Wijzelf als Belgische basisschool zijn ook al benaderd.
Ikzelf stel me vooral de vraag in hoeverre dergelijke zaken te verzekeren zijn. Gevolgschade door specialisten inhuren, waarop de verzekering dan tussenkomt voor de gemaakte kost, kan eventueel wel lijkt me..
Maar op reputatieschade staat geen prijs...

Waar ik wel hevige voorvechter van ben is cybersecurity implementeren in de scholen. Er is in de meeste scholen geen geld voor beveiliging, amper anti virussoftware, meestal geen firewall. Meestal hebben scholen ook oudere hardware. Bij ons in katholiek onderwijs zelfs computers van 10 jaar oud met ongepatchte systemen...
Budget zal moeten vrijgemaakt worden willen scholen gevrijwaard blijven, of een poging tot vrijwaring.

Een cybersecurity verzekering is zinvol voor dekken van gevolgschade. Reputatieschade is te beperken door de juiste beheersmaatregelen te treffen zoals ISO27001 certificering. Hiermee kun je bij cybersecurity schade aantonen dat je er 'alles' aan hebt gedaan eventuele schade tot een minimum te beperken.

De scholen in België en Nederland verschillen nogal van elkaar als je het hebt over informatiebeveiliging. Dat is in Nederland niet perfect, maar aanzienlijk beter geregeld dan in België.

Waarom niet beiden? Zowel een cyberspecialist als een verzekering?

Je hebt die cyberspecialist toch nodig om te voldoen aan alle extra eisen van de cyberriskverzekering. Als je iets verkeerd hebt gedaan in hun ogen keren ze namelijk niet uit.

Wanneer ik de situatie zo lees, dan maak ik mij ernstig zorgen. Verouderde, ongepatchte software is ongeacht het OS altijd gevaarlijk. Laat de verantwoordelijken eens nadenken, of zij willen telebankieren op 1 van die systemen. Zo niet, dan zijn ze ook niet geschikt voor het gebruik door leerlingen, aangezien dan persoonlijke gegevens makkelijk kunnen uitlekken. Nog afgezien van het door derden onbruikbaar gemaakt worden. En een verzekering dekt de kosten niet, want ze zijn niet als door een goed huisvader beheerd.

Als specialist in de IT beveiliging zou ik voor scholen pleiten om goede, onafhankelijke IT expertise in te schakelen, omdat zodra de privégegevens van leerlingen, docenten en de leden van de ouderraad op straat komen te liggen, of de zaak is gegijzeld, de reputatie van de school is beschadigd. Een cyberverzekering is hoogstens nuttig om de kosten te dekken om na een inbraak het netwerk weer geheel vanaf de grond opnieuw op te kunnen bouwen, maar dan is het kwaad al geschied. Wie weet kunt u, als u aantoonbaar minder risico loopt, omdat u expertise in huis heeft gehaald, een lagere premie bedingen. Het nut van een cyberverzekering is echter omstreden, omdat het, als het uitlekt dat u die heeft, juist ook een gijzeling zou kunnen uitlokken. De afperser kan er dan van uit gaan dat uw school het geld op kan hoesten.

Dus dan heb je aan een cyberspecialist genoeg en is de verzekering overbodig. Wel onder voorbehoud dat deze specialist ook de middelen krijgt die nodig zijn en niet een sluitpost op de begroting is.

Hierover is op deze site al eerder geschreven:

https://www.security.nl/posting/720339/Verzekeraar+ziet+claims+door+ransomware-aanvallen+sterk+toenemen
https://www.security.nl/posting/719732/RTL+Nederland+mogelijk+getroffen+door+ransomware-aanval
https://www.security.nl/posting/715255/Securitybedrijven+luiden+noodklok+over+ransomware-incidenten+in+Nederland
https://www.security.nl/posting/642572/Fox-IT+rapport+Maastricht

Niet alleen meer budget is het antwoord, maar ook onderwijs in "privacy by design" en "cybersecurity by design". Hoe leuk zou het zijn om wiskunde-lessen te verlevendigen met lesonderdelen over encryptie. Of tijdens economie-lessen in te zoomen op verdienmodellen van proprietaire en open-source software?

Het gevaar van uitsluitend meer budget zit hem in het verder vastlopen in de vendor-lock-in fuik. Want meer van hetzelfde, dus aanschaf van meer virus-scanners en moderne hardware, helpen niet bij de recente Printer-spooler-nightmare en de Exchange-kwetsbaarheden. En meer budget is niet snel beschikbaar.

Wat je nu direct zelf kan doen is een backup van de belangrijke gegevens (financien, leerlingvolgsysteem, uitgewerkte lesmethoden zoals lesstof en proefwerken) maken op een Linux-server.

Waarom? Windows kan geen gegevens lezen van een Linux-systeem want dat gebruikt "ext4" als bestandssysteem. Terwijl Linux wel de gegevens kan lezen en schrijven op een Windows-systeem dat gebruik maakt van een fat32 of ntfs bestandssysteem. Linux is dus een "safe haven" waar Windows-malware niet bij kan komen.
Dat zorgt er dus voor dat Windows-malware (virussen, ransomware) niet de backup op een Linux-systeem kan lezen of schrijven.
Bij de Universiteit Maastricht heeft dat goed gewerkt: de kroonjuwelen waren veilig.

Wat is daarvoor nodig: een (oude) PC of laptop, en de onderstaande handleiding:
https://makkelijkelinuxtips.blogspot.com/p/2.html

Je kunt dus zelf een backup-kluis maken voor de kroonjuwelen. Onzichtbaar en onkraakbaar voor de criminelen. Je voorkomt een inbraak in je huis (schoolnetwerk) er niet mee, maar wel dat de criminelen er met de buit vandoor gaan.

Volgens mij zijn er diverse scholen in met name Wallonie die al gebruik maken van Linux.
En er zijn vast ook leraren die experimenteren met RaspberryPi of soortgelijke projecten, misschien wel op je eigen school. Die kunnen je verder helpen. Of stel je (vervolg)vragen op dit forum.

Niet lang meer. Ik vond gemakkelijk het volgende met Google:
https://devblogs.microsoft.com/commandline/access-linux-filesystems-in-windows-and-wsl-2/

ext4 gebruiken als onkraakbare kluis is een duidelijk geval van security by obscurity.

"Niet lang meer" .... je bedoelt Windows 11 kan wel ext4 lezen, maar die versie draait in het onderwijs nu niet. De releasedatum is oktober 2021 als OEM dus voor nieuwe machines, en mogelijke updates vanaf (compatibele) Windows 10 midden 2022. En of huidige systemen compatibel zijn met Windows 11 is maar de vraag:
Voor Windows 11 is namelijk (zeer) recente hardware nodig, omdat TPM 2.0 (trusted platform module) verplicht wordt, dus ook al komt Windows 11 op de markt, dan nog kunnen veel huidige CPU's niet aan de "Windows 11 PC Health Check" voldoen. Dat staat hier beschreven:

Dus voorlopig kunnen Windows systemen ext4 bestandssystemen niet lezen. Nog niet, daar heb je gelijk in, en dat vind ik een goede ontwikkeling. Overigens zitten er ook "limitations" aan het gebruik van zoals beschreven in deze link:
Dus tegen de tijd dat scholen wel nieuwe hardware hebben aangeschaft en ook Windows 11 draaien, zou een backup van de kroonjuwelen op een Linux-partitie op de boot drive gezet kunnen worden, dichtbij en toch onbereikbaar voor Windows-malware.
Tot die tijd is een backup op een oude PC of laptop met een Linux-OS een prima alternatief dat snel, in eigen beheer en tegen lage kosten kan worden uitgevoerd. Komt Windows 11 op het schoolnetwerk in beeld, dan kan de backup van de oude laptop worden overgezet op de bootdrive van het schoolsysteem.

"Security by (or through) obscurity" is in de encryptie een heel slecht principe. Je weet namelijk nooit of je vijand het systeem al heeft bemachtigd. Ik heb op dit forum al vaker Auguste Kerckhoff's principe aangehaald: "De vijand mag het systeem weten, maar nooit de sleutel".
https://nl.wikipedia.org/wiki/Principe_van_Kerckhoffs
Dus dat ben ik helemaal met je eens. Het ontbreken van "Security by obscurity" is ook een belangrijk pluspunt van open source software boven closed source (proprietaire) software.

Maar als het om een backup gaat vind ik een copie van de kroonjuwelen op een Linux-systeem goed passen in de 3-2-1 regel, die ook door het NCSC (Nationaal Cyber Security Centrum) en het Belgische CERT-BE worden aanbevolen.

Overigens hoop ik dat de TS en de collega van 13:01 iets hebben aan dit document van het NCSC, ook al is het alleen maar om een goede afweging te kunnen maken.

Hebben we meermaals met de top van de koepel en het ministerie besproken. er komt dan we wat geld vrij... maar absoluut niet voldoende om nieuw materiaal aan te schaffen... voor een laptop hebben wij bv een budget van 265 euro. Een chromebook kan nog wel, En daarbovenop komen nog eens de werkingsuren van en ict coördinator. ikzelf krijg 4 uur per week voor het hele ict gebeuren. Voor een school van 300 leerlingen en een 30 tal leerkrachten.

Daar kun je grote vraagtekens bij zetten. Het is hetzelfde als zeggen dat de brandweer je huis beoordeelt op brandveiligheid, om vervolgens geen inboedelverzekering af te sluiten.

Het afsluiten van een cyberverzekering is een vak apart en is niet iets dat je even tussen neus en lippen door doet. Er komt veel onderzoek bij kijken. Ik weet niet of iemand in de organisatie lid is van (ISC)2, maar de cursus "Navigating cyber insurance", die te volgen is via https://learn.isc2.org/ geeft een aardig (beginners)inkijkje in de wereld van cyberverzekeringen. Hoewel er op internet ook de nodige informatie is te vinden die in lekentaal uitlegt welke stappen doorlopen moeten worden bij het afsluiten van een cyberverzekering (zie b.v. https://cyberinsureone.com/small-business-insurance/checklist/), geeft deze cursus in een rustig tempo aan waar je op moet letten om in ieder geval niet overrompeld te worden door de tegenpartij.

Aspecten waar je tegenaan gaat lopen en waar je duidelijkheid over moet krijgen zijn o.a.:

- First-party cyber insurance en third-party cyber insurance verschillen. First-party cyber insurance dekt de schade die de organisatie zelf oploopt na een incident; third-party cyber insurance dekt de kosten voor derde partijen die geraakt worden door het incident. De tekst hierboven "Een cyberverzekering is hoogstens nuttig om de kosten te dekken om na een inbraak het netwerk weer geheel vanaf de grond opnieuw op te kunnen bouwen, maar dan is het kwaad al geschied." vereist wat nuance.
- De specifieke aspecten van een verzekering (DICED):
+ Declarations: welke entiteiten vallen precies onder de dekking?
+ Insuring agreement: welke events vallen precies in scope? Malware uitbraken? Defacements? Ransomware? Datadiefstal? Iets anders?
+ Conditions: de verplichtingen van de verzekeraar en de verzekerden voor, tijdens en na een incident.
+ Exclusions: wat wordt niet gedekt door een verzekering? Hoe meer je betaalt, hoe meer dekking, maar ja, geld groeit helaas niet aan een boom. Denk aan:
* Dekking tot een maximum bedrag (per keer?) met een eigen risico. Je zult eerst een risk assessment uit moeten voeren op je assets, want wat is dat bedrag voor jullie?
* Dekking voor niet-versleutelde data. Als je alles plaintext opslaat, dan kan een verzekeraar dwars gaan liggen bij uitbetalen.
* Dekking voor fysieke documenten. Ben je alleen geïnteresseerd in electronische zaken?
* Dekking bij negligence. Als ik hierboven lees over ongepatchte systemen, ben er dan niet zeker van dat een verzekeraar uitbetaalt bij een incident.
* Dekking bij specifieke beperkingen die zijn afgesproken.
* Dekking voor kosten die je maakt om oude software die EoL is te vervangen.
* ...
+ Definitions and provisions: definities wat waar onder wordt verstaan etc.

- Valkuilen waar je op moet letten. Zie b.v. ook https://www.rmmagazine.com/articles/article/2020/04/01/-What%27s-in-a-Word-The-Hidden-Pitfalls-of-Cyber-Insurance-Policy-Language-. Dat is ook de reden dat ik aangaf dat je dit zeker niet zelf moet doen! Jurisprudentie omtrent uitbetalingen gaat ook een rol spelen (zie b.v. https://www.itgovernance.co.uk/blog/an-act-of-war-zurich-american-refuses-to-pay-out-on-cyber-insurance-policy-following-notpetya-attack, waardoor het inschakelen van een jurist zeer is aan te raden.
- Vragen die je als organisatie dient te stellen wanneer je een verzekering wilt afsluiten. Zie https://1drv.ms/b/s!AgAJHMI2tjFh60EX7ehhA4_9OOWZ?e=HEhoDT voor een lijst met voorbeeldvragen die in de (ISC)2 cursus werd gegeven. Zoeken via je favoriete zoekmachine op "cyber security checklist" helpt je nog veel verder.
- De dekking die je misschien al hebt als onderdeel van een bestaande verzekering. Let erop dat die dekking meestal zeer beperkt is.

Kortom, het afsluiten van een verzekering is niet iets dat je even doet. Als ik de juristen die we hier rond hebben lopen hoor over dit onderwerp, dan ben ik soms ook met mijn oren aan het klapperen. Moraal van het verhaal: niet zomaar wat aanklooien en gedegen advies inwinnen voordat je besluit een verzekering af te sluiten. Het gevaar van een verzekeraar die wel premie int maar niet uitbetaalt bij een incident ligt op de loer.

Terechte opmerkingen, maar wel een beetje laat .....
En graag boter bij de vis. Praatjes vullen geen gaatjes. Maak als overheid een goed plan waar alle scholen (onderwijsinstellingen) baat bij hebben. Zorg voor een (centraal) SIEM. Ontwikkel schoolsoftware zelf.

https://nos.nl/artikel/2398399-overheid-in-actie-tegen-betalen-van-losgeld-aan-ransomware-criminelen

Dan ligt het er aan hoeveel die verzekering kost. Je kan een goede security specialiset hebben, zelfs een uitstekende. Maar als hij drie weken op vakantie is en er een zero-day lek openbaar word, of hij iets over het hoofd heeft gezien, of er iets anders gebeurd waarop hij geen invloed heeft, of iets vergeten is op een van de zoveel duizend systemen waar leerlingen van alles induwen, opklikken, en proberen te slopen, dan kun je best wel zo'n verzekering aflsuiten. Waarom niet als de prijzen redelijk zijn.

Men moet eens gaan beseffen dat digitalisering van alles niet alleen maar geld bespaard en daarmee klaar. Het digitaliseren kost ook geld. En de beveiliging en in dit geval ook de verzekering daarvan is gewoon onderdeel daarvan. Managers moeten af van de zo goedkoopst mogelijke ICT oplossing nemen die zo veel mogelijk kostenbeparing oplevert.

In veel gevallen is het namelijk niet eens de schuld van de automatiseringsafdeling als er een hack plaats vind, maar simpelweg de eisen die aan hen gesteld worden (extra functionaliteit, zo snel mogelijk, en de beveiliging "komt later wel", zorg eerst maar dat het werkt) en de tijd en het budget dat zij daarvoor krijgen.

Als hij echt goed is heeft hij/zij/hen ervoor gezorgt dat er een goede backup strategie is. Daarnaast heeft degene duidelijk vastgelegd wat de procedures zijn bij een eventuele hack. Deze procedures zijn uiteraard toegankelijk voor iemand van de school. En de specialist kan telefonisch vast wel assisteren (heb ikzelf ook al eens moeten doen vanuit het buitenland). En als de nood echt aan de man is, breekt de specialist zijn vakantie maar af (klinkt een beetje bot, en dat is het ook, maar is wel een mogelijkheid).

Wat gaat een verzekering doen als je gehackt bent dan? Gaat die verzekering je backups terugzetten? Vast niet, en dus heb je weer die specialist nodig. En dus is die verzekering weggegooid geld dat beter besteed kan worden.


Ja helemaal mee eens.

Budget voor een laptop 265€, en 4u/week voor een beheerder?
Dit lijkt op een recept voor een ramp, “waarvan je weet dat die komen gaat”.

Ik denk dat er misschien wel budget is voor het hosten van de school-website? Is er overwogen om BYOD te faciliteren? Bring-your-own-device, waardoor er op aanschafkosten kan worden bespaard? Of moeten alle leerlingen van school uit worden voorzien van een door de school gestandaardiseerde en ondersteunde laptop? Dus vergelijkbaar met de gebruikte boeken en ander lesmateriaal?

Is er overwogen om bijvoorbeeld een open-source ELO electronische leeromgeving te installeren? Een overzicht van diverse ELO systemen:
https://nl.wikipedia.org/wiki/Elektronische_leeromgeving

Zoals Moodle bijvoorbeeld?
https://nl.wikipedia.org/wiki/Moodle

Moodle wordt veel gebruikt:
In Nederland bijvoorbeeld het Barlaeus Gymnasium Amsterdam, 't Hooghe Landt Amersfoort, Hogeschool Amsterdam, Hogeschool Utrecht, Hogeschool Rotterdam (om een paar te noemen).
En voor Belgie: https://stats.moodle.org/sites/index.php?country=BE
Het lijkt mij dus goed mogelijk om contact op te nemen met een Moodle-beheerder om te vragen hoe het allemaal werkt en bevalt in de praktijk. Het wiel hoef je niet opnieuw uit te vinden toch?

Als kwaadaardige verzekeraar/verzekeringsagent zou ik een aanval op een onverzekerde school openen en kort daarna een aantrekkelijke offerte aan die school voor een cybersecurityverzekering aanbieden.