Kenniscentrum stelt Actieplan cybersecurity op voor Vlaams onderwijs

- David Van Waeyenberghe

Het Kenniscentrum Digisprong heeft haar Actieplan cybersecurity gelanceerd. De komende drie jaar zal het kenniscentrum, onderdeel van het departement Onderwijs, stelselmatig de actiepunten uitrollen. Het actieplan bestaat uit drie thema’s, zeven actiepunten en vijf ontwerpcriteria.

De groeiende digitalisering van scholen heeft het onderwijs gekatapulteerd naar een geviseerde sector wat betreft cyberaanvallen. Dat hoeft niet te verwonderen want scholen beschikken over gevoelige data en hebben via de tientallen toestellen vaak toegang tot het netwerk. Cybercriminelen zien brood in die informatie en proberen via de mazen van het (schoolnet)werk aan die gegevens te geraken.

Actieplan cybersecurity

Het Kenniscentrum Digisprong heeft een actieplan gelanceerd dat dient als startpunt voor een reeks maatregelen. Dat plan is gebaseerd op een uitgebreid onderzoek, gestart begin 2023, bij verschillende stakeholders zoals onderwijskoepels, bedrijven, platformen en EdTech-spelers. “We merkten dat ook zij stoten op beperkingen in wat ze zelf kunnen doen. Dat kan een gebrek aan kennis zijn, maar ook aan middelen of mensen”, legt Ronny Dreesen uit.

Het gebrek aan middelen en dergelijke in het Vlaamse onderwijs, is meteen de hoofdreden waarom het Kenniscentrum Digisprong de handschoen opneemt met het Actieplan cybersecurity. Over een periode van drie jaar, tot 2026, zal het kenniscentrum de actiepunten geleidelijk uitrollen. Hoe en tot op welke hoogte dat zal gebeuren, hangt af verschillende factoren zoals beschikbare middelen. Daardoor kan het definitieve plan deels verschillen van het startplan.

Drie thema’s

Het Actieplan cybersecurity bestaat uit drie grote thema’s. Die vormen de basis voor zeven concrete actiepunten. Infrastructuur is het eerste thema. Daaronder valt de soft- en hardware van scholen(groepen), de organisatiestructuur, online architectuur en de uitwisseling (intern en extern) van gegevens. Een tweede thema is de gegevensbescherming en hoe je als school(gemeenschap) rekening houdt met de privacywetgeving (AVG, GDPR).

Het derde thema in het actieplan omvat alles rond ‘bewustzijn’. Ook al krijgen scholen steeds vaker te maken met cyberdreiging, het belang van cybersecurity wordt volgens het Kenniscentrum Digisprong nog te vaak onderschat. Het actieplan wil daarom schooldirecties en -besturen bewustmaken en overtuigen om cyberveiligheid te implementeren en op te nemen in het schoolbeleid.

Zeven actiepunten

De drie bovenstaande thema’s vormen de basis voor zeven concrete actiepunten. Die punten wil het kenniscentrum de komende drie jaar uitrollen om zo het cyberveiligheidsniveau in het Vlaamse onderwijs naar een minimumniveau te brengen. De actiepunten zijn:

  • Normenkader cybersecurity: een tool waarmee de school een doordacht cybersecuritybeleid kan uitvoeren. De normensets zijn aangepast aan het onderwijs in Vlaanderen en omvatten minimumdoelstellingen, schaalbaarheid en een risicoanalyse. Nederland ontwikkelde onlangs al een Normenkader Informatiebeveiliging.
  • Cybersecurity-eisen voor EdTech: leveranciers van educatieve technologie kunnen nog altijd diensten aanbieden zonder aangepaste instellingen voor minderjarigen. Door duidelijke eisen en verwachtingen op te stellen, kunnen scholen bepalen welke apps veilig zijn en welke niet. Die eisen zullen minimumvoorwaarden, voorwaarden voor testplatforms, databank met veilige apps en standaard veiligheidsinstellingen voor scholen omvatten.
  • Authenticatie- en databeleid: de toegang tot toepassingen en data moet aan strenge voorwaarden voldoen om te voorkomen dat gegevens in verkeerde handen komen. Meervoudige authenticatie (MFA) is daarom belangrijk. Net als de toegang tot data, bijvoorbeeld via een registratietool. Het plan zet ook LeerID in. De authenticatietool van de Vlaamse overheid laat minderjarigen zich veilig aanmelden op verschillende applicaties.
  • Melding incidenten en cyberresponsteam: De AVG-wetgeving verplicht scholen om gegevensverlies te melden. Na elke melding krijgt de school informatie of hulp om de aanval/lek aan te pakken. Het actieplan voorzit een meldingstool en zal een cyberresponsteam oprichten om scholen op de meest efficiënte manier te helpen.
  • Netwerkmonitoring: gepast inzetten van monitoringsoftware is een efficiënte manier om het gegevensverkeer op te volgen. Het actieplan zal een lijst maken van beschikbare en geschikte software voor het onderwijs. Er zal ook opleiding over die software worden voorzien. Net als een beleid rond shadow-IT, om medewerkers de juiste informatie te geven over risico’s en afspraken te maken.
  • Schaalvergroting: voor IT levert schaalvergroting vaak voordelen op, zeker omdat IT specialisatie nodig heeft en er maar weinig specialisten zijn. Het actieplan zal werken rond gegevensbeschermingseffectenbeoordeling (GEB), oplossingsgericht werken, verantwoordelijkheid voor scholen, snelle scans en DPO (Data Protection Officers)-as-a-service.
  • Veranderingsmanagement: Tot slot zal het actieplan de bewustwording (thema drie) helpen vergroten. Daarmee wil het Kenniscentrum Digisprong cybersecurity tot beleidsthema verheffen zodat het op lange termijn ingebed zal zijn in de schoolwerking.

Vijf ontwerpcriteria

Om de zeven actiepunten te ontwerpen, houdt het Kenniscentrum Digisprong rekening met vijf criteria. Het gaat om een levend plan omdat cybersecurity zich snel ontwikkelt en de tools en normenkaders regelmatig moeten worden aangepast. Door informatie te centraliseren krijgt de school er een duidelijk overzicht van. Alle aspecten per thema overzichtelijk te maken, zorgt voor structuur in de cyberveiligheid.

lees ook

Expertenwerkgroep voor gegevensbescherming in onderwijs opgericht

Het vierde criterium wil scholen laten groeien, omdat veel van hen pas in de beginfase zitten. Dankzij de verwachtingen in het plan zal het niveau verbeteren en krijgt de school (niet onbeperkt) de tijd om de cyberveiligheid naar een minimumniveau te tillen. De actiepunten worden ontwikkeld met alle betrokken partijen. Die cocreatie zorgt voor kaders en tools die zijn ontworpen met onderwijs in het achterhoofd.