• Opinie
• |
• Informatiebeveiliging en privacy
• |
• po
• vo

Informatieveiligheid – ‘Laat je niet in slaap sussen door groene vinkjes’

Kennisnet is betrokken bij de ontwikkeling van een nieuwe analysetool voor informatieveiligheid: KAT. Die legt kwetsbaarheden rond cybersecurity bloot die voorheen uit het zicht bleven, legt Larissa Zegveld uit.

Door Larissa Zegveld

1 juli 2022

4 minuten lezen

Bij Kennisnet nemen we onze informatieveiligheid serieus. We voeden onze medewerkers op om de kans op een cyberaanval te verkleinen. Onze apparaten en ict-infrastructuur zijn netjes beveiligd en al onze processen voldoen aan de ISO 27001-norm. We hebben plannen klaarliggen om accuraat te kunnen reageren op een aanval. En we hebben maatregelen genomen om grote schade te voorkomen voor als het onverhoopt toch een keer misgaat. Kortom, we hebben onze zaakjes op orde.

In een paar klikken binnen 

En toch kan het altijd gebeuren dat iemand ergens een deurtje vergeet te sluiten. We lieten Brenno de Winter, cyberexpert en chief security officer bij VWS, onlangs de proef op de som nemen. In een paar klikken had hij een server met verouderde software gevonden. Deze kwetsbaarheid kwam aan het licht tijdens een demo van KAT, een opensourcetool-in-ontwikkeling die kwetsbaarheden in software op een vernieuwende manier analyseert. De tool is specifiek ontwikkeld voor de zorg, bijvoorbeeld om de veiligheid van de CoronaCheck-app te blijven monitoren. Maar volgens Dirk Linden, CTO bij Kennisnet, kan ook het onderwijs er gebruik van maken. “Het aantrekkelijke van KAT is dat deze tool zich niets aantrekt van waar jij denkt dat de kwetsbaarheden zitten. Door verschillende analysetools te integreren en slim te associëren, wordt alles gescand, ook onderdelen die buiten de scope van de traditionele audit vallen.” 

Dreiging cybercriminaliteit neemt toe 

Als bestuurder kan ik me niet in slaap laten sussen door de groene vinkjes in auditrapporten. Ik zie de voorbeelden om me heen van medebestuurders die dachten hun informatieveiligheid op orde te hebben, maar toch met een flinke hack te maken kregen. Daaronder ook een aantal bestuurders van onderwijsorganisaties. Want óók het onderwijs is doelwit van cybercriminelen en hun dreiging neemt toe. Hoe meer gewend scholen zijn aan digitaal werken, hoe kwetsbaarder ze zijn.  

Verdere ontwikkeling van KAT-tool 

We komen uit een periode waarin we veel aandacht hebben gestoken in het formuleren van de goede auditvragen vooraf. Inmiddels weten we dat dit niet wil zeggen dat alles zichtbaar wordt. Precies daarom werken we met VWS en andere sectoren samen aan de verdere ontwikkeling van de KAT-tool, zodat we die ook in het onderwijs kunnen gebruiken. Als gids en bouwer van het ict-fundament in het onderwijs horen we wat voor de muziek uit te lopen.

De tool is nog niet af en wordt alleen maar sterker doordat verschillende sectoren betrokken zijn in de ontwikkeling. Of zoals Dirk het zegt: “De uitdagingen die in het publieke domein op ons afkomen, zijn te ingewikkeld om zelf maar uit te vogelen hoe je daarmee om moet gaan.”  

Meer dan het huidige gereedschap 

Eind juni 2022 is de KAT-tool opensource gemaakt voor de zorg. Kennisnet is aangehaakt om de tool geschikt te maken voor het onderwijs, iets wat volgens Brenno de Winter relatief eenvoudig te doen is. Is KAT iets verder doorontwikkeld, dan gaan we eerst de diensten analyseren die Kennisnet zelf aan het onderwijs aanbiedt. In de loop van het 2022 willen we de tool in samenwerking met het Netwerk Informatiebeveiliging en Privacy po/vo op een aantal scholen gaan testen. En nee, ook KAT zal niet hét antwoord zijn op cybercriminaliteit. Maar het kan wel uitgroeien tot een krachtige analysetool die meer biedt dan het gereedschap dat we nu in handen hebben.  

Over de auteur Larissa Zegveld

Larissa Zegveld is directeur-bestuurder van Kennisnet