Ga naar content
Zoek op onderwerpen, blogs, diensten etc.

Cybersecurity in het onderwijs: hoe spring je op de digitaliseringstrein én wapen je jezelf tegen de risico’s?

Blogs
MxDR (Managed eXtended Detection and Response)
Dennis de Hoog
2-6-2023

Momenteel studeren bijna 1,3 miljoen studenten aan circa 60 mbo-scholen, 36 hogescholen en 14 universiteiten in Nederland. Bij deze onderwijsinstellingen werken bijna 175.000 medewerkers, waarvan meer dan de helft docent is. Kortom, het onderwijs is een substantiële sector waarbinnen veel beweging is. Instellingen kampen op dit moment met nijpende personeelstekorten, omdat goede docenten schaars zijn. Ondertussen houden zij zich bezig met de verduurzaming van het onderwijs: links en rechts spruiten de initiatieven uit de grond.

Daarnaast ondergaat de sector ingrijpende veranderingen door de opkomst van Educational Technology — ook wel ‘EduTech’ genoemd. Want net als andere sectoren digitaliseert het onderwijs. Daarmee wordt het leuker, makkelijker en toegankelijker. Maar óók risicovoller. Daar moeten onderwijsinstellingen een balans in zien te vinden. Hoe maak je gebruik van de voordelen én wapen je jezelf tegen de gevaren?

EduTech: méér mogelijkheden, méér kwetsbaarheid

Clouddiensten voor het onderwijs, learning management systems, Nederlandse studenten op afstand colleges laten volgen aan een Amerikaanse universiteit: EduTech-toepassingen maken het mogelijk. Studenten in het reguliere onderwijs kunnen hun kennis door EduTech-toepassingen makkelijker, goedkoper en meer op maat verrijken. Daarnaast bieden sites en apps met extra lesstof docenten verdiepende of verbredende lesstof én geven zij de nodige inzichten in leercurves en cijfers. Ook zien we steeds meer tooling die het makkelijk maakt om digitaal examens af te nemen en certificeringen te verstrekken — op nationaal én internationaal niveau.

Kortom, EduTech groeit enorm. Als onderwijsinstelling wil je gebruikmaken van de mogelijkheden die het biedt. Maar je wilt wél de toenemende risico’s afdekken. Want dat die er zijn, is een feit. Veel EduTech-toepassingen worden bijvoorbeeld aangeboden vanuit internationale clouds. Deze bieden onder andere omscholingstrajecten, e-learning-programma’s, cursusoverzichten of een netwerk van bijlesdocenten. Ook zijn er opties om vaardigheden en certificeringen te beoordelen. Door deze ontwikkeling ontstaan digitale samenwerkingen met verschillende organisaties en ketens waarin studenteninformatie of onderzoeksdata vér buiten je onderwijsmuren staat opgeslagen. Het vergt behoorlijk wat van onderwijsinstellingen om dergelijke gegevens dan toch goed te beschermen.

Daarnaast zit er behoorlijk veel beweging in de onderwijswereld: studenten wisselen regelmatig van studierichting en gebruiken vaak hun eigen devices. Hierdoor heb je weinig grip op het gebruik van ICT — en dat brengt risico’s met zich mee, zeker als je bedenkt dat de security awareness meestal laag is onder studenten en docenten. Daar komt nog eens bij dat onderwijsinstellingen vaak niet dezelfde maatregelen kunnen nemen als commerciële organisaties, omdat hun securitybudget beperkter is. Daarom zijn ze — in vergelijking tot hun commerciële tegenhangers — relatief toegankelijk voor kwaadwillenden.

Omdat universiteiten en hogescholen vaak ook wetenschappelijk onderzoek verrichten, zijn ze aantrekkelijke doelwitten voor cybercriminelen. Uit deze combinatie van factoren vloeien drie belangrijke risico’s voort:

  1. Datalekken
    Onderwijsinstellingen verwerken zeer veel privacygevoelige data (denk aan adresgegevens van studenten en medewerkers, maar ook BSN-nummers en betaalgegevens). Deze informatie mag niet in verkeerde handen vallen. Een mail met informatie over student A per ongeluk naar student B sturen, is uit den boze. Maar helaas is zo’n fout vaak snel gemaakt.
     
  2. Ransomware
    Onderwijsinstellingen zijn sterk afhankelijk van digitale technologie. Een cyberaanval heeft een enorme impact. Studenten kunnen bijvoorbeeld niet communiceren met docenten of examens gaan niet door — met studievertraging als ergste gevolg.
     
  3. Dreigingen binnen de leveranciersketen
    Soms dringen kwaadwillenden het netwerk binnen via de cloudoplossingen van leveranciers van digitale toepassingen. Soms zijn dit gerenommeerde organisaties en soms zijn het jonge start-ups. Als jij de betreffende oplossing gebruikt, heeft een dergelijk incident ook impact op jouw onderwijsinstelling.
Next level beveiliging

Managed Detection and Response

Cybersecurity als next level beveiliging tegen alle bedreigingen van buitenaf.

Risicomitigatie: welke basismaatregelen kunnen onderwijsinstellingen nemen?

Coöperatie SURF biedt al enkele jaren een Toetsingskader Informatiebeveiliging. Het is niet verplicht om hieraan te voldoen, maar wel zéér verstandig. Samen met SURF hebben onderwijsinstellingen dan ook de ambitie uitgesproken om in 2024 volwassenheidsniveau 3 te hebben bereikt (de schaal loopt van 1 tot 5). Dit betekent dat je de securitybeheersmaatregelen dan geïmplementeerd hebt, maar ook dat je de effectiviteit ervan periodiek evalueert om hier vervolgens over te rapporteren.

In totaal kent het model 15 aandachtsgebieden. Om je een beeld te geven van de zaken waarmee je zoal rekening moet houden, lichten we er vijf uit.

Als onderwijsinstelling dien je aantoonbaar te beschikken over:

  • Rollen, procedures en middelen waarmee je securityincidenten en malware vroegtijdig detecteert en mitigeert;
  • Rollen, procedures en middelen waarmee je data classificeert, beschermt, verwerkt, opslaat en uitwisselt;
  • Rollen, procedures en middelen op het gebied van identity & access management (IAM) en multifactorauthenticatie (MFA), zodat je precies weet wie op welke manier, wanneer en voor hoe lang toegang krijgt tot bepaalde data;
  • Een vulnerability-management-proces (dat je aantoonbaar hebt geïmplementeerd), zodat kwetsbaarheden binnen je IT-infrastructuur opgemerkt en weggenomen worden voordat ze zich ontwikkelen tot een ingrijpend securityincident;
  • Een incident response plan dat op tafel komt bij een geslaagd securityincident (en dit plan moet je ook aantoonbaar oefenen).

Daarnaast worden zero-trust-principes steeds bekender binnen onderwijsinstellingen. Deze nemen steeds vaker de plaats in van de traditionele beveiligingsmodellen, die aannemen dat alles achter de organisatiefirewall veilig is. Zero-trust-principes bemoeilijken horizontale verplaatsing bij aanvallen en datalekken. Ook kun je hiermee alle onderdelen van (en verbindingen naar) een IT-infrastructuur identificeren en beschermen. Daarbij is het mogelijk om afwijkingen hierop in real time te detecteren.

Ten slotte is er steeds meer aandacht voor de enorme hoeveelheid gevoelige gegevens die onderwijsinstellingen verwerken. Wij zien een toenemend aantal programma’s starten waarin aanwezige data opnieuw geïdentificeerd en geclassificeerd worden, gevolgd door een inrichting van de juiste data governance.

Je security verbeteren met deskundige hulp? Dít biedt een goede partner!

  • Een track record van samenwerkingen met onderwijsinstellingen;
  • Diepgaande kennis van de onderwijssector;
  • Oplossingen die gevraagd worden vanuit het Toetsingskader Informatiebeveiliging van SURF;
  • Deskundigheid om je informatiebeveiliging in te richten volgens zero-trust-principes;
  • Dataprotectie in het DNA!

Wil je meer weten over onze MDR-dienst, waarmee we incidenten signaleren én erop acteren? Hier lees je alles over Managed Detection and Response van Wortell.

Ben je benieuwd naar het security-volwassenheidsniveau van jouw onderwijsinstelling? En wil je weten hoe jij alles uit je Microsoft A5-licentie kunt halen? Neem gerust eens contact met ons op.

Neem contact met ons op.