alle artikelen

Ad Spelt over de dagelijkse strijd tegen virussen en malware

Op de dag dat we Ad Spelt spreken, staan de kranten vol met nieuws over een Twitter-hack, waarbij onder meer de accounts van Elon Musk en Bill Gates zijn gebruikt door bitcoinoplichters. Als het voor hen al onmogelijk is om zichzelf te beschermen, hoe moet je dat als school in het basisonderwijs dan doen? Ad Spelt is bovenschoolse ICT-coördinator en Functionaris Gegevensbescherming voor onder meer het PCPO Nieuwerkerk aan de IJssel (PCPONWK) en heeft zich hierop toegelegd.

PCPONWK staat voor Protestants Christelijk Primair Onderwijs Nieuwerkerk aan den IJssel, een vereniging met drie scholen. Ad Spelt startte er als leerkracht en ICT-coördinator en werkt er nu nog een dag per week als bovenschoolse ICT-coördinator (BIC’er). Inmiddels is hij uitgegroeid tot specialist in beveiliging en privacy en weten ook andere schoolbesturen in de regio hem te vinden.

DDoS-aanval door oudere broer of zus

Zeker in het basisonderwijs, met zo’n jonge doelgroep, liggen er volgens Spelt de nodige beveiligingsincidenten op de loer. Een leerkracht die een besmette mobiel met het netwerk verbindt of leerlingen die foute reclames aanklikken. “Die kinderen die klikken wel! Onze leerlingen zijn zelf nog te jong om een DDoS-aanval op te zetten, maar we hebben wel ooit meegemaakt dat een ouder broertje of zusje dat deed. Dat zijn heel lastige zaken! Dan moet je op een backup-lijn kunnen terugvallen. Soms helpt contact met de provider, maar echt betaalbare oplossingen zijn er nog niet voor het basisonderwijs.”

Wat was ook weer je wachtwoord?

Hoe bescherm je dan je school? Dat begint met de beveiliging van de router, waar het internet de school inkomt. Vervolgens is goed apparaatbeheer een harde voorwaarde. Ook patch management is belang rijk: een beveiligingslek in de router moet direct worden gedicht. Spelt: “Je begint altijd met een analyse van het probleem. Een gebrekkig wifi-netwerk om half negen in de ochtend kan ook komen doordat ouders via hun mobiel contact maken met het netwerk. Of de internetcode van het personeelsnetwerk is uitgelekt en leerlingen gaan massaal op de wifi van de school.”

Toen Spelt zelf nog voor de klas stond, kreeg hij een keer de vraag of hij de leerlingen kon leren hacken. “Dan vroeg ik: ‘Wat was ook weer je wachtwoord?’ Dat gaven ze direct. Dat is les één in hacken: nu weet ik je wachtwoord! Je kunt technisch veel doen, maar het begint ermee dat gebruikers zich bewust zijn van de gevaren. Medewerkers zijn nog wel eens teleurgesteld dat ze geen programma mogen installeren op hun computer. Dat klopt! Het wisselgeld is echter dat het wel allemaal werkt.”

Gegevensbescherming

Alle organisaties die met persoonsgebonden data en kwetsbare groepen werken, hebben een Functionaris Gegevensbescherming: iemand die toezicht houdt op de privacy van de leerlingen. Dit is een formele functie die voortvloeit uit de AVG en die ook bij Spelt ligt: “De leerkrachtmap biedt voor indringers vaak een schat aan informatie. Mijn eerste stap is altijd om die te controleren op aanwezigheid van het bestand ‘wachtwoordenlijst’. Leen je wachtwoord ook niet uit aan een invaller of duo! Ook leerlingen moet je zo jong mogelijk leren dat hun wachtwoord ook echt geheim is: leerkrachten moeten die dus niet hardop in de klas gaan voorlezen. Aan die bewustwording moet je maandelijks werken: houd codes voor jezelf! Vergrendel je werkplek als je de klas verlaat. Als er phishing mails in omloop zijn: check de link waarop je klikt. Je ziet al snel of die betrouwbaar is of niet.”

Extra virusrisico’s in coronatijd?

Bracht het thuisonderwijs in coronatijd nou extra beveiligingsrisico’s met zich mee? Spelt: “Ja en nee. De eerste uitdaging was: zorgen voor een apparaat voor de kinderen. Daarom mocht de laptop van school, met een leencontract, mee naar huis. Daar is goed gebruik van gemaakt. We hadden vooraf wel contact met de netwerkleverancier: kan dat wel? Is dat wel veilig? De laptops waren echter zo goed dichtgetimmerd, dat we ons geen zorgen hoefden te maken. Dat was een geruststellende gedachte. We hebben ons niet zozeer gericht op online lesgeven, maar gebruikten Office en OneNote als online leeromgeving om opdrachten en lesmateriaal te verspreiden. Leerlingen waren vrij om eraan te werken wanneer ze wilden en konden wel contact opnemen met de leerkracht.”

Voor de leerkrachten was de situatie weer anders. Zij werken normaliter op school op een bekabeld netwerk, omdat dat stabieler is dan een wifi-netwerk. Leerkrachten konden soms een laptop van school lenen, maar werkten meestal op hun eigen laptop. “We attendeerden hen erop: met wie deel je thuis de computer? Voer ook thuis op tijd je Windows-updates uit. Log uit in Office als je een eigen account hebt. Ook op eigen laptops en iPads staat data, dus ook daar kunnen datalekken ontstaan en loop je het risico op een accounthack. We denken er nu wel over na dat het fijn zou zijn voor leerkrachten om een apparaat van school te hebben. Het fijne was wel dat de ICT-omgeving veilig en goed was ingericht om thuisonderwijs mogelijk te maken.”