alle artikelen

Back-ups in het onderwijs: “Doe je het niet, dan heb je wat uit te leggen”

“Waarom zouden we back-ups maken, al onze data staat toch in de cloud?” Het is nog altijd een veelgehoorde misvatting binnen scholen in het basis- en speciaal onderwijs dat er dan geen back-up nodig zou zijn. Gelukkig maar dat het maken van een back-up van je data eenvoudig is. 

Stel, je hebt te maken met een ransomware-infectie in je cloud-omgeving. Al je data, van Teams- of Google Meet-gesprekken tot notulen en rapportcijfers(!), is plotseling versleuteld. Kun je er nog op vertrouwen dat je deze data zonder meer terug kunt krijgen? Het antwoord is helaas: niet zonder meer. Een uiterste optie is toegeven aan de cybercriminelen en het losgeld betalen. Maar ja, het blijven criminelen, dus de garantie is tot aan de deur.

Hoe zit het dan met back-ups? Cloudaanbieders als Google en Microsoft zijn niet verantwoordelijk voor de back-ups; deze moet je zelf te verzorgen. “Dit staat ook expliciet in de voorwaarden”, zegt Theo Polman. Hij is bij APS IT-diensten verantwoordelijk voor product- en contractmanagement van leveranciers en houdt zich daarbij eveneens bezig met privacy. “Oké, verwijderde bestanden blijven vaak een bepaalde periode beschikbaar in de prullenbak. Maar een ransomware-infectie versleutelt naast je bestanden meestal ook direct je reservekopieën. Dus daar kun je niet op terugvallen.”

Standaard beveiligingsmaatregel

Waar liggen dan nog verbetermogelijkheden als het gaat om het maken van back-up? “Mijn ervaring is dat we scholen vaak nog moeten overtuigen van het belang van back-ups”, zegt Theo. Het maakt bij een aanval een wereld van verschil als je je data terug kunt zetten uit een back-up. De Autoriteit Persoonsgegevens ziet dat ook zo en neemt het standpunt in dat het maken van back-ups een standaard beveiligingsmaatregel is. Als je het niet doet, heb je wat uit te leggen.” De eerste stap voor scholen die nog niet zo ver zijn, is zich bewust zijn van hun risico’s en de noodzaak om hun continuïteit te verzekeren. “En maak je een kopie van je data, dan is het ook echt de bedoeling om deze op een andere plek te bewaren dan binnen de omgeving waarin je werkt. Bij de Universiteit van Maastricht, die vorig jaar te maken kreeg met een ransomware-aanval, waren weliswaar back-ups gemaakt maar stonden deze in dezelfde omgeving.”

In de cloud of lokaal?

De volgende vragen zijn dan: van welke data hebben we een back-up nodig? En hoe gaan we die maken? In een eigen fysieke omgeving (on-premise) of in een andere cloud? De laatste optie is momenteel veruit het populairst, vertelt Theo. “Hiervoor gelden dezelfde argumenten als voor andere clouddiensten, namelijk minder beheerkosten en een hoger gebruiksgemak. Als je on-premise back-ups maakt, zit je toch zelf met alle risico’s. En je hebt een forse dataverbinding nodig tussen je Microsoft-omgeving en je lokale back-up-omgeving, zeker als je elke dag meerdere terabytes aan data moet kopiëren. In de cloud regelt de leverancier het beheer van de infrastructuur en hoef je er minder tijd aan te besteden.”

Wat zijn zaken om kritisch op te zijn bij de selectie van een back-updienstverlener in de cloud? “Wordt er bijvoorbeeld een back-up gemaakt van je hele Microsoft-omgeving? Niet elke leverancier neemt bijvoorbeeld ook de gesprekken in Teams mee, om een voorbeeld te noemen. En zijn back-ups wel versleuteld? Je zou verwachten dat dit inmiddels standaard is, maar je moet het wel zelf nagaan. Er zijn leveranciers die het niet doen of er extra geld voor vragen. Een ander aspect is of de leverancier zelf geen toegang heeft tot je encryptiesleutel. Voor het voldoen aan de AVG is dit een belangrijke eis.”

Koppelingen, dashboards en tijdreizen

Zelf heeft APS IT-diensten contracten afgesloten met drie leveranciers van back-up-oplossingen: Acronis, Barracuda en Arcserve. “Onze doelstelling is om altijd onafhankelijk te kunnen adviseren,” aldus Theo. Bij al deze oplossingen koppel je de cloudomgeving met je kantoorapplicaties aan de cloud van de leverancier, die meerdere malen per dag back-ups maakt. Ze bieden ook allemaal een dashboard met een verkenner om door je bestanden te gaan en mogelijkheden om een omgeving deels of geheel terug te zetten. Ook ‘tijdreizen’ is bij alle drie mogelijk. “Stel, je wilt een bestand van een bepaalde datum terughalen, dan kan dit tot soms wel jaren later.”

Verschillen tussen pakketten zitten vooral in de opbouw van de kosten. Sommige oplossingen rekenen kosten per gebruiker waarbij de totale opslaglimiet praktisch onbegrensd is. Bij andere is het precies andersom en maakt het aantal gebruikers niet uit, terwijl er wel sprake is van een maximale opslagcapaciteit. Ook zijn er hybride vormen, die kosten verrekenen op basis van zowel aantallen gebruikers als de gebruikte opslagruimte. Over de keuze van de juiste leverancier kan APS IT-diensten advies uitbrengen.

Betalen per gebruiker of per terabyte?

Voor welke vorm kiezen scholen het vaakst? “Dat is de capaciteitslicentie, waarbij je alleen betaalt voor de opslagcapaciteit. Dat komt omdat scholen relatief weinig data per gebruiker hebben. Het is dan interessanter om de totale omvang van bijvoorbeeld je Microsoft- of Google-omgeving als uitgangspunt te nemen in het afrekenmodel. De vuistregel is dat als je veel meer dan 5 tot 10 GB per gebruiker nodig hebt in een back-up, het gebruikersabonnement interessant wordt. Bij scholen is dat nauwelijks het geval.”

Hoewel het Nederlandse basisonderwijs als geheel nog een stuk veiliger kan als het gaat om back-upmaatregelen, ziet Theo onder scholen wel een groeiend besef ontstaan. “Mijn inschatting is ook dat je óf moet back-uppen, óf een heel goed verhaal moet hebben waarom je het niet doet. Ik hoor wel eens het misverstand voorbij komen dat data die in de cloud staat altijd beschermd is, maar zo werkt het niet. De risico’s zijn haast nog groter dan ze vroeger waren, toen de IT-omgeving in scholen on-premise stond. Dan moest je echt fysiek inbreken om aan de data te komen. Nu sturen cybercriminelen een paar phishing-mails en ze zijn binnen. En tegelijkertijd was een back-up maken nog nooit zo makkelijk als nu. Je hebt een eenvoudig te bedienen dashboard en met een paar klikken is alles ingesteld, meestal zonder dat er nog een externe beheerpartij voor nodig is.”