alle artikelen

Almeerse Scholen Groep: Hoe waarborg je privacy in tijden van thuiswerken en DDoS-aanvallen?

Benny Velthuis staat als systeemcoördinator bij de Almeerse Scholen Groep (ASG) bij veel mensen onder de sneltoets. Doordat de ASG het volgens Benny op ICT-vlak goed op orde heeft, had de school zelfs een DDoS-aanval snel onder controle. Een DDoS-aanval is een cyberaanval, waarbij ontzettend veel verkeer naar het netwerk wordt verstuurd, waardoor de pc’s onbruikbaar worden. Hij vertelt hoe de ASG tijdens en na de eerste corona-uitbraak zaken rondom ICT, privacy en veiligheid regelde. En daarmee een DDoS-aanval wist af te slaan.

De ASG bestaat uit 39 basisscholen en acht middelbare scholen. Sinds twee jaar regelen zij het gehele netwerkbeheer van alle scholen zelf. “De meeste basisscholen hebben een eigen ICT-coördinator en de middelbare scholen hebben een systeembeheerder op locatie die de schooleigen ICT beheert. Komen zij er niet uit? Dan komen ze bij ons terecht, de bovenschoolse ICT’ers.”

Manusje-van-alles

Het bovenschoolse beheer van de ASG is in handen van een team dat bestaat uit een aantal technici, een helpdeskmedewerker, een tweetal functioneel beheerders en systeembeheerders. “In totaal zijn we met negen man. We zijn een divers gezelschap en ondersteunen elkaar waar en wanneer het kan.” Benny is een van de twee systeemcoördinatoren. “Ik neem vooral de technische kant voor mijn rekening. Zo ben ik volop bezig met het oplossen van tweedelijnsincidenten (het oplossen van wat complexere incidenten die een eerstelijns helpdeskmedewerker niet kan oplossen), het mede-ontwikkelen van beleid voor het beschermen van gevoelige informatie en het ondersteunen van een project rondom tweefactorauthenticatie. Medewerkers die toegang hebben tot gevoelige informatie moeten dan met een extra code inloggen. Dat is even wennen voor medewerkers, maar het is een kleine prijs die je moet betalen om je gegevens veilig te stellen.”

Benny, die ooit bij de ASG begon als groepsleerkracht voor groep 3 en 4, is inmiddels beter bekend onder de naam ‘duizendpoot van de ICT’. “Mijn collega’s en ik zijn de vraagbaak van de organisatie. Ik ben onder meer betrokken bij het beheer van de aanwezige hardware, de ontwikkeling van SharePoint en het functioneel beheer van het leerlingvolgsysteem. Ook heb ik vorig jaar samen met collega’s een nieuw en overzichtelijk intranet gebouwd. Ik verzorg daarnaast een belangrijk onderdeel van het gebruikersbeheer, zodat iedereen een account heeft en kan inloggen.”

Snel schakelen

Toen iedereen begin vorig jaar vanwege corona opeens moest thuiswerken en leren, had de ICT-afdeling er een flinke kluif aan om alles goed te regelen. “We hadden al een werkende Microsoft 365-omgeving, maar de basisscholen gebruikten deze nog niet actief. Het was een fikse uitdaging om iedereen in en aan Teams te krijgen en het thuiswerken goed te ondersteunen. Doordat we Windows zelf beheren, konden we wel snel schakelen. De Chromebooks hebben we in twee omgevingen opgesplitst. Vanuit het verleden hebben wij een eigen Google-omgeving. Sinds de komst en het gebruik van Aerobe DLO is daar een omgeving bijgekomen en gaan steeds meer scholen van de eigen Google-omgeving over naar de omgeving van Aerobe DLO. Uiteindelijk verwacht ik dat de ‘oude’ omgeving zal verdwijnen. In de Aerobe digitale leeromgeving is de leraar meer in control, doordat hij via klassenmanagement de activiteiten van leerlingen kan monitoren en hun apparaat, als dat nodig is, kan blokkeren. Zo kunnen zij via dit platform leerlingen gerichter sturen.”

De ICT-afdeling van ASG had te maken met nog een andere uitdaging: het overzicht behouden. “Om het thuisonderwijs te ondersteunen, schaften scholen opeens allerlei nieuwe softwarepakketten aan, maar dan moeten we natuurlijk wel eerst een verwerkersovereenkomst hebben met zo’n partij.” Ook binnen de Microsoft 365-omgeving moest Benny de medewerkers wijzen op mogelijke privacyrisico’s. “Microsoft 365 biedt opties om de privacy te waarborgen. Je kunt bijvoorbeeld met labels werken, waardoor alleen specifieke rollen bij bepaalde informatie kunnen komen. Of je kunt Teams maken waarin men niks kan downloaden. Omdat we tijdens een dergelijke pandemie geen grote wijzigingen in het netwerk wilden doorvoeren die het thuiswerken konden beïnvloeden, besloten we om geen aanpassingen te doen in het netwerk. Tegelijkertijd bleven wij aan de zijlijn wel allerlei meetings en webinars over privacy volgen, zodat we goed op de hoogte waren welke opties Microsoft 365 allemaal biedt.”

Terugkijken op gemaakte keuzes

Nadat de ergste hectiek van de eerste coronagolf voorbij was, borrelden er vragen op over de privacy en veiligheid van de nieuwe maatregelen. Gelukkig hebben ze binnen de ASG een informatiebeveiliging en privacy (IBP-) medewerker die zich specifiek om deze vraagstukken bekommert. “Dankzij onze IBP’er waren er al enkele duidelijke afspraken op het gebied van informatiebeveiliging en privacy, maar die moesten we na het afgelopen jaar wel uitbreiden. Zo hadden we nog geen regels over Zoom. We hebben uiteindelijk besloten dit programma niet te gebruiken, omdat het veel gegevens verzamelde en er twijfels waren over hoe het deze informatie vervolgens verwerkt.”

Privacy is prioriteit bij de ASG. Daarom heeft de IBP-er een training in elkaar gezet om de bewustwording van privacy onder werknemers te verhogen. “In die training worden onderwerpen besproken als: wat zijn persoonsgegevens en hoe ga je er verantwoord mee om? Maar ook: wat is ons wachtwoord- en ICT-beleid, hoe verstuur je op een veilige manier privacygevoelige data en wat moet je doen bij een datalek?”

De dag van de DDoS-aanval

ASG heeft vorig jaar te maken gehad met een DDoS-aanval. “Je moet het netwerk zien als een grote snelweg met gigantisch veel auto’s die informatie van A naar B vervoeren. Een DDoS-aanval kun je dan vergelijken met een grote kudde schapen die de weg op banjert en het hele verkeer platlegt. Voor een schamele vijftien euro kun je al zo’n aanval aftrappen. We hebben er dan ook bijna dagelijks mee te maken. Wat is er immers leuker voor een leerling dan proberen om het schoolsysteem plat te leggen?

Normaal gesproken detecteert de Nationale Anti-DDoS Wasstraat (NaWas) van de glasvezelleverancier zo’n aanval en wendt hij deze af. “Op de dag dat APS IT-diensten bij ons een ‘Teams voor gevorderden’-training gaf, banjerde er echter toch een kudde schapen over de snelweg. Opeens viel de verbinding weg en konden we niet meer op ons netwerk inloggen. Bij onze ICT-afdeling kwam een melding hierover binnen en is er direct contact opgenomen met de glasvezelleverancier. Uiteindelijk bleek dat zij een instelling niet goed hadden afgesteld. Alles was binnen een paar uur geregeld. De daders hebben daarna nog een paar keer geprobeerd om het systeem te verstoren met DDoS-aanvallen. Maar door de aangepaste instellingen is het niet meer gelukt om door te breken.