Whitepaper
De 5 security-uitdagingen voor onderwijsinstellingen
Onderwijsinstellingen hebben een grote verantwoordelijkheid op het gebied van beveiliging. Leerlingen en ouders moeten er altijd op kunnen rekenen dat educatieve instellingen zorgvuldig met hun data en dus privacy omgaan. Daarnaast gebruikt de educatieve branche steeds meer digitale leermiddelen. Hiervoor is een solide beveiliging van de IT-systemen cruciaal. WatchGuard onderscheidt vier belangrijke uitdagingen voor schoolbestuurders als het gaat om security in het onderwijs. Scholen verwerken veel privacygevoelige gegevens en slaan deze op. Mede door de nieuwe meldplicht datalekken die op 1 januari 2016 van kracht is geworden, ligt er een grote druk bij scholen om daar veilig mee om te gaan. Bovendien hebben onderwijsinstellingen te maken met jeugd en jongvolwassenen die de digitalisering in rap tempo binnen de muren van de instelling brengen. Dat betekent niet alleen dat hun eigen apparatuur moet werken met de schoolsystemen, maar ook dat de schoolsystemen veilig genoeg zijn. Alleen op deze wijze krijgen enthousiaste jongelingen niet de gelegenheid om de systemen plat te leggen door bijvoorbeeld een DDoS-aanval. Uit onderzoek van het ministerie van Onderwijs, Cultuur en Wetenschappen en PWC 1 blijkt dat scholen in het primair en secundair onderwijs op het gebied van privacy en informatiebeveiliging vooral gebruikmaken van ‘gezond verstand’. Ze weten dus veelal niet of ze aan de nieuwe wet- en regelgeving voldoen en hebben onvoldoende inzicht in hun ICT-beveiliging. We zetten daarom een aantal zeer essentiële uitdagingen voor en verantwoordelijkheden van scholen op een rij.
1 Nulmeting Privacy en Informatiebeveiliging in het Primair en Voortgezet Onderwijs, Ministerie van Onderwijs, Culltuur en Wetenschappen en PWC (2014)
2
Whitepaper
www.watchguard.com
1 – Privacy Het verwerken van persoonsgegevens vraagt bijzondere aandacht. Onderwijsinstellingen verzamelen allerlei data waarmee ze een gedetailleerd beeld kunnen schetsen van de sociale, emotionele en cognitieve vaardigheden en ontwikkeling van leerlingen. Voor instellingen die speciaal onderwijs geven of scholen in een gesloten instelling komt daar nog een extra dimensie bij: namelijk medische gegevens of informatie over het strafblad van leerlingen. Doordat digitale leermiddelen data over leerlingen verzamelen en onderwijsinstellingen deze data gebruiken en analyseren, zijn zij in staat om maatwerk te bieden. Bijvoorbeeld door het materiaal specifiek toe te spitsen op een leerling en zijn voortgang. Uiteraard brengt deze manier van werken de nodige voordelen met zich mee, maar hiermee ontstaan tegelijkertijd risico’s op het gebied van privacy. Instellingen wisselen veel van deze data ui voor legitieme doelen met externe partijen, zoals DUO. Het zorgvuldig omgaan met persoonsgegevens is (wettelijk) de verantwoordelijkheid van het bestuur van de onderwijsinstelling. Met de uitbreiding van de Wet bescherming persoonsgegevens (Wbp) – de meldplicht datalekken – en de nieuwe Europese Privacy Verordening is het belangrijk om helder in kaart te brengen welke externe organisaties over welke gegevens mogen beschikken en wie verantwoordelijk is in geval van een lek. Zo bleek er eind 2014 een lek te zitten in een server van Basispoort, een stichting van vier educatieve uitgevers en drie leveranciers van schoolartikelen. Daardoor hadden kwaadwillenden wekenlang toegang tot de privégegevens van leerlingen. Dat illustreert het belang om een bewerkersovereenkomst op te stellen met leveranciers. Hierin worden afspraken gemaakt over het veilig omgaan met privacygevoelige data. Voorbeelden van deze overeenkomsten zijn beschikbaar gesteld door onder meer de PO-raad en de VO-raad.
Bron: Vier-in-balans-monitor, Kennisnet (2015)
In het MBO en het hoger onderwijs loopt een omvangrijk traject voor het versterken van het privacy- en informatiebeleid. Op basis van sectorbrede risicoanalyses worden maatregelen genomen. Er wordt bijvoorbeeld samengewerkt in de concretisering van toetsingskaders zoals de ISO-normen voor informatiebeveiliging.2
Meldplicht datalekken
Op 1 januari 2016 is de meldplicht datalekken in werking getreden. Deze maatregel is een uitbreiding van de Wet bescherming persoonsgegevens en vereist dat iedere organisatie die privacygevoelige data verwerkt een mogelijk datalek direct meldt bij de Autoriteit Persoonsgegevens (AP, voorheen College bescherming persoonsgegevens). Als het verlies van gevoelige informatie bewust wordt verzwegen, kan de AP een boete opleggen die kan oplopen tot maximaal 820.000 euro. Alleen dataverlies die ernstige nadelige gevolgen kan hebben voor de betrokkenen moet worden gemeld. Dataverlies kan optreden doordat schoolsystemen gehackt zijn en er op die manier privacygevoelige data is ontvreemd. Ook een verkeerd geadresseerde e-mail die gevoelige gegevens bevat of een verloren USB-stick of telefoon waar kwetsbare data op staan, zijn datalekken.
Europese Privacy Verordening
De Europese Privacy Verordening (EPV) lijkt sterk op de meldplicht datalekken, en is eind 2015 op Europees niveau ingesteld. Nadat de verordening is aangenomen, hebben lidstaten nog twee jaar de tijd om de regels te implementeren. Dat betekent dat deze EPV vanaf eind 2017 daadwerkelijk van kracht wordt. 2 Kamerbrief over privacy en informatiebeveiliging in het primair en voortgezet onderwijs, Staatssecretaris Sander Dekker, OCW (2015)
3
Whitepaper
www.watchguard.com
Hoe zorg ik dat privacygevoelige gegevens veilig zijn?
Volgens Kennisnet zijn er drie belangrijke thema’s bij het regelen van de privacy van de leerlingen: 1. Het bepalen van het privacybeleid. 2. Het maken van goede afspraken over de omgang met privacy. 3. Duidelijke en transparante communicatie over de wijze waarop de school omgaat met privacy.
Bron: Vier-in-balans-monitor, Kennisnet (2015)
Het is belangrijk om te weten en begrijpen waar privacy op scholen betrekking op heeft en ervoor zorg te dragen dat alle medewerkers het belang kennen om veilig met gegevens om te gaan. Enerzijds is het belangrijk om een privacyreglement op te stellen. Hiermee kunnen zowel docenten en medewerkers als ouders en leerlingen eenvoudig op de hoogte worden gesteld van de wijze waarop de school met privacygevoelige gegevens omgaat. Anderzijds zijn technologische maatregelen onontbeerlijk om confidentiële informatie ongeautoriseerd het netwerk verlaat. Vergeet bovendien niet om een bewerkersovereenkomst op te stellen voor leveranciers die eveneens toegang hebben tot de data, aangezien dit aspect een belangrijk onderdeel is van het proces. Alle persoonsgegevens moeten worden beveiligd. Voor het gebruik ervan moet altijd toestemming worden gevraagd. Dat geldt ook voor docenten en leerlingen zelf, bijvoorbeeld als zij sociale media gebruiken. Met een gedragscode zijn hier goede afspraken over te maken.3
Bron: Vier-in-balans-monitor, Kennisnet (2015) 3 Privacy in 10 stappen, Kennisnet (2015) 4
Whitepaper
www.watchguard.com
2 – Cybercrime Security is voor onderwijsinstellingen een belangrijk thema. Zonder een goede beveiliging loopt het onderwijs allerlei risico’s. Denk hierbij alleen al aan de schade die de educatieve markt oploopt na DDoS-aanvallen, ransomware, advanced persistent threats (APT’s) en identiteitsfraude. Hierdoor kunnen cruciale ICT-voorzieningen uitvallen waardoor belangrijke processen worden verstoord. Een goede beveiliging helpt deze risico’s te minimaliseren.
DDoS-aanvallen
Regelmatig komen scholen in het nieuws als ze slachtoffer zijn geworden van een zogenaamde distributed denial of service-aanval (DDoS). Niet alleen scholen, maar ook leveranciers zijn dikwijls het doelwit. Zo had het administratie- en leerplatform Magister eind 2015 last van zo’n aanval, waardoor het moeilijk bereikbaar was. Niet zelden zijn het leerlingen die dit soort aanvallen plegen. Zo bleken twee leerlingen van de Almeerse Scholen Groep (ASG) verantwoordelijk voor herhaaldelijke DDoS-aanvallen op de computersystemen van ASG. Bij een DDoS-aanval worden grote hoeveelheden data naar servers gestuurd zodat die overbelast raken. Het gevolg is dat het netwerk of een deel daarvan plat ligt en scholen niet meer bereikbaar zijn, toetsen niet gemaakt kunnen worden en roosters niet meer werken. Voor scholen is het niet zozeer de vraag of ze getroffen worden door een DDoS-aanval, maar eerder wanneer. Zo’n aanval is niet te voorkomen. Toch kunnen onderwijsinstellingen door het netwerk goed in de gaten te houden een aanval vaak wel al in de beginfase signaleren. Het is belangrijk om goed in kaart te brengen wat de juiste procedure is bij een aanval en te bepalen wie waarvoor verantwoordelijk is. Wanneer een onderwijsinstelling gebruikmaakt van de cloud – hetzij voor het afnemen van diensten, hetzij voor opslag – ligt de verantwoordelijkheid voor de beveiliging bij de leverancier. Dat geldt ook voor de software en digitale leermiddelen die in gebruik zijn. Vraag bij leveranciers welke maatregelen zij hebben getroffen voor preventie, detectie en respons op een DDoS-aanval. Doordat leerlingen steeds meer digitaal onderlegd zijn en een DDoS-aanval vrij eenvoudig is op te zetten, zullen scholen zich hier steeds vaker mee geconfronteerd zien. Het is dan ook belangrijk om tijdig na te denken over oplossingen, zoals het kiezen van de juiste firewall. Daarnaast leggen instellingen een redundante verbinding aan, maar er zijn ook scholen waarbij een toets in het geval van uitval van de digitale toetsomgeving altijd op papier kan worden gemaakt. En het Picasso Lyceum in Zoetermeer zet de slimme leerlingen juist in om te helpen bij het beveiligen van de school.
Phishing en identiteitsfraude
Toegenomen digitalisering van het onderwijs zorgt voor nieuwe eisen aan de identificatie van studenten en medewerkers. Wanneer leerlingen een digitale toets maken, moet de onderwijsinstelling er zeker van zijn dat de juiste leerling de toets maakt. En degene die vervolgens de toetsresultaten invoert, moet daartoe geautoriseerd zij, zodat bijvoorbeeld een student de resultaten niet kan wijzigen. Toetsvragen en -antwoorden zijn vertrouwelijke informatie en mogen louter toegankelijk zijn voor geautoriseerde medewerkers. Diefstal van identiteitsgegevens van bijvoorbeeld een docent kan leiden tot het uitlekken van toetsen of het manipuleren van cijfers. Phishing, oftewel het ‘hengelen naar een identiteit’, is een vorm van digitaal oplichten. Het gebeurt onder meer door het versturen van frauduleuze links in e-mails. Er wordt op slinkse wijze gevraagd naar gevoelige informatie. Niet alleen docenten, ook leerlingen en studenten kunnen het slachtoffer worden van phishing. Wijs leerlingen erop dat ze nooit gevoelige gegevens zoals inlognamen of wachtwoorden via e-mail moeten doorgeven. Ook is het verstandiger om een webadres zelf in te tikken in plaats van het klikken op een link in een e-mail. Door met de muis over het webadres te gaan, is te controleren of het adres daadwerkelijk klopt. Biedt docenten en studenten een handreiking hierin en zorg voor beveiligingsoplossingen die berichten met een ongewenste inhoud onderscheppen.
5
Whitepaper
www.watchguard.com
Ransomware
Ransomware is kwaadaardige software die vaak via e-mail een onderwijsinstelling binnenkomt. Als iemand de e-mail of bijgevoegde bijlage opent, versleutelt de software alle belangrijke bestanden waar de gebruiker toegang tot heeft. Vervolgens verschijnt er een melding op het scherm waarin wordt gemeld dat de bestanden versleuteld zijn en dat tegen betaling de encryptiesleutel wordt geleverd. Vaak staat er ook een aftelklok bij om aan te geven hoeveel tijd er is om te betalen. Wordt ervoor gekozen om niet te betalen, dan worden de bestanden na het aflopen van de tijd vernietigd. Om te zorgen dat ransomware zo weinig mogelijk kans krijgt op de IT-systemen, is het belangrijk om geen e-mails of bijlagen te openen die afkomstig zijn van onbekenden. Omdat we niet altijd de afzenders van mail kunnen herkennen, zijn ook technologische voorzorgsmaatregelen nodig. Denk hierbij aan slimme firewalls met antivirusfunctionaliteit en het continu updaten van software. Tot slot is het ontzettend belangrijk om regelmatig back-ups te maken en die goed te testen. Bewaar ze op een veilige plek. Als een school toch wordt getroffen door ransomware, kunnen zij het besmette systeem het beste direct loskoppelen van de rest van het netwerk. Een tool detecteert en ruimt die malware op het systeem op. Die software zorgt er niet voor dat de gegijzelde bestanden teruggehaald worden, maar kan de ransomware wel van het systeem verwijderen. De ransomware verspreidt zich niet automatisch verder of kopieert zichzelf niet op de systemen. Omdat ransomware bij alle bestanden en systeeminstellingen kan waar de gebruiker toegang toe heeft, is het verstandig om kritisch te kijken naar de rechten van gebruikers op het netwerk en deze rechten te beschermen. Hoeven bepaalde documenten alleen maar bekeken te worden? Geef een gebruiker dan alleen leesrechten. Zo kan de malware de bestanden wel lezen, maar ze niet veranderen of versleutelen. In de praktijk hebben veel gebruikers volledige administratorrechten en dat maakt een school kwetsbaar voor ransomware. Het is aan te raden om niemand standaard administratorrechten te geven. Als dat toch wenselijk is, zorg er dan voor dat iemand zich met die rechten kan aanmelden voor bepaalde taken. Op die manier wordt de toegang tot instellingen beperkt, wat gunstig is in het geval van besmetting.
Advanced persistent threats
Een advanced persistent threat (APT) is een cyberaanval waarbij een ongeautoriseerd persoon toegang weet te verkrijgen tot het netwerk en daar lange tijd ongemerkt zijn gang kan gaan. Vaak worden organisaties getroffen die over waardevolle data beschikken. In tegenstelling tot een DDoS-aanval richt een APT geen zichtbare schade aan. Er wordt juist geprobeerd om ongemerkt permanente toegang tot gegevens te bewerkstelligen. Het gaat hierbij om complexe en lastig te herkennen aanvallen, waardoor het geen eenvoudige klus is om een APT-aanval te voorkomen. Toch zijn er zeker maatregelen die de kans verkleinen op infectie en verspreiding. Een firewall met antivirus is het minimale dat een school in stelling moet hebben gebracht. Een daadwerkelijk effectieve aanpak bestaat uit drie factoren: voorkomen, opsporen en effectief reageren. Onderwijsinstellingen kunnen het beste de volgende stappen in acht nemen: – Breng in kaart wat de belangrijkste data binnen de onderwijsinstelling zijn. – Bedenk wie er baat heeft bij deze informatie. – Creëer bewustzijn bij docenten en leerlingen op het gebied van security. – Blijf op de hoogte van de laatste ontwikkelingen en trends op dit gebied. – Evalueer hoe de school het meest effectief kan reageren op een APT. Snel en effectief opsporen maakt een groot verschil. Het opstellen van een proces hoe er gehandeld moet worden en waarin rollen en verantwoordelijkheden worden opgesteld, is onmisbaar. Daarnaast verdient het aanbeveling om een aanvullende APT-oplossing te implementeren. Deze detecteert aanvallen snel en gedegen, waarna de juiste maatregelen kunnen worden getroffen.
6
Whitepaper
www.watchguard.com
3 – BYOD Smartphones, tablets en laptops zijn niet meer weg te denken uit het dagelijks leven. Vanaf hun tiende jaar heeft meer dan driekwart van de jongeren een mobiele telefoon. Deze mobiele apparatuur is een goede aanvulling op de huidige onderwijsaanpak. Onderwijsinstellingen die mobility omarmen, hebben vaak meer persoonlijke aandacht voor de leerling, geven de docenten meer vrijheid in hun werk en zijn aan bepaalde zaken minder geld kwijt.4
Bron: Vier-in-balans-monitor, Kennisnet (2015)
Bron: Vier-in-balans-monitor, Kennisnet (2015)
4 Best Practices for Enabling BYOD in Education, Netgear (2013)
7
Whitepaper
www.watchguard.com
Wifi
Bijna alle scholen in Nederland hebben wifi. In het MBO was dit in 2014 al bijna 100 procent. In het primair en voorgezet onderwijs steeg het aantal scholen met wifi aanzienlijk. In het basisonderwijs beschikt inmiddels 93 procent over wifi en in het voortgezet onderwijs 95 procent. Op de meeste scholen is de wifi ook toegankelijk voor leerlingen; een draadloos netwerk dat louter toegankelijk is voor medewerkers komt nauwelijks voor. Wel is de dekking nog niet op alle scholen volledig. Van de basisscholen geeft 34 procent aan dat niet overal bereik is. Voor voortgezet onderwijs is dat 30 procent en voor MBO-scholen 24 procent. De aanwezigheid van wifi zegt overigens niets over de kwaliteit en snelheid ervan. Dat hangt onder meer af van het soort accesspoint, de connectiviteit en de kenmerken van het gebouw4.
Bron: Vier-in-balans-monitor, Kennisnet (2015)
Draadloos
Het toenemende gebruik van slimme mobiele apparaten zoals tablets, smartphones en notebooks zorgt voor een enorme groei van het concept Bring Your Own Device (BYOD) in het onderwijs. Daardoor worden steeds hogere eisen aan draadloze netwerken gesteld. Instellingen willen de productiviteitswinst die deze apparaten bieden graag benutten, maar tegelijkertijd hun netwerk niet in gevaar brengen. Het is belangrijker dan ooit om controle te hebben over het gehele netwerk binnen een onderwijsinstelling – zowel bedraad als draadloos.
Verschillende BYOD-scenario’s
Het onderwijs wordt verrijkt door technologie. Mobiele apparaten kunnen daar een goede bijdrage aan leveren. Hierbij is het essentieel dat het (draadloze) netwerk daarop is ingericht. Ook marktonderzoeksbureau Gartner definieert BYOD als belangrijke ontwikkeling. Bandbreedte, netwerkconnectiviteit en beveiliging zijn de grootste zorgen om de impact van BYOD in goede banen te leiden. Er zijn verschillende aanpakken voor het omgaan met zelf meegebrachte mobiele apparatuur op school. 1. Een onderwijsinstelling kan ervoor kiezen om toe te staan dat leerlingen en docenten hun eigen apparaten meenemen naar school. Dat betekent wel dat een leeromgeving meerdere merken apparaten met bijbehorende besturingssystemen moet kunnen ondersteunen. 2. Een andere mogelijkheid is dat de school ervoor kiest om studenten en medewerkers met mobiele apparatuur uit te rusten. Dat vergt een flinke investering, maar betekent eveneens eenvoudiger IT-beheer en ondersteuning. Bovendien hebben op deze wijze alle leerlingen en medewerkers toegang tot een mobiel apparaat. 3. De meeste scholen kiezen echter voor een hybride aanpak waarbij ze de twee eerder beschreven mogelijkheden combineren. Daarbij wordt BYOD ondersteund en worden gestandaardiseerde laptops ingezet voor algemeen gebruik. Deze combinatie maakt het voor onderwijsinstellingen mogelijk om hun mobiele leeromgeving te testen en waar nodig aanpassingen te doen. Voor welke aanpak onderwijsinstellingen ook kiezen, het (draadloze) netwerk moet klaar zijn voor het gebruik van al die mobiele apparatuur. Dat kan betekenen dat zij kiezen voor een apart gastennetwerk, waarop studenten toegang hebben. Het netwerk voor medewerkers en docenten wordt daarmee afgeschermd. Door verschillende accesspoints te gebruiken kan het dataverkeer eerlijk worden verdeeld. Zware en belangrijke gebruikers kunnen bijvoorbeeld toegang krijgen tot een 5GHz draadloze verbinding, terwijl gebruikers met minder prioriteit toegang krijgen tot een 2,4 GHz verbinding. 5 Vier-in-balans Monitor, Kennisnet (2015) 8
Whitepaper
www.watchguard.com
4 – Cloud Veilige betrouwbare manier bij je cloud-applicaties kunnen. Voorkomen dat je ellende krijgt op het moment dat je op internet gaat of toegang tot cloud-organisaties zoekt. Cloud computing ontzorgt onderwijsinstellingen. Doordat zij technologie niet meer in huis hoeven te onderhouden en beheren, krijgen zij meer ruimte, tijd en geld voor het primaire proces. Met cloud computing kan een school software en/of hardware huren van een leverancier waarbij zij betalen naar gebruik. We kennen verschillende soorten clouddiensten; van kant-en-klare applicaties die de eindgebruiker direct kan gebruiken tot platforms waarmee gebruikers zelf applicaties kunnen ontwikkelen of samenstellen. Het aanbod van clouddiensten groeit gestaag en ook in het onderwijs komen er steeds meer relevante diensten beschikbaar. Clouddiensten in het onderwijs sluiten immers zeer goed aan bij het ICT-gebruik van studenten en leerlingen.
Bron: Vier-in-balans-monitor, Kennisnet (2015)
Het afnemen van clouddiensten brengt ook risico’s met zich mee op het vlak van beveiliging. Zodra onderwijsinstellingen gevoelige data, applicaties en diensten naar de cloud brengen, is een veilige toegang tot al deze data cruciaal. Dat betekent dat extra bescherming vereist is van onder meer het netwerk, de e-mail en de gegevens over leerlingen en financiën .
Conclusie
Technologie verrijkt het onderwijs. Digitalisering brengt nieuwe mogelijkheden met zich mee en de kinderen en jongeren van tegenwoordig groeien ermee op. Dat betekent dat scholen zich moeten verdiepen in de mogelijkheden, maar zicht ook bewust moeten zijn van de gevaren ervan. Privacy en informatiebeveiliging zijn essentiële onderwerpen. Niet alleen omdat de wetgeving vanaf 1 augustus 2015 scholen wettelijk verplicht om te zorgen voor een veilige leeromgeving, maar ook zodat leerlingen en ouders zich te allen tijde veilig voelen .
9
Whitepaper
www.watchguard.com
Producten
WatchGuard biedt diverse productlijnen die onderwijsinstellingen kunnen helpen hun netwerk beter te beschermen tegen cyberaanvallen en ongewenste zaken. •• Next-Generation Firewall Door het inzetten van een Next-Generation Firewall-oplossing aan de rand van het netwerk, zorgt een organisatie voor zijn veiligheid. Deze productlijn bevat onder meer een intrusion prevention service, application control, data loss prevention en een APT blocker. De functies van deze oplossingen kunnen naar believen worden geconfigureerd. Hierdoor functioneert de firewall naar de specifieke wensen van iedere organisatie. •
Unified Threat Management Dit alles-in-een security-platform is eenvoudig schaalbaar en betaalbaar. Het bevat, naast de oplossingen uit de Next-Generation Firewall, een gateway antivirus, een spam- en web blocker en reputation enabled defense. Het platform kan zonder al te veel moeite worden gedistribueerd op ieder netwerk van de organisatie.
•• Overige security oplossingen Daarnaast biedt WatchGuard bescherming voor access points en IPSec VPN Clients, maar ook: • Dimension Kritische besluiten over netwerksecurity moeten vaak snel en met weinig informatie worden gemaakt. Dimension brengt de inzichten van big data naar netwerkbeveiliging. Hierdoor kunnen beslissingen snel, effectief en goed geïnformeerd worden genomen.
10
•
Secure Wireless De huidige digitale bedreigingen beperken zich niet alleen tot de desktop. Dat betekent dat ook de security-oplossingen een bredere blik moeten hebben. Deze oplossing breidt de voordelen van het UTM- platform uit naar het draadloze netwerk.
•
Virtual Solutions De digitale wereld verandert met een snelheid die nauwelijks bij te houden is. In gevirtualiseerde omgevingen worden data tussen applicaties, divisies en bedrijven heen en weer gestuurd, zonder ooit een fysiek netwerkpad te kruisen. Dat heeft gevolgen voor de beveiliging. Deze oplossing beschermt de interne grenzen van applicaties en organisaties.
Whitepaper
www.watchguard.com