Elke verstoring in een onderdeel van de ict-omgeving kan grote impact hebben op het onderwijs of het werk van de ondersteunende afdelingen. Denk aan een haperende internetverbinding, digitale leermiddelen die niet goed werken of bedrijfssystemen die tijdelijk plat gaan.
Scholen zijn zich bewust van de risico’s maar zijn tegelijkertijd niet voldoende weerbaar – omdat de basisbeveiliging nog vaak ontbreekt of niet goed is ingericht. We gaan eerst kort in op de risico’s en geven daarna 10 maatregelen die u kunt nemen. Dit zijn adviezen die te maken hebben met de organisatie en met de technische inrichting van devices en systemen.
Risico’s van een onbeveiligde ict-omgeving
Wanneer uw ict-omgeving onvoldoende beveiligd is, lopen uw data en ict-voorzieningen een risico. Dit kan er gebeuren:
- Datalek waarbij privacygevoelige informatie in verkeerde handen komt. Denk aan persoonsgegevens, zorggegevens van leerlingen of gespreksverslagen van medewerkers.
- Bewuste verstoring van ict-voorzieningen. Denk aan een leerling die een DDoS-aanval bestelt om een toets of examen te verstoren of een leerling die het digibord tijdens een les overneemt via zijn telefoon. Of een hacker die ransomware installeert waardoor bestanden worden versleuteld. De bestanden zijn pas weer te gebruiken na betaling van een afkoopsom.
- Manipulatie van data als inloggegevens zijn buitgemaakt en data worden aangepast. Denk aan leerlingen die cijfers veranderen, medewerkers die beoordelingen wijzigen of hackers die betalingsgegevens aanpassen.
- Overname of misbruik van ict-voorzieningen. Denk aan criminelen die internetcapaciteit overnemen, spam-mails versturen via e-mailaccounts van de organisatie of malware installeren.
U kunt de risico’s die uw school loopt verkleinen door een aantal organisatorische en technische maatregelen te nemen. De maatregelen zijn geschikt voor kleine én grote scholen. Overleg met uw ict-afdeling of de externe ict-beheerpartij wat er voor uw school nodig is.
Organisatorische maatregelen
Bij beveiliging wordt als eerste gedacht aan technische maatregelen en regels en voorschriften bij het gebruik van de ict-omgeving. Termen als firewall, encryptie, wachtwoordbeleid, internetprotocol en privacy reglement zijn bij veel mensen wel bekend. Maar om deze maatregelen effectief in de school in te zetten, is het nodig om eerst de organisatorische kant van de beveiliging goed te regelen. Hierbij zijn 4 zaken van belang:
1. Inzicht in de ict-omgeving
Het klinkt simpel maar het is niet vanzelfsprekend. Zorg dat u weet wat u in huis heeft, waar het zich bevindt en wie het gebruikt. Welke devices zijn er voor leerlingen en medewerkers, uit welke componenten bestaat het netwerk, welke applicaties en systemen worden gebruikt, waar worden bestanden opgeslagen? Met dit inzicht is het makkelijker om over beveiliging na denken.
2. Heldere verantwoordelijkheden
Zorg dat duidelijk is wie er verantwoordelijk is voor het juist en veilig gebruik van de verschillende onderdelen van de ict-omgeving. En wie dus bepaalt wat u daarmee bedoelt, ‘juist en veilig gebruik’. Dat kan bijvoorbeeld het hoofd van de ict-afdeling zijn voor de devices en het netwerk, het hoofd van de administratie voor het financiële systeem of een schooldirecteur voor de ELO en de educatieve applicaties.
3. Goede ondersteuning
De collega’s die verantwoordelijk zijn voor (delen van) de ict-omgeving, zijn over het algemeen geen beveiligingsexperts. Ze hebben vaak geen volledig beeld van wat er in de volle breedte van de organisatie speelt op veiligheidsgebied. Zorg voor iemand die de kennis, tijd én positie heeft om op organisatieniveau over beveiliging te adviseren, dit te coördineren en controleren. Dit kan bijvoorbeeld een eigen Security Officer of Functionaris Gegevensbescherming zijn of u kunt hiervoor externe expertise inhuren.
4. Bewustzijn in de school
Creëer bij iedereen bewustzijn voor de risico’s van het gebruik van de ict-omgeving en de noodzaak van passende beveiligingsmaatregelen. Leg met voorbeelden uit waarom u kiest voor een bepaalde aanpak, waarom het belangrijk is voor de organisatie en welke problemen u ermee wilt voorkomen. Er zijn voldoende recente nieuwsberichten van scholen die het slachtoffer werden van een cyberaanval, uw school wil natuurlijk niet de volgende zijn.
Technische maatregelen
Als u inzicht heeft in de ict-omgeving, als u de organisatie van de beveiliging heeft geregeld en aandacht heeft besteed aan bewustzijn binnen de school, dan kunt u aan de slag met de meer technische uitvoering. De volgende maatregelen zijn daarbij van belang:
5. Versleuteling
Versleutel computers, laptops, telefoons, usb-sticks en andere apparaten die gevoelige informatie bevatten. Het versleutelen van bestanden maakt dat deze niet in te zien en dus onbruikbaar zijn als een devices of apparaat in verkeerde handen valt.
6. Updates
Installeer updates. Ze zijn er niet voor niets! Applicaties en systemen bevatten altijd foutjes. De ene fout is daarbij ernstiger dan de andere. Updates verhelpen de fouten en maken de ict-omgeving minder kwetsbaar. Zorg ervoor dat updates tijdig worden geïnstalleerd. Breng hierbij alle applicaties en it-systemen binnen de ict-omgeving in kaart, vergeet ook de devices en netwerkcomponenten niet.
7. Back-ups
Maak regelmatig back-ups van uw bestanden en it-systemen. In veel gevallen is een back-up dé manier om een probleem op te lossen of een systeem te herstellen. Vergeet niet om regelmatig te controleren of de back-ups gelukt zijn. Test ook of het goed werkt wanneer u een bestand vanuit de back-up terugzet of een systeem vanuit de back-up herstelt.
8. Toegang tot bestanden en systemen
Wie heeft toegang? Zorg ervoor dat u dit in beeld heeft. Geef medewerkers een persoonlijk account en alleen toegang tot die bestanden en systemen die ze nodig hebben voor hun werk. Als er dan toch onverhoopt een probleem optreedt dan is de omvang daarvan beperkt. Controleer ook de toegang van externe partijen tot uw interne netwerk. Schakel beheeraccounts uit en activeer deze alleen wanneer dat nodig is, bijvoorbeeld als onderhoud plaatsvindt.
9. Extra check via 2-factor authenticatie
Pas 2-factor authenticatie toe bij accounts van beheerders en accounts van gebruikers van belangrijke applicaties. Naast een wachtwoord heeft de gebruiker iets extra’s zoals een token of een eenmalige code nodig om in te loggen. Met zo’n authenticatie kan iemand die een wachtwoord heeft achterhaald of geraden, het systeem meestal toch niet in dankzij de extra check.
10. Veilige internetverbinding
Zorg voor een veilige internetverbinding. Naast leerlingen en medewerkers maken ook apparaten steeds vaker gebruik van het internet – het zogenoemde internet of things (IoT). Slimme apparaten maken automatisch verbinding om gegevens uit te wisselen en dat vormt een risico. Ga dus na in welke gevallen dit gebeurt. Sta internettoegang alleen toe waar dit noodzakelijk is. Plaats apparaten zonodig in een apart deel van het netwerk met extra beveiligingsmaatregelen.
En dan nog…
Met deze maatregelen legt u de basis van een effectieve beveiliging van de ict-omgeving in de school. En dan nog, hoe goed u het ook regelt en hoe goed iedereen in de school zijn best doet om zich aan de regels en afspraken te houden, het kan toch een keer mis gaan.
Zorg ervoor dat u bent voorbereid op incidenten of op een calamiteit. Wat doet u als een onderdeel van de ict-omgeving niet meer werkt, als een belangrijk it-systeem uitvalt of als de school het doelwit is van een ransomware-aanval? Met een herstelplan kunt u ervoor zorgen dat het onderwijs weer zo snel mogelijk op gang komt en dat de it-systemen van de ondersteunende organisatie weer vlot draaien.
Meer informatie en tips
- In dit artikel gingen we in op de basisveiligheidsmaatregelen voor de ict-omgeving. Bent u specifiek op zoek naar maatregelen rond informatiebeveiliging en privacy, kijk dan op de website Aanpak IBP. Of zoek contact met het het Netwerk IBP po/vo.
- Voor dit artikel hebben we onder meer gebruikgemaakt van informatie van Kantar & Breens Network en het Nationaal Cyber Security Centrum.
- De coöperatie SIVON voor primair en voortgezet onderwijs biedt scholen verschillende diensten die de ict-veiligheid verhogen. Zo is er de dienst Veilig internet. SIVON bemiddelt als u op zoek bent naar een Functionaris Gegevensbescherming.
- Lees ook: 8 maatregelen om uw infrastructuur te beveiligen (pdf) van Kennisnet.