Het onderwijs loopt niet alleen een groot risico op financiële schade, maar ook de continuïteit van lesgeven loopt gevaar. Er zijn ook andere vervelende gevolgen voor leerlingen/ouders/verzorgers en medewerkers, zodra persoonsgegevens op straat liggen, bijvoorbeeld door het ontvangen van phishing mails, valse facturen, en de kans op stigmatisering.
De wet voor invoering van het normenkader IBP komt er aan. Het bestuur heeft echter nu al bestuurlijke verantwoording, omdat het normenkader is gebaseerd op de AVG uit 2018 en de WBP uit 2016. Niet investeren in moderne maatregelen is moeilijk te verantwoorden.
Stap 1 - Apparaat besmetten, bv door
Stap 2 - Zoek op het besmette apparaat naar local adminrechten (dan kan daarna elk apparaat worden overgenomen). Maatregel: bv Defender antivirus en LAPS
Stap 3 - Netwerkscan door besmet apparaat naar andere laptops en services (bv printer, beheerservers, domainservers). Maatregel: honeypots en automatische netwerkisolatie
Stap 4 - Backup onklaar maken. Maatregel: ‘unmutable’ externe backup
Stap 5 - Alle data stelen (maatregel: data-classificatie en DLP-policies (data loss prevention)
Stap 6 - Na bv 5 maanden alles versleutelen en losgeld eisen en data verkopen via dark web
De aanpak bestaat uit een aantal organisatorische en technische maatregelen, die in het andere blogartikel over aanpak cybersecurityrisico's via normenkader IBP wordt gedetailleerd. De organisatorische maatregelen zitten vooral in het regelmatig bewust maken van de privacyrisiso's en maatregelen voor zowel medewerkers als leerlingen met bijvoorbeeld phishingtraining en aanvalssimullaties. Er zal echter altijd wel iemand zijn die op een malware link of bijlage klikt en dat is het begin van het scanproces om de hele organisatie te gijzelen. Samengevat zijn de belangrijkste normenkadermaatregelen (4 van de 96):
CIOforum.nl moet het voor bijna 100% hebben van referenties. U kunt CIOforum helpen door te kijken in uw netwerk naar directeuren, eigenaars en bestuurders van organisaties vanaf ongeveer 100 personen met AVG-vraagstukken of IT-audits.
U wordt van harte uitgenodigd om dit artikel met hen te delen.
Robert Zondervan
Gecertificeerde Functionaris voor de Gegevensbescherming
met diensten voor de kinderopvang en scholen
rzondervan@cioforum.nl
CIOforum
Onafhankelijk IT-advies
ICT Quick Scans - Beoordelen van IT-investeringen
Plaats bericht