5 best practices voor cybersecurity in het onderwijs
In het onderwijs wordt veel gewerkt met persoonlijke gegevens. Dat maakt onderwijsinstellingen een aantrekkelijk doelwit voor cybercriminelen. Een goed doordacht cybersecurity beleid kan hier een antwoord op bieden. Maar waar begin je?
Het inzetten van nieuwe technologie biedt het onderwijs de kans om een enorm krachtige (digitale) leeromgeving te creëren. Niet voor niets zijn veel scholen aan het experimenteren met nieuwe manieren om het onderwijs boeiender, spannender en beter te maken door gebruik te maken van de nieuwste devices en software. Een onderwerp wat soms iets minder aandacht krijgt dan het verdient is cybersecurity.
Veel incidenten in de VS
Verizon geeft elk jaar een rapport uit over het aantal datalekken, het Data Breach Investigations Report. Volgens het rapport van 2017 deden Amerikaanse onderwijsinstellingen het slechter dan de gezondheidszorg en retailbedrijven. In 2019 ging het iets beter.
Vooral DDOS-aanvallen (Digital Denial of Service) kwamen veel voor, 226 keer. Ook werden scholen 279 het slachtoffer van een hackpoging. De meeste aanvallen werden afgeslagen, maar waren er nog steeds 99 serieuze incidenten en 283 kleine incidenten. Scholen en onderwijsinstellingen zijn een aantrekkelijk doelwit. Het is dan ook belangrijk om bij de introductie van een nieuwe technologie aandacht te besteden aan cybersecurity.
Cybersecurity essentieel
Niet alleen voor de continuïteit van de onderwijsprocessen en de betrouwbaarheid van toetsen is beveiliging belangrijk. Cybersecurity raakt de belangen van leerlingen, leerkrachten en ondersteunend personeel. Vanuit Europese privacywetgeving (GDPR) worden strenge eisen gesteld aan de beveiliging van data. Desondanks hebben veel scholen nog geen cybersecurity beleid, vaak door een gebrek aan budget en onvoldoende aandacht voor security bij de IT-afdeling die vaak al overwerkt is.
Praktijkvoorbeelden uit het onderwijs
Dat leidt soms tot vervelende incidenten waarbij de gegevens van duizenden (oud-)leerlingen op straat liggen. In oktober 2017 werd een onderwijsdisctrict in het Amerikaanse Montana gehackt. De hackers eisten een losgeld, en dreigden anders de gegevens persoonlijke data van alle leerlingen, leraren en schooldirecteuren te publiceren.
Ook kleinere incidenten komen voor. Soms gaat het om een leerling die een laptop steelt, soms om een leerling die het netwerk plat legt om te voorkomen dat er die dag een proefwerk afgenomen kan worden.
Dit soort incidenten tonen aan dat een doordacht cybersecuritybeleid in het onderwijs onmisbaar is. Helaas zijn de budgetten vaak een stuk lager dan in het bedrijfsleven. Daarom delen we een vijftal best practice die je kunnen helpen het cybersecuritybeleid van jouw onderwijsinstelling in te richten.
Best practices cybersecurity
#1 Leid je personeel op
De belangrijkste stap die je kunt zetten is het trainen van je medewerkers op het gebied van cybersecurity. Dat begint bij de IT afdeling, die continu bijgeschoold moet worden over nieuwe ontwikkelingen. Dat betekent dat ze tijd en budget moeten krijgen voor het bijwonen van conferenties, seminars en cursussen. Elke nieuwe ontwikkeling brengt risico’s met zich mee en je IT-medewerkers zijn de eerste (en vaak laatste) verdedigingslinie. Maak het werk van de IT-afdeling ook zichtbaar, door hen uit te nodigen bij vergaderingen, zodat ze andere personeelsleden kunnen informeren wat het cybersecuritybeleid is en welke risico’s er zijn. Dat helpt om het bewustzijn binnen de organisatie te vergroten.
#2 Stel een duidelijk en streng cybersecurity beleid op
Cybersecurity begint met duidelijke regels. Stel daarom duidelijke en eenduidige beleidsregels op voor het gebruik van devices en zorg dat deze gehandhaafd worden. Er zijn scholen die eisen dat leerkrachten voor hun werk alleen gebruik maken van een telefoon die door de werkgever wordt beheerd. Dit geeft de IT-afdeling de mogelijkheid om de beveiliging van de telefoon te garanderen. Sommige scholen geven zelfs een lijst af van software en apps die op devices gebruikt mogen worden. Deze regels worden vaak persoonlijk uitgelegd, ook aan leerlingen, waarna een formulier moet worden ondertekend waarmee de gebruiker aangeeft de regels te accepteren.
Ook kan het zinvol zijn om het gebruik van devices door personeel en leerlingen te monitoren. Dit biedt inzichten die je kunt gebruiken om het beveiligingsbeleid aan te scherpen.
#3 Zorg voor backups
Ransomware komt steeds vaker voor. Bij een ransomware aanval wordt de toegang tot data ontzegd, totdat een losgeld is betaald. Door dagelijks back-ups te maken van je databases ontloop je dit risico. De back-up moet dan wel op een andere server worden geplaatst, bij voorkeur offline. Overigens is het maken van back-ups voor elke IT-professional inmiddels standaard.
#4 Werk aan je crisisplan
Het is in de VS niet ongewoon dat scholen in hun crisisplan aandacht besteden aan cybercrimes. Door vooraf na te denken over verschillende scenario’s kunnen in een crisissituatie sneller besluien worden genomen. Met een cybercrime-crisisplan kun je leerlingen en leraren voorbereiden zodat ze weten hoe te handelen wanneer er zich een probleem voordoet.
Een dergelijk crisisplan moet steeds worden bijgehouden en geactualiseerd wanneer nieuwe inzichten zich aandienen.
#5 Creëer cybersecurity-bewustzijn
De meeste datahacks maken nog steeds gebruik van social engineering. Hierbij doen hackers zich voor als iemand anders om informatie te verzamelen die ze nodig hebben om hun hack uit te voeren. Door mensen voor te lichten over cybercrime verklein je de kans dat ze in de val trappen. Breng hen daarom basiskennis bij over IT, spreek over rechten en verantwoordelijkheden en geef les over online veiligheid.
Voorlichting over veilig wachtwoordgebruik en het juist gebruiken van technologie is verplichte kost. Deze onderwerpen horen in het curriculum, maar moeten ook met ouders worden besproken. Want het belang van bewust omgaan met de digitale wereld gaat veel verder dan alleen het klaslokaal.
Cyberrisico’s zijn overal, daarom cybersecurity
Volgens sommige onderzoeken maakt 75% van al het onderwijzend personeel op dagelijkse basis gebruik van technologie. Deze technologie is waardevol, maar levert ook risico’s op. Deze risico’s kunnen maar moeilijk worden overdreven. Scholen zijn een aantrekkelijk doelwit voor cybercriminelen en zolderkamer-hackers. Door voldoende aandacht voor cybersecurity, een goed beleid en voldoende geld voor de broodnodige beveiligingsinvesteringen kan een hoop ellende voorkomen worden.