10 lessen uit de succesvolle webinarreeks “Help, onze school is gehackt”

24 mei 2023

In aanloop naar de lancering van het Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs werden leden van de PO-Raad en VO-raad de afgelopen maanden meegenomen in de wereld van digitale veiligheid en cybercriminaliteit in het onderwijs. Dat gebeurde in een driedelige webinarreeks, met interessante praktijkvoorbeelden en inspirerende sprekers. Deelnemers zijn zich bewust geworden van de digitale gevaren die scholen en schoolbesturen lopen. Daarnaast kregen zij handvatten om de digitale veiligheid binnen hun schoolorganisatie te versterken. In dit artikel delen we de 10 belangrijkste lessen uit de webinarreeks.

Stel je voor: één van de scholen in de stichting is gehackt. Plotseling staan in alle scholen de laptops en digiborden op zwart. Leraren en leerlingen hebben geen toegang meer tot digitaal lesmateriaal en een anonieme afzender eist tonnen aan losgeld. Wat nu? Een scenario dat helaas zeer reëel is. Het lijkt niet meer de vraag óf je wordt gehackt, maar wanneer. Het aantal ransomware-aanvallen in het onderwijs neemt alleen maar toe.

Webinar #1 (6 maart ‘23)

  1. Ingrid de Bonth (vice-voorzitter VO-raad) legde uit: “Schoolbesturen worden ondersteund bij het op orde brengen van de digitale veiligheid. We zien dat dit geen kleine opdracht is en dat schoolbesturen en scholen vanuit wisselende startposities komen. Vanuit de PO-Raad en VO-raad zetten we ons in samenwerking met OCW, Kennisnet en SIVON in om scholen te ondersteunen bij deze ontwikkeling en de professionaliseringsbehoefte die daarbij ontstaat.”
     
  2. Sanne Maasakkers (security specialist bij het Nationaal Cyber Security Center) gaf de tip om binnen je organisatie te oefenen met digitale veiligheid: “Hiermee oefenen kan bijvoorbeeld door een hack te simuleren met een game. Hiermee kun je bepaalde kennis en vaardigheden trainen. Denk aan vragen als: wat doe je als eerste bij een incident? Wie bel je? Wat zeg je tegen de media? En zou je losgeld betalen? Wanneer wel, wanneer niet?” De opbrengsten van de simulatie kunnen worden opgenomen in een crisis- en herstelplan, zodat je een draaiboek hebt klaarliggen.
     
  3. Chris Zintel (kwartiermaker programma Digitaal Veilig Onderwijs) benadrukte: “Je hoeft het niet alleen te doen, we gaan samen stap voor stap zorgen voor digitaal veilig onderwijs voor iedere leerling. Gebruik het normenkader IBP FO als leidraad en ga aan de slag. Je kunt daarbij gebruik maken van het landelijke ondersteuningsaanbod van de PO-Raad, VO-raad, Kennisnet en SIVON. Bekijk alle informatie hierover op de campagnewebsite Bit by Bit, samen voor digitaal veilig onderwijs.”
     
Jouw leidraad: het Normenkader IBP FO
Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Het is daarom een belangrijk hulpmiddel om jouw school digitaal veilig te maken. Het voldoen aan de normen kan stap voor stap worden aangepakt. Daarvoor wordt een groeipad gemaakt, dat adviseert over de maatregelen die je kunt nemen en op welk moment je dat het beste kunt doen om de normen te halen. Als je dit groeipad volgt, bereik je het doel in een realistisch tempo en kan je de maatregelen nemen die passen bij wat nodig is voor jouw school.

Tijdens de webinars kwam de vraag naar voren: "Wie gaat dit oppakken en hoe zit het met de bekostiging van individuele schoolbesturen?" De PO-Raad en VO-raad maken zich er hard voor om de uitvoerbaarheid en haalbaarheid van de normen te onderzoeken, zodat de benodigde maatregelen getroffen kunnen worden. Alleen samen kunnen we digitale veiligheid realiseren. Vragen of opmerkingen over het normenkader? Mail naar IBP@kennisnet.nl.

 

Webinar #2 (21 maart ‘23)

  1. Henk Links (Information Security Officer Christelijke Onderwijs Groep Vallei & Gelderland-Midden) nam ons mee in hoe het mbo met het NBA-volwassenheidsmodel informatiebeveiliging omgaat (het model waarop het Normenkader IBP FO is gebaseerd). “Het mbo werkt vanuit drie aandachtsgebieden, die alle statements van het model omvatten: Governance, Processen en Technische Weerbaarheid. Het is dus niet alleen een feestje van ICT, maar bij informatieveiligheid heeft iedereen in de organisatie een rol. Erg belangrijk om duidelijke beleidsafspraken te maken, expliciet de verantwoordelijkheden te beleggen en processen met betrekking tot informatieveiligheid vast te leggen. Gebruik het normenkader niet als checklist, maar als groeimodel. Het is een handreiking voor scholen om te werken aan digitale veiligheid."
     
  2. Pauline Satter (bestuurder Christelijke Onderwijs Groep Vallei & Gelderland-Midden) vertelde hoe zij de afgelopen jaren aan de slag zijn gegaan met het normenkader mbo: "Als bestuurder is het van belang dat je de organisatie goed meeneemt in dit belangrijke onderwerp. Studenten en leerlingen geven hun gegevens in goed vertrouwen aan de school. Ik stelde de vraag: ‘Hoe gaan we om met deze gegevens?’ en startte een projectgroep om het gesprek op gang te brengen. Managers en directeuren volgden een training en het onderwerp komt ook bij het bestuur regelmatig op de agenda. Maak gebruik van bestaande samenwerkingen en platforms: Kennisnet en SIVON bijvoorbeeld. En kijk naar collega- bestuurders, die je kunnen helpen om het gesprek te voeren."
     
  3. Raymondo Boerkamp (Informatiemanager OVO Zaanstad) vertelde over de audit van SIVON op het normenkader in hun organisatie: "Begin op tijd, wij wilden eerst weten waar onze organisatie nu staat zodat we een plan kunnen maken.’’ Tegen andere schoolbesturen zegt hij: "Wees niet terughoudend, misschien ben je wel verder dan je denkt. De Deep Dive (audit) van SIVON geeft concrete suggesties over waar en hoe er verbeterd kan worden op het gebied van informatiebeveiliging en privacy. Bovendien krijg je een advies voor de prioritering hiervan en krijg je duidelijkheid over wie in jouw organisatie welke verantwoordelijkheid zou moeten dragen."
     

presentatie daniel verlaan

Webinar #3 (18 april ‘23)

  1. Daniël Verlaan (onderzoeksjournalist en auteur van het boek "Ik weet je wachtwoord") reageert in het derde webinar op de gedachtegang "Zo’n aanval overkomt onze school toch niet, wij zijn niet interessant voor hackers": "Misschien kun je aan scholen wel minder losgeld vragen dan aan andere organisaties, maar ze zijn op dit moment wel een eenvoudig doelwit. Criminelen zoeken altijd naar manieren om binnen te komen."
     
  2. Freddy Weima (voorzitter PO-Raad) bespreekt de uitkomst van de poll die voorafgaand aan de deelnemers is gestuurd: "76 procent van de circa 250 deelnemers geeft aan een wachtwoordbeleid te hebben en MFA te hebben ingesteld voor personeel op de belangrijkste systemen. Nog veiliger is om daarnaast ook MFA voor leerlingen in te stellen, dat heeft 9 procent van de deelnemers al geregeld." Dit onderwerp is onderdeel van het Normenkader, domein 11 (security management).
     
  3. Daniël Verlaan tipte de deelnemers om zowel zakelijk als privé een wachtwoord manager te gebruiken: "Een password manager stopt al jouw wachtwoorden in een digitale kluis en beveiligt ze met een overkoepelend wachtwoord. Je hoeft dan voortaan maar één wachtwoord te onthouden om toegang te krijgen tot al je accounts. Password managers hebben de mogelijkheid om jouw inloggegevens in te voeren bij websites. Dit beschermt je al tegen veel phishing-aanvallen. Goede voorbeelden van een wachtwoord managers zijn 1Password of Bitwarden."
     
  4. Daniël Verlaan legde uit dat een zin als wachtwoord bijna niet te kraken is: "Kies een zin die je makkelijk onthoudt en gebruik spaties en leestekens. Bijvoorbeeld: ‘Star Wars is 100% de beste film aller tijden!’ of ‘Ik eet elke week 3 borden boerenkool.’"

 

Meer tips van Daniël Verlaan

De webinarreeks “Help, onze school is gehackt” was onderdeel van het ondersteuningsaanbod van de PO-Raad en VO-raad binnen het programma Digitaal Veilig Onderwijs. Heb je nog vragen over de webinnarreeks? Mail dan naar: digitalisering@povosi.nl.
 

Bit by Bit, Samen voor Digitaal Veilig Onderwijs
Om digitaal veilig onderwijs te kunnen bieden, zijn doordachte gegevensverwerking én goede gegevensbeveiliging van groot belang. Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen heldere leidraden en een concreet ondersteuningsaanbod. Zo kunnen zij voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.  


Verder met dit onderwerp?

Netwerk: Informatiebeveiliging en Privacy po/vo
Het netwerk IBP is een professionaliseringsnetwerk voor iedereen die zich op school bezighoudt met IBP. Dit netwerk is dé plek om met collega’s die zich bezighouden met IBP, kennis en ervaringen te delen, gebruik te maken van standaarddocumenten en met elkaar in gesprek te gaan. Bekijk de agenda voor de eerstvolgende bijeenkomsten.
> meer informatie en aanmelden

Leertraject: Regie op Digitalisering po/vo
Het leertraject Regie op Digitalisering is voor bestuurders in het basis-, speciaal- en voortgezet onderwijs. Deelnemers krijgen inzicht in technologische ontwikkelingen in het onderwijs en leren wat de impact daarvan is op het onderwijs. Hoe verhoud je je vanuit de rol van bestuurder tot technologie en hoe maak je technologische keuzes op basis van publieke waarden? Duur: ca. 6 maanden (4 à 5 dagen)
> meer informatie en aanmelden

Nationale hacking competitie: Challenge the Cyber
Challenge the Cyber organiseert elk jaar een Capture the Flag-competitie voor jong cybersecuritytalent in Nederland vanaf 13 jaar. Dit jaar wordt de CTF georganiseerd op zaterdag 13 mei 2023 van 10:30 tot 17:30 op de Radboud Universiteit in Nijmegen (kantine van het Huygensgebouw, Heyendaalseweg 135).
> meer informatie en aanmelden

Congres: OnderwijsInzicht 2023
Het congres OnderwijsInzicht 2023 is dit jaar op 15 september in congrescentrum 't Spant in Bussum. Het congres staat in het teken van vraagstukken als: wat kan ik met Artificial Intelligence in mijn school en met welke privacyaspecten moet ik dan rekening houden? Hoe maak ik de juiste keuze voor leermiddelen? Wat moet ik doen om te voorkomen dat mijn school wordt gehackt? En hoe pakken we digitale geletterdheid aan? Het congres is voor schoolbestuurders, schoolleiders, IBP’ers en ICT-verantwoordelijken.
> meer informatie en inschrijven  

Data Protection Impact Assesment (DPIA)
Een Data Protection Impact Assesment (DPIA), ook wel een gegevensbeschermingseffectbeoordeling, is een instrument om privacyrisico’s voor betrokkenen in kaart te brengen met als doel deze weg te nemen of te verminderen. SIVON voert generieke centrale DPIA’s uit die scholen kunnen gebruiken om tot een lokale DPIA en risico-afweging te komen.
> meer informatie