• Tips
• |
• Informatiebeveiliging en privacy
• |
• po
• vo

Ict-beveiliging op school, waar begin je?

Een slecht beveiligde ict-omgeving kan leiden tot vervelende situaties met grote gevolgen voor een school. Lesuitval, toetsen die niet doorgaan, verloren documenten, te laat betaalde facturen of salarissen – het zijn reële risico’s. Met welke maatregelen verklein je de kans dat het misgaat? In dit artikel zetten we ze op een rij.

Door de redactie

11 november 2021

7 minuten lezen

Elke verstoring in een onderdeel van de ict-omgeving kan grote impact hebben op het onderwijs of het werk van de ondersteunende afdelingen. Denk aan een haperende internetverbinding, digitale leermiddelen die niet goed werken of bedrijfssystemen die tijdelijk plat gaan.

Scholen zijn zich bewust van de risico’s maar zijn tegelijkertijd niet voldoende weerbaar – omdat de basisbeveiliging nog vaak ontbreekt of niet goed is ingericht. We gaan eerst kort in op de risico’s en geven daarna tien maatregelen die je kunt nemen. Dit zijn adviezen die te maken hebben met de organisatie en met de technische inrichting van devices en systemen.

Risico’s van een onbeveiligde ict-omgeving

Wanneer je ict-omgeving onvoldoende beveiligd is, lopen je data en ict-voorzieningen een risico. Dit kan er gebeuren:

• Datalek waarbij privacygevoelige informatie in verkeerde handen komt. Denk aan persoonsgegevens, zorggegevens van leerlingen of gespreksverslagen van medewerkers.
• Bewuste verstoring van ict-voorzieningen. Denk aan een leerling die een DDoS-aanval bestelt om een toets of examen te verstoren of een leerling die het digibord tijdens een les overneemt via zijn telefoon. Of een hacker die ransomware installeert waardoor bestanden worden versleuteld. De bestanden zijn pas weer te gebruiken na betaling van een afkoopsom.
• Manipulatie van data als inloggegevens zijn buitgemaakt en data worden aangepast. Denk aan leerlingen die cijfers veranderen, medewerkers die beoordelingen wijzigen of hackers die betalingsgegevens aanpassen.
• Overname of misbruik van ict-voorzieningen. Denk aan criminelen die internetcapaciteit overnemen, spam-mails versturen via e-mailaccounts van de organisatie of malware installeren.

Je kunt de risico’s die je school loopt verkleinen door een aantal organisatorische en technische maatregelen te nemen. De maatregelen zijn geschikt voor kleine én grote scholen. Overleg met je ict-afdeling of de externe ict-beheerpartij wat er voor jouw school nodig is.

Organisatorische maatregelen

Bij beveiliging wordt als eerste gedacht aan technische maatregelen en regels en voorschriften bij het gebruik van de ict-omgeving. Termen als firewall, encryptie, wachtwoordbeleid, internetprotocol en privacy reglement zijn bij veel mensen wel bekend. Maar om deze maatregelen effectief in de school in te zetten, is het nodig om eerst de organisatorische kant van de beveiliging goed te regelen. Hierbij zijn 4 zaken van belang:

1. Inzicht in de ict-omgeving

Het klinkt simpel maar het is niet vanzelfsprekend. Zorg dat je weet wat je in huis hebt, waar het zich bevindt en wie het gebruikt. Welke devices zijn er voor leerlingen en medewerkers, uit welke componenten bestaat het netwerk, welke applicaties en systemen worden gebruikt, waar worden bestanden opgeslagen? Met dit inzicht is het makkelijker om over beveiliging na denken.

Naar de Appchecker

2. Heldere verantwoordelijkheden

Zorg dat duidelijk is wie er verantwoordelijk is voor het juist en veilig gebruik van de verschillende onderdelen van de ict-omgeving. En wie dus bepaalt wat je daarmee bedoelt, ‘juist en veilig gebruik’. Dat kan bijvoorbeeld het hoofd van de ict-afdeling zijn voor de devices en het netwerk, het hoofd van de administratie voor het financiële systeem of een schooldirecteur voor de ELO en de educatieve applicaties.

3. Goede ondersteuning

De collega’s die verantwoordelijk zijn voor (delen van) de ict-omgeving, zijn over het algemeen geen beveiligingsexperts. Ze hebben vaak geen volledig beeld van wat er in de volle breedte van de organisatie speelt op veiligheidsgebied. Zorg voor iemand die de kennis, tijd én positie heeft om op organisatieniveau over beveiliging te adviseren, dit te coördineren en controleren. Dit kan bijvoorbeeld een eigen Security Officer of Functionaris Gegevensbescherming zijn of je kunt hiervoor externe expertise inhuren.

4. Bewustzijn in de school

Creëer bij iedereen bewustzijn voor de risico’s van het gebruik van de ict-omgeving en de noodzaak van passende beveiligingsmaatregelen. Leg met voorbeelden uit waarom je kiest voor een bepaalde aanpak, waarom het belangrijk is voor de organisatie en welke problemen je ermee wilt voorkomen. Er zijn voldoende recente nieuwsberichten van scholen die het slachtoffer werden van een cyberaanval, jouw school wil natuurlijk niet de volgende zijn.

Technische maatregelen

Als je inzicht hebt in de ict-omgeving, als je de organisatie van de beveiliging hebt geregeld en aandacht hebt besteed aan bewustzijn binnen de school, dan kun je aan de slag met de meer technische uitvoering. De volgende maatregelen zijn daarbij van belang:

5. Versleuteling

Versleutel computers, laptops, telefoons, usb-sticks en andere apparaten die gevoelige informatie bevatten. Het versleutelen van bestanden maakt dat deze niet in te zien en dus onbruikbaar zijn als een devices of apparaat in verkeerde handen valt.

6. Updates

Installeer updates. Ze zijn er niet voor niets! Applicaties en systemen bevatten altijd foutjes. De ene fout is daarbij ernstiger dan de andere. Updates verhelpen de fouten en maken de ict-omgeving minder kwetsbaar. Zorg ervoor dat updates tijdig worden geïnstalleerd. Breng hierbij alle applicaties en it-systemen binnen de ict-omgeving in kaart, vergeet ook de devices en netwerkcomponenten niet.

7. Back-ups

Maak regelmatig back-ups van je bestanden en it-systemen. In veel gevallen is een back-up dé manier om een probleem op te lossen of een systeem te herstellen. Vergeet niet om regelmatig te controleren of de back-ups gelukt zijn. Test ook of het goed werkt wanneer je een bestand vanuit de back-up terugzet of een systeem vanuit de back-up herstelt.

Bekijk hoe je een back-up en herstelplan maakt (Aanpak IBP)

8. Toegang tot bestanden en systemen

Wie heeft toegang? Zorg ervoor dat je dit in beeld hebt. Geef medewerkers een persoonlijk account en alleen toegang tot die bestanden en systemen die ze nodig hebben voor hun werk. Als er dan toch onverhoopt een probleem optreedt dan is de omvang daarvan beperkt. Controleer ook de toegang van externe partijen tot je interne netwerk. Schakel beheeraccounts uit en activeer deze alleen wanneer dat nodig is, bijvoorbeeld als onderhoud plaatsvindt.

9. Extra check via 2-factor authenticatie

Pas 2-factor authenticatie toe bij accounts van beheerders en accounts van gebruikers van belangrijke applicaties. Naast een wachtwoord heeft de gebruiker iets extra’s zoals een token of een eenmalige code nodig om in te loggen. Met zo’n authenticatie kan iemand die een wachtwoord heeft achterhaald of geraden, het systeem meestal toch niet in dankzij de extra check.

10. Veilige internetverbinding

Zorg voor een veilige internetverbinding. Naast leerlingen en medewerkers maken ook apparaten steeds vaker gebruik van het internet – het zogenoemde internet of things (IoT). Slimme apparaten maken automatisch verbinding om gegevens uit te wisselen en dat vormt een risico. Ga dus na in welke gevallen dit gebeurt. Sta internettoegang alleen toe waar dit noodzakelijk is. Plaats apparaten zonodig in een apart deel van het netwerk met extra beveiligingsmaatregelen.

En dan nog…

Met deze maatregelen leg je de basis van een effectieve beveiliging van de ict-omgeving in de school. En dan nog, hoe goed je het ook regelt en hoe goed iedereen in de school zijn best doet om zich aan de regels en afspraken te houden, het kan toch een keer mis gaan.

Zorg ervoor dat je bent voorbereid op incidenten of op een calamiteit. Wat doe je als een onderdeel van de ict-omgeving niet meer werkt, als een belangrijk it-systeem uitvalt of als de school het doelwit is van een ransomware-aanval? Met een herstelplan kun je ervoor zorgen dat het onderwijs weer zo snel mogelijk op gang komt en dat de it-systemen van de ondersteunende organisatie weer vlot draaien.

Meer informatie en tips

• In dit artikel gingen we in op de basisveiligheidsmaatregelen voor de ict-omgeving. Ben je specifiek op zoek naar maatregelen rond informatiebeveiliging en privacy, kijk dan op de website Aanpak IBP. Of zoek contact met het het Netwerk IBP po/vo.
• Voor dit artikel hebben we onder meer gebruikgemaakt van informatie van Kantar & Breens Network en het Nationaal Cyber Security Centrum.
• De coöperatie SIVON voor primair en voortgezet onderwijs biedt scholen verschillende diensten die de ict-veiligheid verhogen. Zo is er de dienst Veilig internet. SIVON bemiddelt als je op zoek bent naar een Functionaris Gegevensbescherming.

8 maatregelen om je infrastructuur te beveiligen

pdf | 740.2 KB

Download Lees direct

Lees verder

• Dreigingsbeeld Funderend Onderwijs brengt relevante en actuele dreigingen in kaart
• Informatiemanagement en het belang van informatiebeveiliging en privacy
• DDoS-aanvallen op school en hackende leerlingen
• Inzicht in het applicatielandschap

Netwerk Informatiebeveiliging en Privacy po/vo

Wil je met collega’s die zich ook bezighouden met IBP op school, kennis en ervaringen delen, gebruikmaken van standaarddocumenten en met elkaar in gesprek? Meld je dan aan voor het Netwerk Informatiebeveiliging en Privacy po/vo.

Meer informatie en aanmelden