Risico's voor de continuïteit van het lesgeven en de verplichte maatregelen uit het normenkader Informatiebeveiliging en Privacy (IBP)

12-07-2024

Checklijst risico’s versus vereiste investeringen voor Informatiebeveiliging en Privacy (IBP)

Het onderwijs loopt niet alleen een groot risico op financiële schade, maar ook de continuïteit van lesgeven loopt gevaar. Er zijn ook andere vervelende gevolgen voor leerlingen/ouders/verzorgers en medewerkers, zodra persoonsgegevens op straat liggen, bijvoorbeeld door het ontvangen van phishing mails, valse facturen, en de kans op stigmatisering.

Voorbeelden van urgentie voor maatregelen

  • Afgelopen jaren waren er claims bij Nederlandse scholen van bijvoorbeeld 2 miljoen euro bij OSG Hengelo, UM, ROC Mondriaan en UvA.
  • Microsoft heeft wereldwijd gemeten dat 60% van de aanvallen op het onderwijs gericht is, omdat zij het slechtst beveiligd zijn.
  • Het IT-budget in het onderwijs is slechts 5% in plaats van het zakelijke gemiddelde van 25%.
  • De kans op een brand is 1:8.000, de kans op een inbraak is 1:250 en de kans op een cyberaanval is 1:5 voor bedrijven. Daarnaast is de gemiddelde schade per incident inmiddels gestegen: van € 184.000,- naar € 300.000,-.
  • De zwaksten zijn het interessants voor aanvallen met gijzelsoftware. Klein zijn heeft geen invloed. Gemiddeld wordt 2% van de omzet als losgeld geëist en data wordt toch op het dark web verkocht.

Bestuurders pas op

De wet voor invoering van het normenkader IBP komt er aan. Het bestuur heeft echter nu al bestuurlijke verantwoording, omdat het normenkader is gebaseerd op de AVG uit 2018 en de WBP uit 2016. Niet investeren in moderne maatregelen is moeilijk te verantwoorden.

Hoe word je slachtoffer van gijzelsoftware en hoe kun je het voorkomen?

Stap 1 - Apparaat besmetten, bv door

  • Klikken op een phishingbericht (maatregel: leermodule en trainingsmails)
  • Klikken op een besmette website of downloaden van besmette documenten/programma’s (bestaande maatregel: bv Defender antivirus)

Stap 2 - Zoek op het besmette apparaat naar local adminrechten (dan kan daarna elk apparaat worden overgenomen). Maatregel: bv Defender antivirus en LAPS
Stap 3 - Netwerkscan door besmet apparaat naar andere laptops en services (bv printer, beheerservers, domainservers). Maatregel: honeypots en automatische netwerkisolatie
Stap 4 - Backup onklaar maken. Maatregel: ‘unmutable’ externe backup
Stap 5 - Alle data stelen (maatregel: data-classificatie en DLP-policies (data loss prevention)
Stap 6 - Na bv 5 maanden alles versleutelen en losgeld eisen en data verkopen via dark web

Aanpak

De aanpak bestaat uit een aantal organisatorische en technische maatregelen, die in het andere blogartikel over aanpak cybersecurityrisico's via normenkader IBP wordt gedetailleerd. De organisatorische maatregelen zitten vooral in het regelmatig bewust maken van de privacyrisiso's en maatregelen voor zowel medewerkers als leerlingen met bijvoorbeeld phishingtraining en aanvalssimullaties. Er zal echter altijd wel iemand zijn die op een malware link of bijlage klikt en dat is het begin van het scanproces om de hele organisatie te gijzelen. Samengevat zijn de belangrijkste normenkadermaatregelen (4 van de 96):

  • Phishing-training en testaanvallen
  • Herkennen van scannende werkplekken en die automatisch isoleren
  • Een periodieke penetratietest, die verder gaat dan het netwerk, maar ook de bijvoorbeeld de Microsoft 365 policies controleert.
  • Een periodieke dienst van bijvoorbeeld een Microsoft security specialist, die de adviezen uit de pentest implementeert.
  • Les over wachtwoordbeheer en 2-factor authenticatie voor leerlingen plus de daadwerkelijke invoernig daarvan (de medewerkers hebben dat hopelijk al)

Hoe kunnen we elkaar helpen?

CIOforum.nl moet het voor bijna 100% hebben van referenties. U kunt CIOforum helpen door te kijken in uw netwerk naar directeuren, eigenaars en bestuurders van organisaties vanaf ongeveer 100 personen met AVG-vraagstukken of IT-audits.

U wordt van harte uitgenodigd om dit artikel met hen te delen.

http://www.cioforum.nl/site/assets/files/1148/social_media_foto_-_rzondervan_-_25procent.png

Robert Zondervan
Gecertificeerde Functionaris voor de Gegevensbescherming
met diensten voor de kinderopvang en scholen
​rzondervan@cioforum.nl
CIOforum
Onafhankelijk IT-advies
ICT Quick Scans - Beoordelen van IT-investeringen

Plaats bericht