In juni van dit jaar is het nieuwe Normenkader IBP – Informatiebeveiliging en Privacy voor het onderwijs – gelanceerd. Waarom is dit belangrijk? Wat zijn de uitdagingen waar scholen mee te maken krijgen als het gaat om informatiebeveiliging en privacy? Wat zijn de belangrijkste stappen?
Wat is het Normenkader IBP?
Het is een raamwerk dat richting en inzichten geeft rond het huidige niveau van digitale beveiliging van scholen en hoe ze dat niveau kunnen verhogen. Daartoe biedt het duidelijke richtlijnen en kaders om scholen verder te helpen met goede weerbaarheid. Dat gaat niet alleen over digitale weerbaarheid maar weerbaarheid in het algemeen, dus ook over het definiëren van processen, beleid, etc.
Zo’n raamwerk is ook nodig. De afgelopen jaren is de aandacht voor informatiebeveiliging en privacy in het onderwijs weliswaar gegroeid, maar de cyberdreigingen voor scholen nemen wereldwijd toe, waaronder ransomware-aanvallen. Met het raakwerk kunnen scholen en andere onderwijsinstellingen controleren of ze nodige maatregelen hebben getroffen, het geëigende securitybeleid hanteren en best practices volgen.
Scholen en universiteiten vormen aantrekkelijke doelwitten voor cybercriminelen vanwege hun publieke karakter en de toegang die zij bieden tot waardevolle informatie, zoals intellectueel eigendom en persoonlijke gegevens van studenten en medewerkers. Medio september waren bijvoorbeeld verschillende Britse scholen het slachtoffer van een ransomware-aanval, waardoor ze zich gedwongen zagen om bij alle lessen terug te vallen op potlood en papier. Ook in Nederland zijn gevallen waaruit blijkt hoe kwetsbaar het onderwijs is voor cybercriminaliteit. We lezen daar relatief weinig over in de media, maar wel in de interne kanalen van de security community.
Wat zijn grootste risico’s?
De belangrijkste risico’s voor scholen liggen niet alleen bij een verstoring van de onderwijsprocessen, maar ook in het verlies van waardevolle informatie, zoals intellectueel eigendom dat bijvoorbeeld voortkomt uit samenwerkingen met het bedrijfsleven. Dit risico speelt niet alleen in het hoger onderwijs; ook op MBO-scholen is de situatie zorgwekkend. Waar hogescholen over het algemeen meer middelen en expertise hebben om hun securityniveau te waarborgen, blijven MBO’s kwetsbaar vanwege beperkte budgetten en vooral vanwege het gebrek aan mensen met de nodige securityexpertise.
Scholen zijn vaak doelwitten omdat zij, net als andere publieke instellingen, een relatief laag beveiligingsniveau hebben en tegelijkertijd maatschappelijke functies vervullen. Hierdoor kunnen cybercriminelen niet alleen financieel gewin behalen, maar ook angst zaaien onder een jongere generatie en de school als een symbool van maatschappelijke ontwikkeling platleggen. Dit soort aanvallen wordt ook vaak in verband gebracht met geopolitieke spanningen, zoals de oorlog in Oekraïne, waarbij staatshackers en hacktivisten wereldwijd proberen om invloed uit te oefenen op tal van organisaties, waaronder onderwijsinstellingen.
Het securityniveau in het onderwijs
Het huidige securityniveau binnen onderwijsinstellingen laat vaak nog te wensen over. Bestuurders van scholen hebben over het algemeen weinig kennis over informatiebeveiliging en privacy, wat het moeilijk maakt om effectief beleid op dit gebied te ontwikkelen en te handhaven. Bovendien missen veel Nederlandse onderwijsinstellingen een functionaris voor gegevensbescherming of een Chief Information Security Officer (CISO), die bijvoorbeeld in de VS wel verplicht is.
Hoe kunnen scholen hun IBP-beleid dan effectief verbeteren? De beste aanpak is een combinatie van externe expertise en interne training. Door externe specialisten in te schakelen, kunnen scholen profiteren van de ervaring van experts die weten welke maatregelen snel en effectief te implementeren en welke meer tijd en middelen vereisen. Ze kunnen ook helpen bij het opzetten van duidelijke prioriteiten en actieplannen. Het is daarom aan te raden om samen te werken met publieke en private partijen. Via samenwerkingsverbanden, zoals het Digital Trust Center (DTC), kunnen scholen leren van de ervaringen van andere organisaties en om nieuwe oplossingen te ontwikkelen die specifiek zijn afgestemd op de behoeften van het onderwijs.
Uiteindelijk is het voor scholen echter essentieel om ook interne expertise op te bouwen. Interne experts kunnen beter inspelen op de specifieke behoeften en belangen van de school en ervoor zorgen dat de kennis binnen de organisatie blijft, wat belangrijk is voor de voortdurende naleving van het IBP-normenkader. Door eigen personeel te trainen kunnen scholen bovendien de bewustwording onder medewerkers vergroten, wat cruciaal is in de strijd tegen cybercriminaliteit.
Prioriteiten en de rol van het schoolbestuur
Als eerste zouden scholen in het kader van hun IBP-strategie risicomanagement, incidentbeheer en de betrokkenheid van het schoolbestuur moeten aanpakken. Het is essentieel om eerst in goed kaart te brengen wat de risico’s zijn, welke data en processen het belangrijkst zijn en wat de impact is van een verstoring op het dagelijks functioneren van de school. Op basis daarvan kunnen ze vervolgens gerichte maatregelen nemen en een actieplan opstellen voor het geval er een cyberincident plaatsvindt. Daarnaast moeten scholen duidelijk vaststellen wie verantwoordelijk is voor incidentbeheer. Dit betekent dat er een persoon of team aangewezen moet worden dat de leiding neemt in het geval van een incident en ervoor zorgt dat de communicatie met partners, medewerkers, ouders en leerlingen goed verloopt.
Het schoolbestuur speelt een sleutelrol bij de implementatie van een effectief IBP-beleid. Bestuurders moeten op de hoogte zijn van de risico’s en de mogelijke gevolgen van een cyberincident, zodat zij weloverwogen beslissingen kunnen nemen over budget, kennis en tijd. Een manier om het bestuur te overtuigen van de noodzaak om te investeren in IBP-maatregelen is door te praten over de risico’s, in de taal die het bestuur begrijpt. Maak het zo tastbaar mogelijk en geef voorbeelden. Wat als een school bijvoorbeeld door ransomware wordt getroffen en leerlingen daardoor hun diploma niet kunnen halen? Dat heeft flinke gevolgen. Dit soort scenario’s maakt de impact van een cyberaanval tastbaar en urgent.
Conclusie
Informatiebeveiliging en privacy zijn geen luxe meer voor scholen, maar een absolute noodzaak. Cyberincidenten, zoals ransomware-aanvallen, vormen een reëel en groeiend risico. Door te investeren in risicomanagement, personeel te trainen en externe expertise in te schakelen, kunnen scholen zich beter beschermen tegen deze dreigingen. Daarbij speelt het schoolbestuur een cruciale rol in het vrijmaken van middelen en het creëren van securitybewustzijn binnen de hele organisatie. Op deze manier kunnen scholen voldoen aan de IBP-normen en nog belangrijker: zorgen voor continuïteit in hun onderwijs en de privacy van medewerkers en leerlingen beschermen.
Raynaud Schokkenbroek, Solution Architect Benelux, Barracuda