image

Onderwijs krijgt jaarlijks 6 miljoen euro en normenkader voor cybersecurity

vrijdag 15 juli 2022, 12:13 door Redactie, 8 reacties

Het kabinet gaat jaarlijks zes miljoen euro investeren in de cybersecurity van het primair en voortgezet onderwijs. Ook wordt er een normenkader voor informatiebeveiliging en privacy opgesteld en een Computer Emergency Response Team (CERT) opgericht dat scholen bij incidenten moet helpen. Dat schrijven minister Dijkgraaf van Onderwijs en minister Wiersma voor Primair en Voortgezet Onderwijs in een brief aan de Tweede Kamer.

"Steeds meer gegevens over leerlingen en studenten worden opgeslagen en uitgewisseld. Onderwijsinstellingen en onderzoeksinstellingen zijn in toenemende mate doelwit van cyberaanvallen. Voor instellingen wordt het steeds moeilijker om de privacy van leerlingen en studenten te beschermen tegen digitale dreigingen", aldus de bewindslieden, die toevoegen dat gegevens over leerlingen en studenten op straat kunnen komen te liggen en de continuïteit van het onderwijs in gevaar kan komen wanneer systemen onbereikbaar zijn.

Om de digitale veiligheid van het onderwijs te versterken hebben de ministers daarom verschillende maatregelen aangekondigd. Voor het uitvoeren van deze maatregelen wordt jaarlijks zes miljoen euro in de digitale veiligheid van het primair en voortgezet onderwijs geïnvesteerd. "Dit is een andere aanpak dan voorheen: wij kiezen voor meer centrale regie waarbij we sturen op normen, scholen ondersteunen met raad en daad, en externe audits en sneller optreden het sluitstuk zijn. Alleen dan kunnen schoolbesturen hun verantwoordelijkheid voor informatiebeveiliging, privacy en continuïteit invullen", zo stellen Dijkgraaf en Wiersma.

Normenkader

Een belangrijk onderdeel van de aanpak is het opstellen van een normenkader voor informatiebeveiliging en privacy. "Doordat er nu geen normenkader is, weten scholen niet altijd wat ze moeten doen om hun systemen te beveiligen", zo laten de ministers weten. "Ook privacymaatregelen vergen specialistische juridische kennis die niet op iedere school aanwezig is. Dat zorgt voor verschillen tussen scholen en daarmee ook voor verschillen in de digitale veiligheid van leerlingen. Daar willen we vanaf. "

Op dit moment wordt er gewerkt aan een eerste versie van het normenkader. Begin 2023 zal er vervolgens op basis van het normenkader een nulmeting binnen het onderwijs plaatsvinden. Scholen moeten daarna aan de slag. Om te kijken of scholen aan het kader voldoen zullen er periodiek monitors en benchmarks plaatsvinden. Ook worden schoolbesturen vanaf het schooljaar 2023/2024 verplicht om in hun jaarverslag expliciet aandacht te besteden aan informatiebeveiliging en privacy.

Computer Emergency Response Team

Een andere aankondigde maatregel is het opzetten van een Computer Emergency Response Team (CERT) voor het primair en voortgezet onderwijs. "Het CERT werkt als een ‘digitale brandweer’; het is een meldpunt waar scholen zich kunnen melden wanneer ze met een incident te maken krijgen en dat scholen ondersteunt bij de afhandeling daarvan", zo leggen Dijkgraaf en Wiersma uit. Op dit moment is er in het primair en voortgezet onderwijs nog geen hulp voor scholen bij dreigingen en incidenten. Wanneer het CERT operationeel is zal er ook een meldplicht voor cyberincidenten gaan gelden. Scholen moeten incidenten dan rapporteren.

Volgens de ministers worden met deze maatregelen belangrijke eerste stappen gezet in het borgen van de digitale veiligheid van alle leerlingen in het primair en voortgezet onderwijs. "Voor een integrale en overkoepelende aanpak van digitale veiligheid is nog een verdere verkenning en uitwerking nodig. Te denken valt aan een veilige digitale infrastructuur voor alle scholen met snel en betrouwbaar internet en real-time dreigingsdetectie. We gaan hier de komende tijd mee aan de slag."

Reacties (8)
15-07-2022, 12:56 door Anoniem
Belangrijk is dat de basis van de beveiliging goed wordt geregeld, dus sterke wachtwoorden, 2FA (voor docenten, medewerkers en studenten/leerlingen) en het verwijderen van oude/niet gebruikte accounts.

Daarnaast zal minimalisatie van de opgeslagen gegevens noodzakelijk zijn. Wanneer gegevens niet meer nodig zijn deze ook daadwerkelijk verwijderen en niet laten staan (volledig verwijderen wanneer de leerling/student de onderwijsinstelling/school verlaat en gegevens die wettelijk langer moeten worden bewaard verwijderen nadat deze periodes zijn verstreken).
15-07-2022, 13:20 door Anoniem
Doordat er nu geen normenkader is, weten scholen niet altijd wat ze moeten doen om hun systemen te beveiligen"

Gelul van de bovenste plank. Hanteer 2700x en je komt al een heel eind. Pak de informatie vanuit het NCSC erbij en je hebt genoeg materiaal, adviezen en tips om de komende jaren je beveiliging serieus te verbeteren. En daar is echt geen 6 miljoen euro voor nodig!! Wat een gepruts weer.
15-07-2022, 13:23 door Anoniem
Normering in een tijd zonder normen en waarden. Vreemd?
15-07-2022, 13:42 door -Peter-
Ik wens het respons team weinig werk toe.

Peter
15-07-2022, 21:37 door Anoniem
"Steeds meer gegevens over leerlingen en studenten worden opgeslagen en uitgewisseld. Onderwijsinstellingen en onderzoeksinstellingen zijn in toenemende mate doelwit van cyberaanvallen. Voor instellingen wordt het steeds moeilijker om de privacy van leerlingen en studenten te beschermen tegen digitale dreigingen", aldus de bewindslieden, die toevoegen dat gegevens over leerlingen en studenten op straat kunnen komen te liggen en de continuïteit van het onderwijs in gevaar kan komen wanneer systemen onbereikbaar zijn.

Verbied dan (voorlopig) dat alles over iedereen wordt verzameld, opgeslagen en uitgewisseld. Dat was voor de opkomst van het internet ook niet noodzakelijk.
In ieder geval verbieden tot de instellingen hun zaakjes structureel wel op orde hebben en snappen wat ze aan het doen zijn.

En dat geldt eigelijk voor heel Nederland. Ook de meeste particulieren.

Het is nu dweilen met de kraan open.
De frequentie en omvang van digitale kwetsbaarheden worden steeds groter, en het kennis niveau bij de polulatie groeit niet mee. Het daalt zelfs, denk ik. (observatie)

Dit soort politieke maatregelen zijn een doekje voor het bloeden.
16-07-2022, 19:48 door Anoniem
Hé ja, een normenkader. Dat hadden we nog niet…

VIR, BIG, BIR, RIP, IPB, BIO, HKZ, NEN7510, ISO27001 etc., etc.

Maar het onderwijs is net als al die andere overheidsorganen eigenwijs. En wil dus weer het wiel uitvinden.
17-07-2022, 20:42 door Anoniem
Door Anoniem: Hé ja, een normenkader. Dat hadden we nog niet…

VIR, BIG, BIR, RIP, IPB, BIO, HKZ, NEN7510, ISO27001 etc., etc.

Maar het onderwijs is net als al die andere overheidsorganen eigenwijs. En wil dus weer het wiel uitvinden.

En daar wordt dus op veel plekken met de pet naar gegooid.

Lastig. Onbekend. Onhandig. Kostbaar.
Excuses genoeg bij overheid en bedrijfsleven.
En burgers snappen het al helemaal niet. Het gaat hun pet meestal te boven.

Conclusie:
Normen zijn leuk en theoretisch, maar lossen het concrete probleem niet op. Want de probleemgevallen willen er niet aan.
Een alternatieve oplossing is om ze te verplichten te minderen. Minder registreren en delen.
Wat er niet is, kan ook niet gekaapt worden.
18-07-2022, 13:57 door Anoniem
Goede ontwikkeling, kan de onderwijswereld twee ander belangrijke voorschrift rond informatiebeveiliging ook op orde bergen. Te weten;

Handreiking – onregelmatigheden en fraude bij beroepsgerichte examens
https://onderwijsenexaminering.nl/app/uploads/20201029_Handreiking-onregelmatigheden-en-fraude-bij-beroepsgerichte-examens-versie-2.0.pdf

Toetsingskader examinering
https://pe.onderwijsenexaminering.nl/assets/files/Beveiliging%20_Toetsingskader_examinering_1017.pdf
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.