image

Minister wil verplichte externe audits en SOC-aansluiting voor het onderwijs

dinsdag 28 september 2021, 12:12 door Redactie, 14 reacties

Om de digitale weerbaarheid van het Nederlandse onderwijs te vergroten moet elke onderwijsinstelling in het middelbaar en hoger onderwijs worden aangesloten op een Security Operations Center (SOC) en de eigen informatiebeveiliging periodiek door een externe partij laten auditen. Dat wil demissionair minister Van Engelshoven van Onderwijs.

De minister reageert op een rapport van de Onderwijsinspectie dat naar aanleiding van de ransomware-aanval op de Universiteit Maastricht werd uitgevoerd. "De Inspectie concludeert dat er op het gebied van cyberveiligheid in het hoger onderwijs veel gebeurt, maar er zeker nog belangrijke stappen nodig zijn om de digitale weerbaarheid te vergroten", aldus Van Engelshoven.

De minister stelt dat er binnen het onderwijs al stappen zijn gezet, maar ook aanvullende maatregelen nodig zijn. "Kernelementen zijn dat elke instelling in het MBO en HO aan een vooraf afgesproken streefdoel voldoet, dat elke instelling wordt aangesloten op een mechanisme om 24/7 dreigingen te monitoren en dat elke instelling zich periodiek (ook) extern laat auditen", schrijft ze in een brief aan de Tweede Kamer. Van Engelshoven wil in het eerste kwartaal van volgend jaar met de sectoren een plan van aanpak hebben opgesteld met een kalender wanneer dit voor elke instelling gerealiseerd kan zijn.

Met het mechanisme om 24/7 dreigingen te monitoren doelt de minister op een Security Operations Center. "Cruciaal is het opzetten van een gezamenlijk Security Operations Center onder SURF. Een belangrijk onderdeel van dit SOC is de 24/7 monitoring van netwerken en signalering van dreigingen om cyberincidenten te voorkomen."

Daarnaast schrijft ze in de brief dat onderwijsinstellingen de basismaatregelen moeten implementeren, zoals het toepassen van multifactorauthenticatie, het segmenteren van netwerken, het regelmatig maken van back-ups, het testen van systemen en het bepalen van wie toegang heeft tot data en diensten. Uit het onderzoek van de inspectie blijkt namelijk dat een aantal onderwijsinstellingen deze maatregelen nog niet (volledig) toepast.

Bewustzijn en audits

Verder is het volgens Van Engelshoven belangrijk om in te zetten op het vergroten van het bewustzijn. "Het is echter essentieel dat in élke instelling en in alle lagen van de instelling maatregelen worden genomen om medewerkers en studenten bewust te maken van cyberdreigingen. Ik wil daarom afspraken maken zodat elke instelling, groot én klein, bekostigd én onbekostigd, dergelijke maatregelen neemt."

De minister zal dit najaar samen met de onderwijskoepels afspraken maken hoe vooral ook kleinere instellingen en de niet bekostigde instellingen geholpen kunnen worden met maatregelen om het bewustzijn in alle lagen van de instelling te vergroten.

Van Engelshoven schrijft tevens dat ze het belangrijk vindt dat alle instellingen in het hoger en middelbaar beroepsonderwijs, naast het gebruik van eigen, interne audits en zelf-assessments, zich laten toetsen door middel van externe audits. "Het belang van cyberveiligheid op het ongestoord verloop van het onderwijs en onderzoek rechtvaardigt dat. Ik maak daarom dit najaar met de koepels afspraken hoe we audits en monitoring vorm gaan geven en hoe we kunnen verzekeren dat elke instelling periodiek extern geaudit wordt."

Reacties (14)
28-09-2021, 12:27 door Anoniem
Een SOC is de eerste stap op de goede richting.
Nu de rest nog.
28-09-2021, 12:55 door Anoniem
"... informatiebeveiliging periodiek door een externe partij laten auditen."
Als we niet van te voren gaan bepalen hoe informatiebeveiliging op een goede manier is ingericht, dat gaat dit alleen maar gezeur opleveren.
28-09-2021, 13:07 door Anoniem
Nog meer centrale aansturing, nog meer kennis weghalen uit het veld.
Wij willen regeren over de dommen en afhankelijken.
Het SOC regelt allles, u kunt op de werkvloer gewoon blijven blunderen.

De ransomware-baas lacht zich de b*llen uit de broek.
Alle helpdesk opgeleiden worden gamers en de excellenten onder hen gaan in de cybercriminaliteit.
Wel netjes je muis omdraaien, als je klaar bent hoor.
Af en toe een adviesje van Rian R. op de blockchain kan geen kwaad.

Er is iets goed mis in dit land, maar dat is er al sinds de invoering van de Mammoetwet
met de "pretpakketten" zo.

Vooruit ga je lamda-generator toets maken. Wordt cyber-weerbaar. Gebruik reguliere expressies.
Wat een wereld, waarin we zijn komen te leven. Niet met mij eens zeker?

#sockpuppet
28-09-2021, 13:11 door Anoniem
En waar halen de instellingen het geld vandaan?
Vast de "vrijwillige" ouderbijdrage ophogen...
28-09-2021, 13:13 door Anoniem
Als we nou gewoon eens stoppen met dat digi-drammen... Dan heb je al deze problemen niet.
Ik heb nou niet de indruk dat het onderwijs nu beter is dan zeg 20 jaar geleden zeg maar...
28-09-2021, 13:27 door Anoniem
SURF is wat betreft cybersecurity serieus goed op weg. Het zou zeker mooi zijn als het reguliere onderwijs hier ook op gaat aanhaken. Capaciteit zal wel een grote uitdaging worden...
28-09-2021, 14:45 door Anoniem
Door Anoniem: Als we nou gewoon eens stoppen met dat digi-drammen... Dan heb je al deze problemen niet.
Ik heb nou niet de indruk dat het onderwijs nu beter is dan zeg 20 jaar geleden zeg maar...

+1
28-09-2021, 14:46 door _R0N_
Door Anoniem: "... informatiebeveiliging periodiek door een externe partij laten auditen."
Als we niet van te voren gaan bepalen hoe informatiebeveiliging op een goede manier is ingericht, dat gaat dit alleen maar gezeur opleveren.

Gezeur is discussie, discussie zorgt voor nadenken en ontwikkeling.

Prima toch?
28-09-2021, 16:07 door Anoniem
Door _R0N_:
Door Anoniem: "... informatiebeveiliging periodiek door een externe partij laten auditen."
Als we niet van te voren gaan bepalen hoe informatiebeveiliging op een goede manier is ingericht, dat gaat dit alleen maar gezeur opleveren.

Gezeur is discussie, discussie zorgt voor nadenken en ontwikkeling.

Prima toch?

niet elke verandering is een vooruitgang!
28-09-2021, 16:40 door Anoniem
Door Anoniem: SURF is wat betreft cybersecurity serieus goed op weg. Het zou zeker mooi zijn als het reguliere onderwijs hier ook op gaat aanhaken. Capaciteit zal wel een grote uitdaging worden...

Volgens mij dekt SURF toch de doelgroep die genoemd wordt in het stuk: MBO/HO?
28-09-2021, 21:55 door karma4 - Bijgewerkt: 28-09-2021, 21:59
Door Anoniem: Nog meer centrale aansturing, nog meer kennis weghalen uit het veld. Wij willen regeren over de dommen en afhankelijken. ....

Vooruit ga je lamda-generator toets maken. Wordt cyber-weerbaar. Gebruik reguliere expressies.
Wat een wereld, waarin we zijn komen te leven. Niet met mij eens zeker?

#sockpuppet
Niet echt mee oneens. Enkel dat met die mammoet.
Je moet al lang gepensioneerd zijn als je van voor die tijd bent. (1963 als brugklas)

De laatste jaren is alles al uitbesteed en aanbesteed daar kan eennsoc wel bij. Lesprogramma's en studiemateriaal massaal uitrollen is nooit een taak van scholen geweest, ook niet in de oude tijd.
29-09-2021, 00:46 door Anoniem
@ karma4,

Beste karma4,

Zelf meegemaakt dat een HS een jaar security kreeg gedoceerd uit het verkeerde boek
volgens de studenten althans en waarom zou ik aan hun boodschap twijfelen)
en ook een jaar zonder docent security zaten. Het ging hier om een informatica (IT) opleiding.

Dan op hetzelfde instituut worden marketingmensen opgeleid, die niets met de andere opleidingen hebben,
maar wel de bedrijfspolicy wat betreft security beinvloeden (soms negatief - ad-inkomsten prio's).

Je kent mijn argument wel. Die van de hoed en de rand weten nemen de beslissingen niet.
Die het als "last resort issue" beschouwen maken vaak het verschil en betalen later de prijs,
die "immer onder in de zak te vinden valt" (hack, ransomware, data-breach en erger).

Dit gaat ook op voor technische IT, die van wanten weten op front-end en back-end gebied,
gouden jongens en meisjes, maar die ook menig eigengereide CEO en manager tegenover zich weten.

Dus het gaat niet zozeer om de opleidingsstructuren, maar de beslissingsstructuren liggen verkeerd.
Dozen-verkopers en snake-oil-sellers winnen het steeds van inzicht en expertise.

#sockpuppet.
29-09-2021, 09:47 door Anoniem
Door Anoniem: "... informatiebeveiliging periodiek door een externe partij laten auditen."
Als we niet van te voren gaan bepalen hoe informatiebeveiliging op een goede manier is ingericht, dat gaat dit alleen maar gezeur opleveren.

Voor de overheid is dat de BIO, en het onderwijs hanteert de ISO. Deze heeft men tot de norm verheven. Dat zal niet in de ogen van alle stakeholders 'goed' zijn, variërend van te duur tot niet 'goed' genoeg... maar zo is het.
29-09-2021, 11:29 door Anoniem
Goed initiatief punt
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.