Onderwijs moet blokken voor cybersecurity

Abonneer je gratis op Techzine!

De digitalisering biedt het onderwijs veel kansen. Dat hebben we de afgelopen tijd wel gemerkt, toen het moest. Binnen no-time hebben scholen waar mogelijk online lesgeven ingericht en in de bedrijfsvoering zijn ook vele processen verder gedigitaliseerd. Het gevolg is dat het uitrollen van cloud-oplossingen met nieuwe communicatiemiddelen daarmee in een stroomversnelling is gekomen. Onderwijsinstellingen staan nu voor de uitdaging een veilige en toegankelijke leer- en werkomgeving te creëren waarin gebruiksgemak en security hand in hand gaan.

Hoewel het onderwijs langzaam maar zeker terugkeert naar volle(re) klaslokalen en collegezalen, is het niet ondenkbaar dat veel instellingen uiteindelijk kiezen voor een hybride vorm. We kunnen echter nu al concluderen dat staf, docenten en leerlingen steeds afhankelijker worden van IT-systemen. Denk daarbij niet alleen aan Learning Management Systems of applicaties voor de planning van roosters en online samenwerking. Het gaat ook om afzonderlijke onderwijsmethoden en uitgevers die cloudapplicaties aanbieden. Zo ontstaat een zeer heterogene omgeving, waarin docenten, maar ook studenten en leerlingen, van de ene naar de andere applicatie switchen.

Vaak moeten betrokkenen steeds opnieuw inloggen, met verschillende inlognamen en wachtwoorden. Je moet er niet vreemd van op kijken wanneer medewerkers gebruikmaken van dezelfde wachtwoorden. Tegelijkertijd moeten zij erop kunnen vertrouwen dat ze werken in een veilige leer- en werkomgeving en dat is op deze manier moeilijk te handhaven. Het toenemende aantal nieuwe cloudapplicaties vraagt dan ook om een herziend beleid en dwingt onderwijsinstellingen de balans te vinden tussen security en gebruiksgemak. 

Baseline Informatiebeveiliging

De eerste stap is dan ook het bepalen van beleid, een analyse maken van de status van informatiebeveiliging en bepalen welke maatregelen je moet nemen om zaken op orde te brengen. Dat betekent voldoen aan wet- en regelgeving zonder dat het medewerkers en studenten onmogelijk wordt gemaakt op flexibele wijze hun werk te doen.

Het goede nieuws is dat het onderwijs hierbij niet het wiel opnieuw hoeft uit te vinden. Er bestaan verschillende sets aan richtlijnen die instellingen als leidraad kunnen – en soms ook moeten – volgen om hun beleid en uitvoering als het gaat om informatiebeveiliging te verbeteren. Zo moeten Rijk, provincies, gemeenten en waterschappen zich houden aan de Baseline Informatiebeveiliging Overheid (BIO). Deze richtlijnen kunnen heel goed in het onderwijsveld toegepast worden; het draagt bij aan de beveiliging van de toegang tot IT-systemen en cloudapplicaties. De BIO is een normenkader voor informatiebeveiliging en geeft het basisniveau voor informatiebeveiliging waar alle overheidspartijen aan moeten voldoen.

Ook het onderwijsveld kent dergelijke richtlijnen. Informatiebeveiligers en Privacy Officers in het hoger onderwijs werken bijvoorbeeld samen in SCIPR (SURF Community voor Informatiebeveiliging en Privacy). In deze community wordt beleid geformuleerd en leidraden opgesteld om de informatiebeveiliging en privacy van onderwijsinstellingen te verbeteren. Er is tevens een Baseline Informatiebeveiliging Hoger Onderwijs. Het voortgezet onderwijs weet eveneens dat het aan de slag moet met informatiebeveiliging en privacy, wat voor een groot deel te maken heeft met de Algemene Verordening Gegevensbescherming.

Two-factor authenticatie

De volgende stap is het faciliteren van two-factor authenticatie. Dit is een van de eisen die veel terugkomt in de richtlijnen. Dit betekent dat er meer dan één bewijsstuk nodig is om een gebruiker te verifiëren. De betrokken gebruiker logt in met iets wat hij weet (pincode of wachtwoord) in combinatie met iets wat hij heeft (een software- of hardwaretoken). Ook de smartphone kan hiervoor gebruikt worden.

Om de veiligheid te waarborgen is het belangrijk dat docenten deze extra beveiligingsstap doorlopen om gebruik te kunnen maken van cloudapplicaties. Zo voorkom je dat betrokkenen geen toegang krijgen tot data of applicaties waar zij niet voor gemachtigd zijn. Bij online lesmethoden moeten docenten en studenten vaak naar dezelfde omgeving. Het is natuurlijk belangrijk dat studenten niet bij persoonsgegevens en schoolexamens kunnen. Waar dit vroeger achter slot en grendel in de lerarenkamer werd bewaard, staat dit nu open en bloot op de computer. Je beschermt dus als het ware de docenten tegen de leerlingen; en vice versa. Tegelijkertijd werp je een hogere drempel op voor cybercriminelen die door middel van gehackte of gestolen wachtwoorden binnen proberen te dringen in de technologische infrastructuur.

Single sign-on

Na het uitstippelen van beleid op basis van beschikbare baselines en het inrichten van een two-factor authenticatie is het raadzaam single sign-on te faciliteren. Deze stap brengt de balans tussen gebruikersgemak en security nog een stap dichterbij. Hiermee maak je namelijk een eind aan het continu moeten inloggen door medewerkers of studenten en voorkom je dat steeds dezelfde – of eenvoudig te achterhalen – wachtwoorden worden gebruikt. De volgende stap is het gebruikersgemak. Het gevaar leeft namelijk dat docenten dezelfde wachtwoorden gaan gebruiken voor verschillende applicaties. Daar biedt single sing-on de oplossing. De eindgebruiker hoeft namelijk niet voor elke applicatie in te loggen maar kan wel bij alle applicaties waar hij of zij toe gemachtigd is. Zo kun je uiteenlopende cloudapplicaties ontsluiten.

Continuïteit

De praktijk leert dat instellingen worstelen met de vraag hoe zij single sign-on kunnen implementeren, in combinatie met two-factor authenticatie. Two-factor authenticatie roept de nodige weerstand op bij gebruikers, omdat zij altijd een token of hun smartphone bij de hand moeten hebben. Als je deze handelingen voor iedere applicatie moet herhalen, bestaat het gevaar dat de betrokkenheid bij het thema security verslapt en dat wil je voorkomen. Zolang medewerkers slechts één keer op een dag hoeven in te loggen (single sign-on), zodat ze de rest van de dag klaar zijn, draagt het bij aan gebruikersgemak en is security geborgd.

Hierbij is het goed om te vermelden dat je als onderwijsinstelling samenwerkt met een securitypartner die in staat is, zowel in de cloud als on-premise, koppelingen te maken met alle applicaties. Ook wanneer bijvoorbeeld leveranciers van leerlingvolgsystemen hier niet aan meewerken. De laatste stap is dan ook de IT-omgeving zo in te richten, dat je voldoet aan wet- en regelgeving, de privacy van medewerkers en studenten in acht neemt en de continuïteit van de organisatie waarborgt.

Dit is een ingezonden bijdrage van Michel Meijer van Comsenso. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.