Vooroplopen op het gebied van digitaal onderwijs: dit zit in het DNA van KSE, een onderwijsorganisatie met ruim 2.500 leerlingen, verdeeld over twee locaties. Adel verplicht, in de jaren ’90 al ICT voorhoedeschool, nu Microsoft Showcaseschool. In die hoedanigheid zijn er regelmatig contacten met scholen in binnen- en buitenland die graag een kijkje komen nemen. Voorlopig is dit overigens vooral virtueel, als gevolg van de lockdown. Zelfs de open dag werd onlangs op deze manier gehouden, met een digitale rondleiding door brugklassers van de KSE en de mogelijkheid om online vragen te stellen.
“De lockdown in maart 2020 heeft onze plannen om alle leerlingen op hun eigen laptops te laten werken alleen maar versneld”, zegt Geers, die als conrector bedrijfsvoering binnen KSE ICT in zijn portefeuille heeft. “En omdat we al onze systemen al in de cloud hadden staan en volledig online konden werken, konden we bijna direct overschakelen naar het lesgeven op afstand.” Tegelijkertijd brengt de gang naar de cloud soms ook vraagtekens met zich mee, erkent hij. “Je zet je systemen weg bij gerenommeerde partijen, maar wat gebeurt daar allemaal? De cloud is toch een beetje een ‘black box’.”
“Veel vragen konden we wel beantwoorden, maar wil je het goed onderzoeken, dan moet je de diepte ingaan met deskundigen.”
Kritische vragen
De bal werd aan het rollen gebracht door de accountant, vertelt Geers. “Deze stelde ons vragen over hoe wij verschillende systemen hadden ingericht. Hoe zat het bijvoorbeeld met ons wachtwoordenbeheer? Hoe is de firewall ingericht? Veel vragen konden we wel beantwoorden, maar wil je het goed onderzoeken, dan moet je de diepte ingaan met deskundigen. Zo kwamen we uit bij de Onderwijs ICT Security Scan. We hebben toen hier intern tegen elkaar gezegd: laten we eens kijken welk advies hieruit komt en wat we daarna eventueel kunnen implementeren.”
In oktober en november 2020 werd vanuit dit programma binnen de KSE de CyberSecurityScan uitgevoerd, waarna de resultaten in december werden gepresenteerd in een rapport. Het is overigens mogelijk om dit project volledig digitaal uit te voeren. De aftrap voor het traject werd gegeven in een Teams-meeting met daarin verschillende ICT-verantwoordelijken van KSE (“waaronder onze coördinator ICT en functionaris gegevensbescherming”) en vertegenwoordigers van IT-Workz en de partij die de scan in opdracht van IT-Workz uitvoerde. “Daarin viel het ons meteen al op dat we ons in veel gevallen overleveren aan de securitystandaarden van onze leveranciers. Dat is niet per definitie slecht, maar toch ben je liever zelf in staat daar telkens bewuste keuzes in te maken.”
“Een spannend moment. Het voelde toch een beetje als een bezoek aan de tandarts. Je hoopt dat je geen gaatjes hebt, maar een beetje tandsteen is oké, want dan ben je in ieder geval niet voor niets geweest.”
Rapport van 59 pagina’s
De voor de scan gebruikte software draaide enkele weken geruisloos op de achtergrond en in december was het dan tijd voor de presentatie van de resultaten. “Een spannend moment”, herinnert Geers zich. “Het voelde toch een beetje als een bezoek aan de tandarts. Je hoopt dat je geen gaatjes hebt, maar een beetje tandsteen is oké, want dan ben je in ieder geval niet voor niets geweest. Welnu, we kregen een indrukwekkend rapport van 59 pagina’s en in een presentatie werden direct de highlights doorgenomen. Het rapport stak zo in elkaar dat er op onderdelen steeds op een schaal van één tot vijf werd aangegeven hoe we scoorden. Waarbij een vijf ongeveer een Fort Knox is qua veiligheid. Daarbij was het wel prettig dat er rekening werd gehouden met onze context. We zijn immers geen bank, maar een onderwijsorganisatie. Om te voorkomen dat je maatregelen neemt die over de top zijn, moet je daar dus wel kritisch op zijn. Waar de eerder genoemde bank een vijf nodig heeft, kun je binnen het onderwijs met een drie volstaan.
De eerste conclusie was al dat KSE over de hele breedte goed scoorde. “Er is overal naar gekeken. Van hoe onze Azure-omgeving in elkaar stak tot het beveiligingsniveau van servers en de wachtwoordensystematiek, bijvoorbeeld voor de admin-accounts.” Geers kan tal van andere zaken noemen. “Ook is onze Sharepoint-omgeving doorgenomen op gevoelige data, met aanbevelingen hoe deze nog verder te beveiligen, bijvoorbeeld middels encryptie. Nuttig vond ik bovendien de scan op ongebruikte accounts. Op zoek naar documenten die ooit zijn aangemaakt en in de omgeving zijn gaan zwerven en die wellicht nog gevoelig kunnen zijn.” Positief ervoer hij het ook dat er gekeken is naar het verifiëren en updaten van software van derde partijen. “We hebben bijna driehonderd leermiddelen in gebruik waarvan het grootste deel een digitale component heeft. Heb je dan altijd de laatste versies op alle devices?”
“Wat ga je doen in het geval van een ransomware-aanval? Wie is dan verantwoordelijk en hoe snel kunnen we onze omgeving dan weer online brengen?”
Beleid onder de loep
De scan ging daarnaast ook in op het beleid ten aanzien van de AVG, vertelt Geers. “Wie heeft toegang tot welke systemen en data? Wie is bijvoorbeeld verantwoordelijk voor de admin-accounts? Wat doen wij wanneer we te maken krijgen met een datalek? Dan kom je ook op het vlak van risicomanagement. Wat ga je bijvoorbeeld doen in het geval van een ransomware-aanval? Wie is dan verantwoordelijk en hoe snel kunnen we onze omgeving dan weer online brengen? We zijn echt gedwongen om over onze organisatie na te denken.”
Het rapport bevatte aanbevelingen voor zowel de korte (binnen dertig dagen), middellange (binnen 90 dagen) en lange termijn. Op de korte termijn is de scholengemeenschap direct aan de slag gegaan met het verder aanscherpen van admin-privileges, het aanpassen van e-mailprotocollen en het instellen van automatische updates waar mogelijk. Ook is de aanzet gedaan om in de toekomst te gaan pentesten op zwakheden in het netwerk. “We hebben gemerkt dat er pogingen zijn gedaan om admin-accounts te hacken, waarschijnlijk door overijverige leerlingen. Door de goede beveiliging is dat niet gelukt, maar we moeten daar scherp op blijven.”
Veel verbetermogelijkheden
Nu is de onderwijsorganisatie zover om de aanbevelingen op middellange termijn op te pakken. “Een van onze uitdagingen is dat er een aantal leerlingen is die op ons netwerk gebruik maakt van BYOD. Dat zijn dan meestal leerlingen die een laptop van hun vader of moeder meenemen, maar hier moeten we als organisatie wel iets mee, we moeten alert blijven dat ons beleid of maatregelen ook op dit vlak up to date blijven. Interessant is ook de uitdaging om software van derde partijen sneller te updaten, we gaan nu kijken wat we daarmee kunnen doen. Verder heeft de scan verbeterpunten in kaart gebracht die meteen opgepakt zijn. Dan gaat het om zaken zoals netwerkpoorten, gebruikte protocollen en firewall-instellingen.”
“Ik denk dat het belangrijk is dat je er een partij bij hebt die, net als een accountant, zonder enig belang objectief kijkt en adviezen geeft. Dat vergroot ons bewustzijn en daardoor handelen we effectiever.”
De aanbevelingen op langere termijn bevatten de ‘grotere’ thema’s zoals dataprotectie, incident response management en risk management. “Op de korte termijn gaat het om kleine instellingen die we snel kunnen aanpassen, op de langere termijn gaat het steeds meer om beleid om de security te borgen.” Geers heeft de scan als waardevol ervaren, stelt hij. “Security is een lastig en complex thema dat te groot is om zomaar te laten lopen, maar waarbij je wel merkt dat je het als school nooit helemaal zelf kunt. Ik denk dat het belangrijk is dat je er een partij bij hebt die, net als een accountant, zonder enig belang objectief kijkt en adviezen geeft. Dat vergroot ons bewustzijn en daardoor handelen we effectiever.”