alle artikelen

Menselijk handelen de bepalende factor voor een sluitende beveiliging

ICT-beveiliging is voor iedere school in het basis- en speciaal onderwijs een belangrijk thema, maar werd een extra opgave toen leerlingen thuisonderwijs moesten volgen. Want hoe zorg je dat er van al die laptops niets het netwerk binnendringt? István Lahpor van stichting Marenland, Maarten Bakker van STIP Hilversum en Anton Megens en Desly Verstappen van Digidact vertellen tijdens het rondetafelgesprek over hun ervaringen. Over een ding zijn ze het eens: “Menselijke fouten vormen het grootste risico.”

Alle drie de stichtingen werken volledig in de cloud in een Microsoft- of Google G Suite-omgeving, of een combinatie van beide. Marenland en Digidact verzorgen het netwerkbeheer zelf; bij STIP Hilversum is het uitbesteed aan de ROLF Groep.

ATP, DLP en MFA: check!

Voor de beveiliging van data gebruikt stichting Marenland alle standaardzaken die Microsoft aanbiedt. Sinds mei 2019 werkt Marenland met InTune voor mobile device management (MDM). Lahpor: “Binnen de Microsoft-tenant houd je dan alles in de gaten wat er gebeurt. Als je Advanced Threat Protection (ATP) aanzet en je houdt de compliance score bij, kom je een heel eind. Dat is wel een behoorlijke kluif, zeker als mensen ook thuis aan het werk zijn.”

Desly Verstappen richt zich bij Digidact op cloud security: “Uiteraard is ATP ingeschakeld en staat Data Loss Prevention (DLP, red.) aan. Bovendien zijn veel filters ingesteld om phishing mails tegen te houden. Binnen de Teams-omgeving hebben we bovendien een anti-scheldbeleid ingesteld. Als leerlingen gaan schelden, onderscheppen we die berichten. Om ze te ontdekken, gebruiken we lijsten met de meest voorkomende scheldwoorden. Bij een scheldpartij nemen we contact op met de leerkracht, die de leerling erop kan aanspreken.”

Voor het thuisgebruik van de computers gebruikt Digidact multifactorauthenticatie (MFA). “Op dit moment zijn we bezig met het ‘whitelisten’ van scholen, waardoor leerkrachten op school géén MFA hoeven te gebruiken. Als ze thuis zijn, moet dat wél: dan gebruiken ze hun telefoon of een extern e-mailadres om in te loggen. Als aanvulling op de standaard security van Microsoft schaften we Sophos aan. Tussen de Microsoft-programma’s en de eindgebruiker komt dan een gateway server, waar alle mails doorheen gaan. Dat is puur om te monitoren wat er op ons netwerk gebeurt, onder het motto: ‘zicht is alles’. Als je het in beeld hebt, kun je het ook beveiligen. Heb je geen zicht, dan schiet je met hagel, terwijl je gericht wilt schieten als het nodig is. Ons voornaamste doel is ‘toekomstproof’ zijn. Dat moet ook, om te voorkomen dat je achter de hackers aanloopt. Je wilt niet bij voorbaat al met 10 – 0 achterstaan.”

Bakker vertrouwt voor de cloudbeveiliging volledig op netwerkbeheerder ROLF Groep. “Alles is vastgelegd in een service level agreement (SLA), waarin een prestatieverplichting is afgesproken. We zijn nu eenmaal niet groot genoeg om het netwerk zelf te beheren. Bij problemen neem ik direct contact met ze op.”

Extra uitdagingen in coronatijd

De drie BIC’ers waren ook verantwoordelijk voor de beveiliging toen medio maart de lockdown werd afgekondigd. Een periode met extra uitdagingen. Bij Marenland kregen alle medewerkers een beheerd device voor thuisgebruik. Lahpor: “Onze medewerkers konden we nog wel trainen om een beveiliging in te stellen, maar voor 3.000 ouders werkt dat lastig. Hen hebben we aan de hand genomen. Alles wat wij konden voorbereiden deden we, waardoor van hen een minimum aantal acties nodig was. We schreven looproutes en testten die uit op onze minst ICT-vaardige collega’s. Als die het konden, moest het ouders ook lukken. Zelf was ik vrijwel de hele week uitgeroosterd om ondersteuning te bieden; twee collega’s hielpen een dag in de week. We waren bijna 24 uur per dag beschikbaar voor vragen van ouders. Dat werd erg gewaardeerd.”

Marenland gaf haar leerlingen direct de eerste maandag van de lockdown apparaten mee. “Dat was wel een uitdaging: de IP-adressen van ouders staan er niet in en alles stond op onveilig. Veel van de leerlingen hadden een apparaat van school en de rest een van de ouders.” Digidact deed in coronatijd een soortgelijke actie: leerkrachten hadden eigen devices en veel scholen gaven laptops mee aan de leerlingen. Toch lag er niet voor iedere leerling direct een device klaar. Door een goede samenwerking met de gemeente Den Bosch kon Digidact alsnog aan de vraag voldoen. “We richtten deze zelf in, waardoor we minder problemen hadden dan met de devices van ouders”, licht Megens toe. In Hilversum hadden de meeste kinderen een device van thuis; de rest kreeg een beheerde Chromebook van school mee. Bakker: “Ook al gaat het om beheerde apparaten, je ziet niet wat ze doen op hun laptop als ze niet inloggen op de gezamenlijke omgeving.” Wat waren dan de extra uitdagingen in coronatijd? Lahpor: “Leerlingen stonden niet onder het toeziend oog van een leerkracht en konden daardoor ongebreideld chatten. Wij hebben geen filter voor scheldwoorden, dus op dat gebied is er wel eens wat gebeurd.”

Megens ziet beveiliging niet alleen als een probleem van de ICT-afdeling: “AVG-problematiek moet je niet alleen technisch oplossen. Scholen vinden vaak dat de ICT-afdeling maar moet zorgen dat sites met porno of geweld niet bereikbaar zijn. Vervolgens komen leerlingen thuis en kunnen ze overal bij. Je kunt als school alles keurig afschermen, maar dan geef je een vertekend beeld van de maatschappij. De taak van het onderwijs is ook om leerlingen voor te bereiden op die maatschappij. Dat geldt hier ook. Wij gebruiken dus binnen de G Suite- en Microsoft-omgeving een scheldfilter, maar vervolgens schelden ze dan alsnog via WhatsApp. Daarom moeten leerkrachten en ouders vooral de discussie voeren met de leerlingen zelf. Op technisch gebied kun je alles dichttimmeren, maar dat is geen oplossing om dit probleem uit de wereld te helpen. Dat zit in mensen.”

Bakker herkent dat: “Met hele simpele zoektermen komen leerlingen op plekken waar je ze niet wilt hebben. Dat kun je niet voorkomen. Ouders zeggen dan ’hoe kan het dat mijn kind op zo’n site komt; je zou toch alles beveiligen?’ Terwijl het er ook om gaat dat leerkrachten met kinderen bespreken hoe je verantwoord omgaat met wat je op internet tegenkomt.”

Veiligheid zit tussen de oren

Beveiliging zit hem niet alleen in de techniek, maar juist ook in de mensen die ermee omgaan. Hoe creëer je veiligheidsbewustzijn bij collega’s? En wat zijn de grootste risico’s? “Ook bij medewerkers is opvoeden het devies,” aldus Bakker. “In gesprekken met collega’s proberen we hen bewust te maken van de gevolgen als het mis gaat. Posters met tips hangen in alle lerarenkamers. En we werken aan een gedragscode voor medewerkers. Daarin stellen we bijvoorbeeld bepaalde eisen aan wachtwoorden. Je moet de boodschap blijven herhalen. Het grootste risico vormen de leerkrachten met het schriftje met wachtwoorden of de Post-It op het scherm. Of het digibord blijft aanstaan, terwijl de leerkracht de klas uitloopt. Kinderen kunnen dan via de OneDrive bij de mail komen. Dat kun je technisch dichttimmeren door een schermbeveiliging in te stellen, maar dat is weer irritant als de leerkracht iets uitlegt en het bord even niet gebruikt.”

Megens: “Ook wij hanteren sinds dit jaar een strenger wachtwoordbeleid. Dat vindt niet iedereen leuk. Zeker niet als de doorlooptijd kort is. Nieuwe medewerkers krijgen bij hun indiensttreding een training in veiligheidsbewustzijn, die ze na een jaar moeten herhalen. Leerkrachten loggen met een single sign-on in op een landingspagina, gebruiken van daaruit hun applicaties en blijven daar ingelogd.” Lahpor vindt dat een voorwaarde om het zo in te richten: “Wij hebben MFA nog niet geactiveerd, omdat medewerkers er bezwaar tegen hebben dat ze dan hun mobiele telefoon moeten gebruiken voor werk. Als we het willen aanzetten, moeten we ook bepaalde locaties gaan whitelisten (een lijst opstellen van IP-adressen of servers waarvan valide e-mail wordt verzonden, red.).”

Minder risico’s door de cloud

Door de keuze voor werken in de cloud zijn volgens de deelnemers veel risico’s ingedamd. Bijvoorbeeld het risico van gegevensverlies als een laptop wordt gestolen. Bakker: “Als je goede laptops aanschaft, zijn ze automatisch beveiligd. Door Bitdefender te gebruiken kan niemand bij de data die erop staat. En als medewerkers in de cloud werken, staat de data sowieso niet op de harde schijf. Het grootste risico vormen de menselijke fouten. Vooral het risico van ‘effe snel’. Laatst stuurde een collega de gegevens van leerling b naar een andere organisatie, terwijl het die van leerling a moesten zijn. Dat is meteen gemeld en er is direct actie ondernomen. Dat zijn menselijke fouten, net als je digibord aan laten staan, een te makkelijk wachtwoord gebruiken of steeds hetzelfde wachtwoord gebruiken, omdat je het anders vergeet. Door het steeds te herhalen en te bespreken tijdens teamvergaderingen, proberen we het veiligheidsbewustzijn te verhogen.”

Bij Marenland doen ze dat via e-learning. Lahpor: “Twee jaar geleden stuurden we alle medewerkers een e-learning AVG die ze verplicht moesten volgen. We werken nu aan een nieuwe e-learning, die nog dit jaar de deur uit moet en ook verplicht is. Nieuwe leerkrachten krijgen binnenkort bij de start een aantal trainingen aangeboden die ze binnen twee maanden na hun aanstelling gevolgd moeten hebben.” De eerste e-learning kocht Marenland in bij een externe partij; de nieuwe e-learning stelde Lahpor zelf op in samenwerking met zijn functionaris gegevensbescherming. “We koppelen er direct een test aan, waarvoor we Sway en Forms gebruiken. Dat werkt heel goed. Als je een e-learning inkoopt, krijg je ‘one size fits all’, terwijl het onderwijs toch heel specifiek is.”

Over het algemeen zien de deelnemers de leerlingen toch als het grootste beveiligingsrisico. Bijvoorbeeld als het gaat om wachtwoorden. Lahpor: “Standaard staat bij Marenland ingesteld dat leerlingen hun wachtwoord eens in de negentig dagen moeten wijzigen. In ons landelijk gebied wordt dat al gauw ‘Trekker-01’ tot ‘Trekker-09’. Dat doen we nu anders. De leerkrachten helpen de leerlingen aan het begin van het jaar met het veranderen van het wachtwoord. De laptops gaan dan tegelijk op tafel, ze moeten inloggen en direct hun wachtwoord wijzigen in een nieuw sterk wachtwoord. Als dat na een week in alle klassen is gebeurd, laat ik via PowerShell een script er overheen lopen en staan de wachtwoorden weer voor een jaar vast. Voor groep 3 en 4 vormt het inloggen echter nog wel een uitdaging.”

Bij STIP Hilversum loggen de leerlingen ook in met een sterk wachtwoord op het dashboard ZuluConnect, zowel thuis als op school. Het verstrekken van de wachtwoorden verloopt anders: “De leerkracht draait ze uit en geeft iedere leerling een strookje met het eigen wachtwoord. Ook voor het thuisonderwijs heeft iedere leerling een strookje meegekregen met een sterk wachtwoord; de ouders kunnen de kinderen dan helpen met inloggen. De leerlingen vervolgens zelf het wachtwoord aanpassen in het dashboard. Vervolgens gooit hij het papieren strookje weg. Mocht een leerling zijn wachtwoord vergeten zijn, dan kan de leerkracht deze altijd herstellen. Groep 7 en 8 doen daarnaast ieder jaar mee aan de week van de mediawijsheid om extra bewustwording te creëren. Mocht er iets misgaan op dit gebied, dan is het belangrijk dat de leerkracht het ter sprake brengt binnen de groep: een goede beveiliging begint vooral tussen de oren.”