Reactie minister op rapport 'Binnen zonder kloppen'

Gepubliceerd op 29 september 2021 om 07:00

Het kabinet wil de digitale weerbaarheid van het onderwijs vergroten. In het middelbaar en hoger onderwijs zijn de afgelopen tijd belangrijke stappen gezet om dat te realiseren, maar er zijn aanvullende maatregelen nodig. De overheid wil onder meer dat alle onderwijsinstellingen aansluiting zoeken bij een Security Operations Center (SOC) en dat een onafhankelijk externe partij periodiek een audit uitvoert naar de bestaande beveiligingsmaatregelen.

Onderzoeksrapport

In de brief reageert de minister op de conclusies van het onderzoeksrapport ‘Binnen zonder kloppen – Digitale weerbaarheid in het hoger onderwijs’ van de Inspectie van het Onderwijs. De inspectie constateert dat hogescholen en universiteiten na de ransomware-aanval op de Universiteit Maastricht eind 2019 meer aandacht hebben voor cybersecurity en informatiebeveiliging. Ze hebben regelmatig contact met elkaar om kennis en ervaringen uit te wisselen. Ook treffen ze meer maatregelen om hackers buiten de deur te houden.

Ondanks de extra aandacht voor informatiebeveiliging, is dit onvoldoende om de onderwijsinstellingen te beschermen tegen cyberaanvallen en behoeden voor datalekken. De Inspectie van het Onderwijs benadrukte dat er nog belangrijke stappen gemaakt moeten worden om de digitale weerbaarheid in het hoger onderwijs te vergroten. Het advies van de inspectie luidde om van digitale veiligheid een vast onderdeel te maken van het risicomanagement. Ook doen onderwijsinstellingen er goed aan om nauwer samen te werken en zou de overheid de regie moeten nemen om de digitale veiligheid te verbeteren.

Minister erkent dat cyberaanvallen toenemen

Minister Van Engelshoven erkent dat zowel binnen als buiten het onderwijs het aantal cyberaanvallen toeneemt. Ze zegt dat cyberaanvallen niet geheel zijn te voorkomen. We kunnen er volgens haar wel alles aan doen om de gevolgen van een eventuele aanval zo veel mogelijk te beperken. De urgentie om extra maatregelen te treffen om de weerbaarheid tegen cyberdreigingen te vergroten, is er in de gehele onderwijssector. Daarbij moeten we wel oog hebben voor differentiatie of maatwerk.

De aanpak

1. Security Operations Center

De minister onderstreept de conclusies van de Inspectie van het Onderwijs. In haar brief aan de Tweede Kamer somt ze diverse maatregelen op om de digitale weerbaarheid in het middelbaar en hoger onderwijs te vergroten. In de eerste plaats wil ze dat onderwijsinstellingen aangesloten worden op een gezamenlijk Security Operations Center (SOC). Dat is een controlemechanisme dat 24/7 dreigingen monitort om cyberdreigingen vroegtijdig te signaleren en voorkomen.

“In overleg met de VSNU (Vereniging van Universiteiten), de VH (Vereniging Hogescholen), de MBO Raad en SURF wil ik verkennen hoe we alle instellingen kunnen stimuleren en aanmoedigen om deel te nemen aan een SOC oplossing, aangezien vrijwillige deelname van individuele instellingen aan een dergelijke oplossing blinde vlekken mogelijk maakt en de kwetsbaarheid van het stelsel als geheel vergroot”, aldus de minister.

2. Periodiek toetsen

Ook moeten scholen hun beveiligingsmaatregelen periodiek laten toetsen door een onafhankelijk extern bedrijf. Dit noemen we ook wel een audit. “Audits zijn een belangrijke informatiebron om de aanpak van cyberveiligheid te monitoren, zowel op het niveau van de instelling als voor het stelsel als geheel”, schrijft minister Van Engelshoven aan de Tweede Kamer.

Audits worden gebruikt om meer inzicht te krijgen in de staat van de informatiebeveiliging en privacymaatregelen van onderwijsinstellingen. Alle universiteiten hebben afgelopen jaar een externe audit laten uitvoeren. Ze hebben toegezegd dit om het jaar te herhalen. Van Engelshoven vindt het belangrijk dat alle instellingen in het middelbaar en hoger beroepsonderwijs naast een zelfevaluatie zich ook periodiek laten toetsen door middel van externe audits. “Het belang van cyberveiligheid op het ongestoord verloop van het onderwijs en onderzoek rechtvaardigt dat.” Omdat te bereiken gaat ze komend najaar in gesprek met de koepelorganisaties hierover.

3. Vergroten bewustzijn

Een ander aspect waar de onderwijsminister aandacht voor wil vragen, is het vergroten van bewustzijn van de risico’s van cyberdreigingen. Om dat te bereiken wil ze trainingen, campagnes, brochures en crisisoefeningen houden. “Hierbij is de rol van bestuurders essentieel”, schrijft de minister.

“Vele besturen agenderen het onderwerp, bespreken het intern en treffen maatregelen om het bewustzijn over cyberrisico’s te vergroten. Het is daarbij van belang dat bestuurders hier zowel op centraal (instellings-)niveau als op decentraal niveau (faculteits- of opleidingsniveau) aandacht voor vragen en een open en veilige cultuur bevorderen waarin medewerkers zich vrij voelen om niet alleen incidenten, maar ook (potentiële) risico’s proactief te melden, zodat op dreigende risico’s adequaat kan worden gereageerd.”

Om ervoor te zorgen dat alle onderwijsinstellingen in alle lagen maatregelen treffen om het bewustzijn van medewerkers te vergroten, gaat de minister afspraken maken.

2022 plan van aanpak

Minister Van Engelshoven streeft ernaar om in het eerste kwartaal van 2022 met de onderwijssectoren een plan van aanpak te formuleren. Samen met de koepelorganisaties wil ze dit najaar afspraken maken hoe onderwijsinstellingen dit gaan aanpakken. De bewindsvrouw gaat onder andere een overzicht maken van de financiële, personele en technische vereisten en bepalen wanneer welke instelling aangesloten kan zijn op een SOC.

Vorige week schreef de minister dat de mbo-sector goed is voorbereid op cyberaanvallen. Op schriftelijke vragen van D66 zei de bewindsvrouw dat mbo-instellingen ‘een hecht netwerk’ vormen op het gebied van informatiebeveiliging. “Binnen dit netwerk wordt kennis gedeeld en worden gemeenschappelijke activiteiten georganiseerd”, aldus Van Engelshoven. Verder werken mbo-scholen nauw samen met SURF, maken dankbaar gebruik van diverse diensten van de onderwijsadviesinstantie, nemen ieder jaar deel aan de benchmark IBP-E en iedere twee jaar aan de cybercrisisoefening OZON.

Digitale Weerbaarheid In Het Hoger Onderwijs En Onderzoek En In Het Middelbaar Beroepsonderwijs
PDF – 224,2 KB 170 downloads

Bron: tweedekamer.nl, vpngids.nl

Onderwijs gerelateerde artikelen 》

Bekijk alle vormen en begrippen 》

Actuele aanvallen overzicht per dag 》

Ernstige kwetsbaarheden 》

Tips of verdachte activiteiten gezien? Meld het hier.

Meer nieuws

Telegram laagdrempeling alternatief voor het darkweb

De chatdienst Telegram wordt sinds de coronapandemie steeds vaker door criminelen gebruikt voor het verspreiden van illegaal beeldmateriaal zoals sexvideo’s en kinderporno. Dit ontdekte het onderzoeksteam van KPN security toen zij negentig dagen meekeken in meer dan 100 kanalen van de populaire chatdienst.

Lees meer »

Stelling: Het gebruik van wachtwoorden is een verouderde beveiligingstechniek die zijn langste tijd heeft gehad

Iedere seconde vinden er ergens ter wereld wel nieuwe pogingen plaats van cybercriminelen om websites, diensten, bedrijven of consumenten te hacken. Niet geheel onverwachts is er dus ook een toenemende kans op gelekte wachtwoorden, waardoor cybercriminelen eenvoudig toegang tot bedrijfsgegevens krijgen, aldus Beyond Identity, een leverancier van wachtwoordloze oplossingen voor identiteitsbeheer. Vorige maand meldde CyberNews dat er een bestand met de naam 'RockYou2021.txt' op een populair hackersforum is gezet. Daarbij gaat het om een verzameling van 8,4 miljard wereldwijd gelekte wachtwoorden. Ook in Nederland is het lekken van wachtwoorden schering en inslag.

Lees meer »

De belangrijkste cyberdreigingen voor Industrial Control Systems

Het beveiligen van industriële beheersystemen (Industrial Control Systems / ICS) is van vitaal belang. Onder meer de beveiliging van endpoints, de systemen waarop eindgebruikers vertrouwen, moet hierbij voldoende krijgen. In een rapport waarschuwt Trend Micro voor de risico’s en zet de belangrijkste dreigingen op een rijtje.

Lees meer »

10 jaar Cybersecuritybeeld Nederland: basis beveiligingsmaatregelen nog altijd niet op orde

Al tien jaar publiceert de overheid het Cybersecuritybeeld Nederland (CSBN) waarin cyberdreigingen en de kwetsbaarheid van de Nederlandse digitale infrastructuur centraal staan. De boodschap is al die tijd nagenoeg niet veranderd, en dat is dat organisaties basale beveiligingsmaatregelen nog altijd niet op orde hebben. Er ontstaat echter een kloof tussen bedrijven die wel en niet digitaal weerbaar zijn, zo laat de Nationaal Coördinator Terrorismebestrijding (NCTV) weten.

Lees meer »

Overzicht cyberaanvallen week 29-2021

Ransomware-aanval op hostingprovider Cloudstar raakt honderden bedrijven, DDoS aanval legt GGD-sites voor test- en prikafspraken opnieuw plat en veel slachtoffers van ransomware beschikken over betrouwbare back-ups. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Lees meer »