Het kabinet wil de digitale weerbaarheid van het onderwijs vergroten. In het middelbaar en hoger onderwijs zijn de afgelopen tijd belangrijke stappen gezet om dat te realiseren, maar er zijn aanvullende maatregelen nodig. De overheid wil onder meer dat alle onderwijsinstellingen aansluiting zoeken bij een Security Operations Center (SOC) en dat een onafhankelijk externe partij periodiek een audit uitvoert naar de bestaande beveiligingsmaatregelen.
Onderzoeksrapport
In de brief reageert de minister op de conclusies van het onderzoeksrapport ‘Binnen zonder kloppen – Digitale weerbaarheid in het hoger onderwijs’ van de Inspectie van het Onderwijs. De inspectie constateert dat hogescholen en universiteiten na de ransomware-aanval op de Universiteit Maastricht eind 2019 meer aandacht hebben voor cybersecurity en informatiebeveiliging. Ze hebben regelmatig contact met elkaar om kennis en ervaringen uit te wisselen. Ook treffen ze meer maatregelen om hackers buiten de deur te houden.
Ondanks de extra aandacht voor informatiebeveiliging, is dit onvoldoende om de onderwijsinstellingen te beschermen tegen cyberaanvallen en behoeden voor datalekken. De Inspectie van het Onderwijs benadrukte dat er nog belangrijke stappen gemaakt moeten worden om de digitale weerbaarheid in het hoger onderwijs te vergroten. Het advies van de inspectie luidde om van digitale veiligheid een vast onderdeel te maken van het risicomanagement. Ook doen onderwijsinstellingen er goed aan om nauwer samen te werken en zou de overheid de regie moeten nemen om de digitale veiligheid te verbeteren.
Minister erkent dat cyberaanvallen toenemen
Minister Van Engelshoven erkent dat zowel binnen als buiten het onderwijs het aantal cyberaanvallen toeneemt. Ze zegt dat cyberaanvallen niet geheel zijn te voorkomen. We kunnen er volgens haar wel alles aan doen om de gevolgen van een eventuele aanval zo veel mogelijk te beperken. De urgentie om extra maatregelen te treffen om de weerbaarheid tegen cyberdreigingen te vergroten, is er in de gehele onderwijssector. Daarbij moeten we wel oog hebben voor differentiatie of maatwerk.
De aanpak
1. Security Operations Center
De minister onderstreept de conclusies van de Inspectie van het Onderwijs. In haar brief aan de Tweede Kamer somt ze diverse maatregelen op om de digitale weerbaarheid in het middelbaar en hoger onderwijs te vergroten. In de eerste plaats wil ze dat onderwijsinstellingen aangesloten worden op een gezamenlijk Security Operations Center (SOC). Dat is een controlemechanisme dat 24/7 dreigingen monitort om cyberdreigingen vroegtijdig te signaleren en voorkomen.
“In overleg met de VSNU (Vereniging van Universiteiten), de VH (Vereniging Hogescholen), de MBO Raad en SURF wil ik verkennen hoe we alle instellingen kunnen stimuleren en aanmoedigen om deel te nemen aan een SOC oplossing, aangezien vrijwillige deelname van individuele instellingen aan een dergelijke oplossing blinde vlekken mogelijk maakt en de kwetsbaarheid van het stelsel als geheel vergroot”, aldus de minister.
2. Periodiek toetsen
Ook moeten scholen hun beveiligingsmaatregelen periodiek laten toetsen door een onafhankelijk extern bedrijf. Dit noemen we ook wel een audit. “Audits zijn een belangrijke informatiebron om de aanpak van cyberveiligheid te monitoren, zowel op het niveau van de instelling als voor het stelsel als geheel”, schrijft minister Van Engelshoven aan de Tweede Kamer.
Audits worden gebruikt om meer inzicht te krijgen in de staat van de informatiebeveiliging en privacymaatregelen van onderwijsinstellingen. Alle universiteiten hebben afgelopen jaar een externe audit laten uitvoeren. Ze hebben toegezegd dit om het jaar te herhalen. Van Engelshoven vindt het belangrijk dat alle instellingen in het middelbaar en hoger beroepsonderwijs naast een zelfevaluatie zich ook periodiek laten toetsen door middel van externe audits. “Het belang van cyberveiligheid op het ongestoord verloop van het onderwijs en onderzoek rechtvaardigt dat.” Omdat te bereiken gaat ze komend najaar in gesprek met de koepelorganisaties hierover.
3. Vergroten bewustzijn
Een ander aspect waar de onderwijsminister aandacht voor wil vragen, is het vergroten van bewustzijn van de risico’s van cyberdreigingen. Om dat te bereiken wil ze trainingen, campagnes, brochures en crisisoefeningen houden. “Hierbij is de rol van bestuurders essentieel”, schrijft de minister.
“Vele besturen agenderen het onderwerp, bespreken het intern en treffen maatregelen om het bewustzijn over cyberrisico’s te vergroten. Het is daarbij van belang dat bestuurders hier zowel op centraal (instellings-)niveau als op decentraal niveau (faculteits- of opleidingsniveau) aandacht voor vragen en een open en veilige cultuur bevorderen waarin medewerkers zich vrij voelen om niet alleen incidenten, maar ook (potentiële) risico’s proactief te melden, zodat op dreigende risico’s adequaat kan worden gereageerd.”
Om ervoor te zorgen dat alle onderwijsinstellingen in alle lagen maatregelen treffen om het bewustzijn van medewerkers te vergroten, gaat de minister afspraken maken.
2022 plan van aanpak
Minister Van Engelshoven streeft ernaar om in het eerste kwartaal van 2022 met de onderwijssectoren een plan van aanpak te formuleren. Samen met de koepelorganisaties wil ze dit najaar afspraken maken hoe onderwijsinstellingen dit gaan aanpakken. De bewindsvrouw gaat onder andere een overzicht maken van de financiële, personele en technische vereisten en bepalen wanneer welke instelling aangesloten kan zijn op een SOC.
Vorige week schreef de minister dat de mbo-sector goed is voorbereid op cyberaanvallen. Op schriftelijke vragen van D66 zei de bewindsvrouw dat mbo-instellingen ‘een hecht netwerk’ vormen op het gebied van informatiebeveiliging. “Binnen dit netwerk wordt kennis gedeeld en worden gemeenschappelijke activiteiten georganiseerd”, aldus Van Engelshoven. Verder werken mbo-scholen nauw samen met SURF, maken dankbaar gebruik van diverse diensten van de onderwijsadviesinstantie, nemen ieder jaar deel aan de benchmark IBP-E en iedere twee jaar aan de cybercrisisoefening OZON.
Bron: tweedekamer.nl, vpngids.nl
Onderwijs gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Meer nieuws
De slechtste wachtwoorden van 2020
De hitparade van de slechtste wachtwoorden van het jaar is al een soort traditie geworden. Weet je nog dat we in 2019 een beoordeling van de 100 meest ongelukkige hebben gepubliceerd? 2020 zal geen uitzondering zijn, vooral omdat experts meer dan 5 miljard gelekte wachtwoorden hebben geanalyseerd en er iets is om verrast te worden.
Kiezen tussen twee kwaden
Ambtenaren van het ministerie van Justitie en Veiligheid werken nog altijd aan een plan om encryptie af te zwakken. Daardoor willen ze berichten kunnen onderscheppen en inzien om cybercriminelen aan te pakken. Het onderwerp wordt pas na de verkiezingen behandeld, wat betekent dat het aan een volgend kabinet is om al dan niet iets met de plannen te doen.
Noodinstructies afgegeven voor meerdere kritieke kwetsbaarheden in Microsoft Exchange!
Het 'Cybersecurity and Infrastructure Security Agency' (CISA) van het Amerikaanse ministerie van 'Homeland Security' heeft noodinstructies afgegeven voor meerdere kritieke kwetsbaarheden in Microsoft Exchange. Federale overheidsinstanties in de VS moeten de instructies voor morgenmiddag hebben uitgevoerd.
Een match made in heaven (of hel?): verliefd op een dating fraudeur
Veel mensen zijn actief op dating websites en apps. Juist nu, in een tijd waarin het lastig is om nieuwe mensen te ontmoeten door de corona-regels bieden zulke platforms een uitkomst. Ze vereenvoudigen de zoektocht naar liefde: met een paar muisklikken kunnen singles uit heel Nederland bereikt worden. Voor velen met succes, want steeds meer koppels ontmoeten elkaar online. Op het internet is echter niet alles wat het lijkt. De prins of prinses op het witte paard kan online oprecht overkomen, maar eigenlijk helemaal niet bestaan. Dat is waar dit artikel over gaat: online dating fraude.
Niet alle 'Virtual Private Networks' zijn veilig
De persoonsgegevens van 21 miljoen gebruikers van SuperVPN, GeckoVPN en ChatVPN zijn buitgemaakt door een hacker. Hij biedt hun gegevens te koop aan op een populair forum voor hackers. Een klein deel van de gestolen gegevens was al opgenomen in de database van Have I Been Pwned.
Boeven konden hun 'werk' niet doen
Afgelopen jaar kreeg de politie minder vaak te maken met traditionele vormen van criminaliteit. Het aantal meldingen van zakkenrollerij, woninginbraak en winkeldiefstal nam fors af. Tegelijkertijd registreerde de politie veel vaker online criminaliteit, waaronder verkoopfraude en hacken.