SIMON Scholen scant Microsoft 365-omgeving op beveiligingsrisico’s

SIMON Scholen is een stichting van tien Islamitische basisscholen in midden- en oost-Nederland. Daniël Rense werkt er als ICT beleidsmedewerker. Voor licentiebeheer en ICT-advies heeft hij maandelijks contact met Maurits Knoppert van APS IT-diensten. Het netwerkbeheer is in handen van Heutink ICT. Daniël: “Tijdens mijn maandelijkse overlegmoment met Maurits bracht ik aan de orde dat ik de beveiliging van ons netwerk wilde laten doorlichten. Liever preventief aan de slag gaan dan reactief als het kwaad al geschied is. Dossiers van kinderen met vertrouwelijke gegevens over hun sociaal-emotionele ontwikkeling of zorgbehoefte moeten gewoon goed beveiligd zijn. Zo kwamen we uit op een cybersecurityscan.” Cloud Life is een van de oplossingen voor beveiligingsscans die APS IT-diensten aanbiedt.

Preventieve scan

Cloud Life is expert in cybersecurity en databeveiliging. Het bedrijf maakt Microsoft-omgevingen veiliger door middel van uitgebreide scans, implementatie- en beheerwerkzaamheden, consultancy en detachering. Zwakke plekken worden opgespoord en aangepakt, zodat de omgeving ook in de toekomst veilig blijft.

Voor het onderzoek heeft Cloud Life toegang nodig tot de omgeving. Daarvoor maakte Maurits accounts aan. Uit de scan kwam een rapport met alle bevindingen, een advies voor een betere inrichting en een aanduiding van prioriteiten. Na de scan besprak Cloud Life het onderzoek met Daniël. “Het punt met dit soort onderzoeken is: je vindt altijd wat. Dat heeft er niet mee te maken dat je netwerkbeheerder wat fout doet. Ook al ben je de hele tijd bezig met beveiliging, je hebt altijd gaten. Voorzie je je huis van dubbelglas, dan is er altijd nog wel een dakraam met enkel glas. Je hebt het nooit 100% op orde; als je de hoogste risico’s maar afdekt.” 

Prioritering

Wat waren sommige bevindingen dan? “Een ervan was dat mijn mailaccount ook mijn global admin account was. Dat vond ik makkelijk, want dan hoefde ik niet steeds in en uit te loggen. Het betekende wel dat ik altijd als admin was ingelogd. Dat hebben we aangepast. Je maakt altijd een prioritering die afhankelijk is van het risiconiveau: wat is de benodigde tijdsinvestering en wat zijn de consequenties voor gebruikers? Als het digibord in de klas na een minuut in standby gaat, moet de leerkracht iedere keer opnieuw inloggen als hij even een kind helpt. Dat werkt niet. Daarom staat de tweestapsverificatie uit als je op school werkt. Als je alles zou dichttimmeren, kan niemand meer scannen of printen.”

Bij alles was het zaak om te kijken hoe belangrijk het is om iets te beveiligen. Voor Daniël ligt de focus vooral op de intern begeleiders, administratief medewerkers en directeuren aangezien zij vaak veel gegevens verwerken van leerlingen of collega’s. “Ook bij het toekennen van rechten geldt: je geeft medewerkers alleen de rechten die ze echt nodig hebben. Niet iedereen hoeft een ‘admin’ te zijn. Extra rechten brengen ook meer verantwoordelijkheid met zich mee. Een directeur vindt het vaak fijn om overal bij te kunnen, maar dat betekent niet dat er overal een account voor nodig is. Vergelijk het met de brugklasser die alle schoolboeken in zijn rugzak propt, terwijl hij die dag maar drie boeken nodig heeft.”

Uiteindelijk ging Daniël aan de slag met zo’n 100 aanpassingen aan de omgeving. “Dat lijkt veel, maar dan gaat het vaak alleen om een schuifje open- of dichtzetten of om bewustwording bij collega’s. In coronatijd deelden leerkrachten vaak lesmateriaal met hun collega’s vanuit hun OneDrive en niet via SharePoint. Dat bracht ook risico’s met zich mee: als een medewerker uit dienst gaat, wordt alle data op een OneDrive verwijderd.”

Ook de beveiliging van uitgaande e-mails werd verbeterd. Maurits licht toe: “Er bestaan sites waarop je kunt aangeven dat je een mailtje verstuurt vanuit een andere organisatie. Spoofen heet dat. Je kunt daar dus een mailtje versturen vanuit SIMON Scholen. Voor de ontvanger lijkt het dan alsof het daar ook echt vandaan komt. Door aanpassingen in de beveiliging hebben we ervoor gezorgd dat er in mails van medewerkers een digitale, niet zichtbare, handtekening staat. Dan weet je zeker dat het van de school afkomstig is. Andere mails zijn niet rechtsgeldig.”

Niet alleen SIMON Scholen trok lessen uit het assessment. Alle deelnemers deden dat. Zo gebruikte Heutink de aanbevelingen aan SIMON Scholen voor de manier waarop zij de beveiliging voor scholen inricht. Ook zij maken dus een slag in hun aanpak voor andere scholen. Egbert Brinks was vanuit Heutink betrokken bij het traject: “Het is mooi om te zien dat SIMON Scholen beveiliging serieus neemt en deze externe test heeft geïnitieerd. Ook wij nemen beveiliging serieus en hebben in dit proces samen met Cloud Life, APS IT-diensten en Daniël de uitkomsten geanalyseerd en de puntjes op de i gezet. Zo hebben we samen weer een stapje gezet naar digitaal veilig onderwijs.”

Samenwerking biedt maatwerk

Daniël is blij met de samenwerking tussen de vier partijen. “De synergie was goed; we wisten elkaar goed te vinden. Het was een leuk traject, de samenwerking verliep heel positief en constructief. Heutink en APS IT-diensten ondersteunden en bleven kritisch. De samenwerking was ook echt passend voor onze organisatie. Ze boden maatwerk door goed te kijken naar wat er nodig en haalbaar is voor onze organisatie. Ik zou andere scholen zeker een beveiligingsscan aanraden. Het is goed voor je eigen gemoedsrust om daar je best voor te doen. Richting kinderen en ouders heb je ook de verantwoordelijkheid om het goed te regelen.”

Hoe gaat Daniël nu verder met de resultaten? “Wil je het goed doen, dan moet een scan als deze geen eenmalige exercitie zijn. Alleen vraagt het wel om een investering, die je niet iedere maand kunt doen. Daarom zou ik graag zien dat onderwijsinstellingen meer samenwerken om de kosten te delen. Voor kleinere scholen is het anders ondoenlijk, terwijl ook daar gevoelige informatie over kinderen circuleert. Bovendien hebben we nu alleen de Microsoft 365-omgeving, ofwel ‘de voordeur’ in beeld. Maar je hebt ook nog ‘het dakraam’, bijvoorbeeld het leerlingadministratiepakket, de CITO-toetsen, de educatieve software en zelfs de hardware die een hacker kan gebruiken om op je netwerk te komen.’’ Maurits: “Tel daarbij op dat de techniek constant verandert, dus ook de aanvallen veranderen. Hackers proberen iedere keer iets nieuws.”