phishing doen en druk ze op het hart altijd even contact op te nemen met de echte afzender om het verhaal te checken.

Werken naar een samenspel tussen slimme technologieën en slimme gebruikers
De overheid wil dus meer centrale regie gaan voeren over het digitale veiligheidsbeleid voor het primair en voortgezet onderwijs. Een combinatie van kennis delen en meer regels en toetsing rondom digitale veiligheid is waar het naartoe gaat. Veel risico’s kun je gaan afvangen met beveiligingsprogramma’s die leren van computergebruik. Maar scholen kunnen en moeten ook gaan nadenken hoe ze leerlingen digitaal opvoeden.

 

Ook bij de gebruiker ligt een verantwoordelijkheid. Bij Microsoft 365 wordt al heel veel door de software zelf gedaan. In principe zet je het aan en alles doet het. De beveiliging staat. Maar bijvoorbeeld bij applicaties als Azure of Intune heb je al meer vrijheid en zul je nog bepaalde dingen in moeten richten. De tendens is ook wel dat de eindgebruiker, de leerling, als zwakste schakel wordt gezien. Daarom is het fijn als tools het overgrote deel van risico’s buiten houden. Dit raden de experts ook aan: laat leerlingen aan zo min mogelijk gevoelige informatie komen. In samenwerking met Microsoft host The Rent Company webinars over cybersecurity en beveiliging in het onderwijs. Zo helpen we IT’ers, ICT’ers en leerkrachten op weg om de school veilig te maken en houden.

 

Meer weten?

Hoe is de digitale veiligheid nu bij jou op school geregeld? Kun je wel wat hulp gebruiken bij het inrichten van de security en compliance policies op jouw school? Neem dan contact op met The Rent Company. We denken graag met je mee!

microsoft(12).jpg