Wordt het niet tijd voor een baseline informatiebeveiliging voor het onderwijs?

De overheid (rijk, gemeenten, provincies en waterschappen) heeft de Baseline Informatiebeveiliging overheid (BIO) waaraan iedere overheidsorganisatie gebonden is. De zorg heeft de NEN 7510, 7512, 7513 en 7516 die dwingend zijn voorgeschreven. Maar voor het onderwijs is er nog steeds geen algemeen voorgeschreven norm op het gebied van informatiebeveiliging. Dat terwijl de risico’s alleen maar toenemen.
 

Ransomware trekt de aandacht

Een ontwikkeling op dit vlak die op dit moment veel aandacht trekt is ransomware. Terecht, want uit onderzoek van Microsoft’s Security Intelligence bleek dat 60% van de ransomware aanvallen wereldwijd gericht is op het onderwijs. En bijna dagelijks vallen er slachtoffers: het Staring College in Lochem en Brunsum, Stichting Limburgs Voortgezet Onderwijs, de Radboud Universiteit, de Universiteit van Amsterdam, Hogeschool in Holland, de Universiteit van Maastricht. Zo maar een paar voorbeelden.
 
En dit zijn dan degenen die de pers hebben gehaald. Uit een recent artikel in het AD blijkt dat veel instellingen die door ransomware worden getroffen dit proberen stil te houden en snel het losgeld betalen. Waarmee zij feitelijk investeren in versterking van de hacker industrie die in ieder geval een deel van het losgeld investeert in versterking van de eigen organisatie.
 

Maar er is meer

Logisch dat ransomware op dit moment de aandacht trekt. De dreiging is reëel, het risico dat je er door getroffen wordt neemt dagelijks toe en de impact op de organisatie is groot. Het kost geld, je imago loopt een deuk op en als je pech hebt of principieel bent zit je weken zonder data. En dat in een tijdperk dat alles om data en privacy draait.
 
Maar ransomware is niet de enige bedreiging als het om informatiebeveiliging gaat. Bij informatiebeveiliging gaat het om de beschikbaarheid, vertrouwelijkheid en betrouwbaarheid van data. Met persoonsgegevens en privacy als specifiek aandachtsgebied. Afgezien van ransomware en andere vormen van malware (denk aan virussen, wormen, trojaanse paarden en spyware) zijn er ook andere bedreigingen op het gebied van beschikbaarheid, vertrouwelijkheid en/of betrouwbaarheid van data. Zowel extern als intern.
 
Zoals ik in een eerdere blog al meldde blijkt uit onderzoek van de Autoriteit Persoonsgegevens dat meer dan 60% van de datalekken terug te voeren is op een verkeerd geadresseerde e-mail. Een onbewuste handeling van een medewerker. Maar ook wanneer er een PC wordt gestolen van een medewerker die thuis werkt en bestanden heeft gedownload, of wanneer leerlingen beslag weten te leggen op de inloggegevens van een docent en hun cijfers aanpassen in het LVS, is de informatiebeveiliging en al dan niet de privacy van medewerkers en/of leerlingen in het geding.
 

Pleidooi voor ISO 27001/27002 als leidraad

Juist omdat de bedreigingen zo breed zijn is het goed om het vraagstuk informatiebeveiliging en privacy breed op te pakken. In de ISO 27001/27002 komen alle elementen die van belang zijn op het gebied van informatiebeveiliging en privacy aan de orde. Van de beveiliging van het datanetwerk tot de fysieke beveiliging van panden, van het werken aan bewustwording van medewerkers (de zwakste schakel) tot beleid op het gebied van telewerken, van encryptie tot een met de inrichting van een PDCA-cyclus voor informatiebeveiliging.
De Nederlandse overheid en de zorg hebben deze norm vertaald naar hun eigen werkveld en op basis hiervan een norm vastgesteld die voor hun sector bindend is voorgeschreven. Voor de overheid (rijk, provincies, gemeenten en waterschappen) is dit de Baseline informatiebeveiliging overheid) en voor de zorg de NEN 7510.
 
Mijns inziens zou het een goede stap zijn wanneer ook het onderwijs de ISO 27001/27002 als leidraad gaat hanteren. Ik merk in de praktijk dat zeker in het PO en VO informatiebeveiliging en privacy in veel geval nog incident gedreven is. Want hoeveel onderwijs-organisaties hebben een beleidsplan Informatiebeveiliging en privacy, een meerjarig Informatiebeveiligingsplan en een bijbehorende beheerorganisatie? Ik kom ze niet zo heel veel tegen.
 
Bindend voorschrijven van een norm (baseline) die voor iedereen geldt is wellicht (nog) niet de weg. Als je de AVG leest, en iedereen zou deze consequent naleven, dan zou deze blog nooit geschreven zijn.
Informatiebeveiliging is ook iets van het inschatten van risico’s en impact. Organisaties kunnen daarin verschillende zienswijzen hebben en daarmee tot verschillende conclusies komen. De één heeft hele goede redenen om op een bepaald vlak net iets minder te doen dan aangegeven in de ISO 27001, de ander heeft juist goede redenen om iets extra te doen. Sowieso zijn de risico’s voor een PO-instellingen in een aantal opzichten heel anders dan voor MBO, HBO of WO-instelling.
 
Waar het vooral om gaat is dat iedereen zich bewust is van de noodzaak van een structurele en integrale aanpak en hier tijd en budget voor vrijmaakt. De ISO 27001 kan hierbij een handig hulpmiddel zijn. Alleen het uitvoeren van een nulmeting met een interdisciplinaire groep op basis van de norm kan al tot nuttige inzichten leiden. Bijvoorbeeld ten aanzien van nut en noodzaak van een procedure indienst- en uitdiensttreding.
Auteur: Bert van de Bovenkamp