Digitale veiligheid hoort op de agenda

Prodas, de stichting die 22 scholen uit de regio Deurne, Asten en Someren vertegenwoordigt, zet zich met hart en ziel in voor de vormgeving van het normenkader IBP. Dat kader is bedoeld om schoolbestuurders, schoolleiders en BIC’ers te helpen met het versterken van hun informatiebeveiliging en het beschermen van persoonsgegevens.

Mario Vervlossen is de projectleider ICT bij Prodas. Hij is dagelijks bezig met digitale veiligheid en vindt het een mooie uitdaging om zijn missie verder uit te dragen. Mario: “Digitale veiligheid is niet het meest sprankelende onderwerp, en het is best een uitdaging om toch alle aandacht te krijgen. Maar het helpt enorm als je met praktijkvoorbeelden laat zien wat er mis kan gaan en wat de consequenties zijn. We hebben het dan bijvoorbeeld over een recente hack bij een schoolboekenleverancier of over een voorbeeld van wat langer geleden, toen een universiteit het slachtoffer was van een hack.”

Veiligheid of gemak

Om zijn doel te bereiken legt Mario uit dat je veel risico’s kunt vermijden door bewust te kiezen voor veiligheid, en niet voor gemak. Mario: “Geef je jouw stagiair jouw printcode, omdat dat makkelijk is? Of ben je ervan bewust dat met die code ook recent uitgeprinte documenten te zien zijn? Bijvoorbeeld een verslag over de vorige stagiair of een rapportage over een leerling…”

Multifactorauthenticatie (MFA) 

Het instellen van MFA was een verandering voor veel medewerkers. Met deze inlogcontrole via de telefoon is een extra beveiligingslaag toegevoegd om de digitale veiligheid te waarborgen.

Van de 550 medewerkers gaven er slechts twee aan hun privételefoon niet te willen gebruiken voor MFA. Voor hen is er een alternatief gevonden in de vorm van een token: een manier van inloggen die veel mensen kennen van digitaal bankieren. Mario: “In eerste instantie waren er meer mensen die MFA niet zagen zitten. Dat had vaak te maken met onzekerheid en onwetendheid. Ik merkte dat als ik de tijd nam om uit te leggen dat we hiermee de veiligheid van onze leerlingen en medewerkers waarborgen, mensen bereid waren om ook deze manier van inloggen te gebruiken. Het is ook goed om veiligheidsmaatregelen tet discussie te stellen. Ik weet dat er bijvoorbeeld gesprekken waren over het gebruik van Google Maps in de klas, omdat de inloggegevens van de leerlingen in Google gekoppeld zijn aan hun zoekopdrachten in Maps. Uiteindelijk zijn we tot de conclusie gekomen dat dit wel mag, omdat het gebruik van Google Maps onderwijskundige meerwaarde kan hebben. Leerlingen maken zo bijvoorbeeld sommen over hoeveel kilometer de postbode loopt op een bepaald traject.''

Toetsen in de praktijk

Mario heeft regelmatig overleg met collega’s over digitale veiligheid. “Ik vind het prettig dat we, niet alleen binnen de stichting maar ook op regionaal niveau, steeds in gesprek blijven over dit soort onderwerpen. Ik maak ook deel uit van het RIZOB (een regionaal overlegorgaan) waarin we kennis delen. Dat wil niet zeggen dat ons enthousiasme altijd even aanstekelijk werkt. Zeker toen we net met deze thema’s aan de slag gingen, was het idee dat de AVG synoniem staat voor beperkingen. Maar dat hoeft helemaal niet zo te zijn. Mailoplossing Zivver gebruiken kost bijvoorbeeld geen enkele moeite, en je kunt op een simpele manier de gegevens van je leerlingen en je medewerkers beschermen. Maar ik ben me er ook van bewust dat wat wij op kantoor bedenken soms niet werkbaar is in de praktijk. Daarom willen we dat medewerkers terugkoppelen wat ze ervaren en kijken wij hoe we ze kunnen helpen. Voorheen moesten medewerkers zich bijvoorbeeld elke dag authentiseren via MFA. Nu hoeft dat binnen het netwerk van de stichting niet, mits ze op hetzelfde apparaat inloggen. Als ze met een nieuw op apparaat, of op een andere locatie inloggen, moet dat wel.

Testen van protocollen

De afgelopen periode is Mario vooral bezig geweest met het inrichten van protocollen. Er zijn afspraken gemaakt over wat wel en niet mag: je vergrendelt bijvoorbeeld altijd je computer als je even van je plek gaat en houdt je aan de gedragscode en het protocol sociale media. In dat protocol staat bijvoorbeeld dat je duidelijk maakt dat je op persoonlijke titel spreekt, en niet vanuit de organisatie. Ook respecteer je copyright. Daarnaast is er een werkgroep AVG opgericht en is er de GRC-oplossing YourSafetynet ingevoerd om incidenten te registreren. Ook zijn er binnen de organisatie op verschillende levels extra beveiligingsmaatregelen getroffen. Het gaat dan om MFA, maar ook om het controleren van de jaarlijkse instellingen. Dat doen we met behulp van de Microsoft 365 APK, waarbij een consultant van APS IT-diensten de gehele tenant controleert.

Binnenkort start de volgende fase: het testen van de protocollen. Dat betekent ook: kijken hoe groot de kans is dat medewerkers in een phishing e-mail trappen. Mario: “Ik schat dat het bij ongeveer 25 tot 30 procent van de mensen misgaat. En als het misgaat, heeft het te maken met werkdruk. Even snel iets tussendoor doen en daardoor niet kritisch lezen. Uiteindelijk maakt iedereen weleens een fout. Ik ook. Bij ons op de afdeling is de regel dat je op worstenbrood trakteert als je de mist in gaat. Onlangs was ik aan de beurt, toen ik even koffie ging halen en mijn scherm niet had vergrendeld. Het gaat om bewustwording. We moeten elkaar alert houden.”