- Tips
- |
- Informatiebeveiliging en privacy
- |
- po
- vo
Ict-beveiliging op school, waar begin je?
Een slecht beveiligde ict-omgeving kan leiden tot vervelende situaties met grote gevolgen voor een school. Lesuitval, toetsen die niet doorgaan, verloren documenten, te laat betaalde facturen of salarissen – het zijn reële risico’s. Met welke maatregelen verklein je de kans dat het misgaat? In dit artikel zetten we ze op een rij.
Door de redactie
Elke verstoring in een onderdeel van de ict-omgeving kan grote impact hebben op het onderwijs of het werk van de ondersteunende afdelingen. Denk aan een haperende internetverbinding, digitale leermiddelen die niet goed werken of bedrijfssystemen die tijdelijk plat gaan.
Scholen zijn zich bewust van de risico’s maar zijn tegelijkertijd niet voldoende weerbaar – omdat de basisbeveiliging nog vaak ontbreekt of niet goed is ingericht. We gaan eerst kort in op de risico’s en geven daarna tien maatregelen die je kunt nemen. Dit zijn adviezen die te maken hebben met de organisatie en met de technische inrichting van devices en systemen.
Risico’s van een onbeveiligde ict-omgeving
Wanneer je ict-omgeving onvoldoende beveiligd is, lopen je data en ict-voorzieningen een risico. Dit kan er gebeuren:
- Datalek waarbij privacygevoelige informatie in verkeerde handen komt. Denk aan persoonsgegevens, zorggegevens van leerlingen of gespreksverslagen van medewerkers.
- Bewuste verstoring van ict-voorzieningen. Denk aan een leerling die een DDoS-aanval bestelt om een toets of examen te verstoren of een leerling die het digibord tijdens een les overneemt via zijn telefoon. Of een hacker die ransomware installeert waardoor bestanden worden versleuteld. De bestanden zijn pas weer te gebruiken na betaling van een afkoopsom.
- Manipulatie van data als inloggegevens zijn buitgemaakt en data worden aangepast. Denk aan leerlingen die cijfers veranderen, medewerkers die beoordelingen wijzigen of hackers die betalingsgegevens aanpassen.
- Overname of misbruik van ict-voorzieningen. Denk aan criminelen die internetcapaciteit overnemen, spam-mails versturen via e-mailaccounts van de organisatie of malware installeren.
Je kunt de risico’s die je school loopt verkleinen door een aantal organisatorische en technische maatregelen te nemen. De maatregelen zijn geschikt voor kleine én grote scholen. Overleg met je ict-afdeling of de externe ict-beheerpartij wat er voor jouw school nodig is.
Organisatorische maatregelen
Bij beveiliging wordt als eerste gedacht aan technische maatregelen en regels en voorschriften bij het gebruik van de ict-omgeving. Termen als firewall, encryptie, wachtwoordbeleid, internetprotocol en privacy reglement zijn bij veel mensen wel bekend. Maar om deze maatregelen effectief in de school in te zetten, is het nodig om eerst de organisatorische kant van de beveiliging goed te regelen. Hierbij zijn 4 zaken van belang:
Inzicht in de ict-omgeving
Het klinkt simpel maar het is niet vanzelfsprekend. Zorg dat je weet wat je in huis hebt, waar het zich bevindt en wie het gebruikt. Welke devices zijn er voor leerlingen en medewerkers, uit welke componenten bestaat het netwerk, welke applicaties en systemen worden gebruikt, waar worden bestanden opgeslagen? Met dit inzicht is het makkelijker om over beveiliging na denken.
Naar de AppcheckerHeldere verantwoordelijkheden
Zorg dat duidelijk is wie er verantwoordelijk is voor het juist en veilig gebruik van de verschillende onderdelen van de ict-omgeving. En wie dus bepaalt wat je daarmee bedoelt, ‘juist en veilig gebruik’. Dat kan bijvoorbeeld het hoofd van de ict-afdeling zijn voor de devices en het netwerk, het hoofd van de administratie voor het financiële systeem of een schooldirecteur voor de ELO en de educatieve applicaties.
Goede ondersteuning
De collega’s die verantwoordelijk zijn voor (delen van) de ict-omgeving, zijn over het algemeen geen beveiligingsexperts. Ze hebben vaak geen volledig beeld van wat er in de volle breedte van de organisatie speelt op veiligheidsgebied. Zorg voor iemand die de kennis, tijd én positie heeft om op organisatieniveau over beveiliging te adviseren, dit te coördineren en controleren. Dit kan bijvoorbeeld een eigen Security Officer of Functionaris Gegevensbescherming zijn of je kunt hiervoor externe expertise inhuren.
Bewustzijn in de school
Creëer bij iedereen bewustzijn voor de risico’s van het gebruik van de ict-omgeving en de noodzaak van passende beveiligingsmaatregelen. Leg met voorbeelden uit waarom je kiest voor een bepaalde aanpak, waarom het belangrijk is voor de organisatie en welke problemen je ermee wilt voorkomen. Er zijn voldoende recente nieuwsberichten van scholen die het slachtoffer werden van een cyberaanval, jouw school wil natuurlijk niet de volgende zijn.
Technische maatregelen
Als je inzicht hebt in de ict-omgeving, als je de organisatie van de beveiliging hebt geregeld en aandacht hebt besteed aan bewustzijn binnen de school, dan kun je aan de slag met de meer technische uitvoering. De volgende maatregelen zijn daarbij van belang:
Versleuteling
Versleutel computers, laptops, telefoons, usb-sticks en andere apparaten die gevoelige informatie bevatten. Het versleutelen van bestanden maakt dat deze niet in te zien en dus onbruikbaar zijn als een devices of apparaat in verkeerde handen valt.
Updates
Installeer updates. Ze zijn er niet voor niets! Applicaties en systemen bevatten altijd foutjes. De ene fout is daarbij ernstiger dan de andere. Updates verhelpen de fouten en maken de ict-omgeving minder kwetsbaar. Zorg ervoor dat updates tijdig worden geïnstalleerd. Breng hierbij alle applicaties en it-systemen binnen de ict-omgeving in kaart, vergeet ook de devices en netwerkcomponenten niet.
Back-ups
Maak regelmatig back-ups van je bestanden en it-systemen. In veel gevallen is een back-up dé manier om een probleem op te lossen of een systeem te herstellen. Vergeet niet om regelmatig te controleren of de back-ups gelukt zijn. Test ook of het goed werkt wanneer je een bestand vanuit de back-up terugzet of een systeem vanuit de back-up herstelt.
Bekijk hoe je een back-up en herstelplan maakt (Aanpak IBP)Toegang tot bestanden en systemen
Wie heeft toegang? Zorg ervoor dat je dit in beeld hebt. Geef medewerkers een persoonlijk account en alleen toegang tot die bestanden en systemen die ze nodig hebben voor hun werk. Als er dan toch onverhoopt een probleem optreedt dan is de omvang daarvan beperkt. Controleer ook de toegang van externe partijen tot je interne netwerk. Schakel beheeraccounts uit en activeer deze alleen wanneer dat nodig is, bijvoorbeeld als onderhoud plaatsvindt.
Extra check via 2-factor authenticatie
Pas 2-factor authenticatie toe bij accounts van beheerders en accounts van gebruikers van belangrijke applicaties. Naast een wachtwoord heeft de gebruiker iets extra’s zoals een token of een eenmalige code nodig om in te loggen. Met zo’n authenticatie kan iemand die een wachtwoord heeft achterhaald of geraden, het systeem meestal toch niet in dankzij de extra check.
Veilige internetverbinding
Zorg voor een veilige internetverbinding. Naast leerlingen en medewerkers maken ook apparaten steeds vaker gebruik van het internet – het zogenoemde internet of things (IoT). Slimme apparaten maken automatisch verbinding om gegevens uit te wisselen en dat vormt een risico. Ga dus na in welke gevallen dit gebeurt. Sta internettoegang alleen toe waar dit noodzakelijk is. Plaats apparaten zo nodig in een apart deel van het netwerk met extra beveiligingsmaatregelen.
En dan nog…
Met deze maatregelen leg je de basis van een effectieve beveiliging van de ict-omgeving in de school. En dan nog, hoe goed je het ook regelt en hoe goed iedereen in de school zijn best doet om zich aan de regels en afspraken te houden, het kan toch een keer mis gaan.
Zorg ervoor dat je bent voorbereid op incidenten of op een calamiteit. Wat doe je als een onderdeel van de ict-omgeving niet meer werkt, als een belangrijk it-systeem uitvalt of als de school het doelwit is van een ransomware-aanval? Met een herstelplan kun je ervoor zorgen dat het onderwijs weer zo snel mogelijk op gang komt en dat de it-systemen van de ondersteunende organisatie weer vlot draaien.
Meer informatie en tips
- In dit artikel gingen we in op de basisveiligheidsmaatregelen voor de ict-omgeving. Ben je specifiek op zoek naar maatregelen rond informatiebeveiliging en privacy, kijk dan op de website Aanpak IBP. Of zoek contact met het het Netwerk IBP po/vo.
- Voor dit artikel hebben we onder meer gebruikgemaakt van informatie van Kantar & Breens Network en het Nationaal Cyber Security Centrum.
- De ict-coöperatie SIVON voor primair en voortgezet onderwijs biedt scholen verschillende diensten die de ict-veiligheid verhogen. Zo is er de dienst Veilig internet en helpt SIVON scholen bij het realiseren en doorontwikkelen van veilig en toekomstbestendig digitaal onderwijs.
8 maatregelen om je infrastructuur te beveiligen
pdf | 740.2 KB
Met deze 8 maatregelen beveilig je de ict-infrastructuur en verklein je de risico’s.