Minister wil verplichte externe audits en SOC-aansluiting voor het onderwijs
Om de digitale weerbaarheid van het Nederlandse onderwijs te vergroten moet elke onderwijsinstelling in het middelbaar en hoger onderwijs worden aangesloten op een Security Operations Center (SOC) en de eigen informatiebeveiliging periodiek door een externe partij laten auditen. Dat wil demissionair minister Van Engelshoven van Onderwijs.
De minister reageert op een rapport van de Onderwijsinspectie dat naar aanleiding van de ransomware-aanval op de Universiteit Maastricht werd uitgevoerd. "De Inspectie concludeert dat er op het gebied van cyberveiligheid in het hoger onderwijs veel gebeurt, maar er zeker nog belangrijke stappen nodig zijn om de digitale weerbaarheid te vergroten", aldus Van Engelshoven.
De minister stelt dat er binnen het onderwijs al stappen zijn gezet, maar ook aanvullende maatregelen nodig zijn. "Kernelementen zijn dat elke instelling in het MBO en HO aan een vooraf afgesproken streefdoel voldoet, dat elke instelling wordt aangesloten op een mechanisme om 24/7 dreigingen te monitoren en dat elke instelling zich periodiek (ook) extern laat auditen", schrijft ze in een brief aan de Tweede Kamer. Van Engelshoven wil in het eerste kwartaal van volgend jaar met de sectoren een plan van aanpak hebben opgesteld met een kalender wanneer dit voor elke instelling gerealiseerd kan zijn.
Met het mechanisme om 24/7 dreigingen te monitoren doelt de minister op een Security Operations Center. "Cruciaal is het opzetten van een gezamenlijk Security Operations Center onder SURF. Een belangrijk onderdeel van dit SOC is de 24/7 monitoring van netwerken en signalering van dreigingen om cyberincidenten te voorkomen."
Daarnaast schrijft ze in de brief dat onderwijsinstellingen de basismaatregelen moeten implementeren, zoals het toepassen van multifactorauthenticatie, het segmenteren van netwerken, het regelmatig maken van back-ups, het testen van systemen en het bepalen van wie toegang heeft tot data en diensten. Uit het onderzoek van de inspectie blijkt namelijk dat een aantal onderwijsinstellingen deze maatregelen nog niet (volledig) toepast.
Bewustzijn en audits
Verder is het volgens Van Engelshoven belangrijk om in te zetten op het vergroten van het bewustzijn. "Het is echter essentieel dat in élke instelling en in alle lagen van de instelling maatregelen worden genomen om medewerkers en studenten bewust te maken van cyberdreigingen. Ik wil daarom afspraken maken zodat elke instelling, groot én klein, bekostigd én onbekostigd, dergelijke maatregelen neemt."
De minister zal dit najaar samen met de onderwijskoepels afspraken maken hoe vooral ook kleinere instellingen en de niet bekostigde instellingen geholpen kunnen worden met maatregelen om het bewustzijn in alle lagen van de instelling te vergroten.
Van Engelshoven schrijft tevens dat ze het belangrijk vindt dat alle instellingen in het hoger en middelbaar beroepsonderwijs, naast het gebruik van eigen, interne audits en zelf-assessments, zich laten toetsen door middel van externe audits. "Het belang van cyberveiligheid op het ongestoord verloop van het onderwijs en onderzoek rechtvaardigt dat. Ik maak daarom dit najaar met de koepels afspraken hoe we audits en monitoring vorm gaan geven en hoe we kunnen verzekeren dat elke instelling periodiek extern geaudit wordt."
Als we niet van te voren gaan bepalen hoe informatiebeveiliging op een goede manier is ingericht, dat gaat dit alleen maar gezeur opleveren.
Wij willen regeren over de dommen en afhankelijken.
Het SOC regelt allles, u kunt op de werkvloer gewoon blijven blunderen.
De ransomware-baas lacht zich de b*llen uit de broek.
Alle helpdesk opgeleiden worden gamers en de excellenten onder hen gaan in de cybercriminaliteit.
Wel netjes je muis omdraaien, als je klaar bent hoor.
Af en toe een adviesje van Rian R. op de blockchain kan geen kwaad.
Er is iets goed mis in dit land, maar dat is er al sinds de invoering van de Mammoetwet
met de "pretpakketten" zo.
Vooruit ga je lamda-generator toets maken. Wordt cyber-weerbaar. Gebruik reguliere expressies.
Wat een wereld, waarin we zijn komen te leven. Niet met mij eens zeker?
#sockpuppet
Vast de "vrijwillige" ouderbijdrage ophogen...
Ik heb nou niet de indruk dat het onderwijs nu beter is dan zeg 20 jaar geleden zeg maar...
Ik heb nou niet de indruk dat het onderwijs nu beter is dan zeg 20 jaar geleden zeg maar...
+1
Als we niet van te voren gaan bepalen hoe informatiebeveiliging op een goede manier is ingericht, dat gaat dit alleen maar gezeur opleveren.
Gezeur is discussie, discussie zorgt voor nadenken en ontwikkeling.
Prima toch?
Als we niet van te voren gaan bepalen hoe informatiebeveiliging op een goede manier is ingericht, dat gaat dit alleen maar gezeur opleveren.
Gezeur is discussie, discussie zorgt voor nadenken en ontwikkeling.
Prima toch?
niet elke verandering is een vooruitgang!
Volgens mij dekt SURF toch de doelgroep die genoemd wordt in het stuk: MBO/HO?
Vooruit ga je lamda-generator toets maken. Wordt cyber-weerbaar. Gebruik reguliere expressies.
Wat een wereld, waarin we zijn komen te leven. Niet met mij eens zeker?
#sockpuppet
Je moet al lang gepensioneerd zijn als je van voor die tijd bent. (1963 als brugklas)
De laatste jaren is alles al uitbesteed en aanbesteed daar kan eennsoc wel bij. Lesprogramma's en studiemateriaal massaal uitrollen is nooit een taak van scholen geweest, ook niet in de oude tijd.
Beste karma4,
Zelf meegemaakt dat een HS een jaar security kreeg gedoceerd uit het verkeerde boek
volgens de studenten althans en waarom zou ik aan hun boodschap twijfelen)
en ook een jaar zonder docent security zaten. Het ging hier om een informatica (IT) opleiding.
Dan op hetzelfde instituut worden marketingmensen opgeleid, die niets met de andere opleidingen hebben,
maar wel de bedrijfspolicy wat betreft security beinvloeden (soms negatief - ad-inkomsten prio's).
Je kent mijn argument wel. Die van de hoed en de rand weten nemen de beslissingen niet.
Die het als "last resort issue" beschouwen maken vaak het verschil en betalen later de prijs,
die "immer onder in de zak te vinden valt" (hack, ransomware, data-breach en erger).
Dit gaat ook op voor technische IT, die van wanten weten op front-end en back-end gebied,
gouden jongens en meisjes, maar die ook menig eigengereide CEO en manager tegenover zich weten.
Dus het gaat niet zozeer om de opleidingsstructuren, maar de beslissingsstructuren liggen verkeerd.
Dozen-verkopers en snake-oil-sellers winnen het steeds van inzicht en expertise.
#sockpuppet.
Als we niet van te voren gaan bepalen hoe informatiebeveiliging op een goede manier is ingericht, dat gaat dit alleen maar gezeur opleveren.
Voor de overheid is dat de BIO, en het onderwijs hanteert de ISO. Deze heeft men tot de norm verheven. Dat zal niet in de ogen van alle stakeholders 'goed' zijn, variërend van te duur tot niet 'goed' genoeg... maar zo is het.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.