Onderwijs krijgt jaarlijks 6 miljoen euro en normenkader voor cybersecurity
Het kabinet gaat jaarlijks zes miljoen euro investeren in de cybersecurity van het primair en voortgezet onderwijs. Ook wordt er een normenkader voor informatiebeveiliging en privacy opgesteld en een Computer Emergency Response Team (CERT) opgericht dat scholen bij incidenten moet helpen. Dat schrijven minister Dijkgraaf van Onderwijs en minister Wiersma voor Primair en Voortgezet Onderwijs in een brief aan de Tweede Kamer.
"Steeds meer gegevens over leerlingen en studenten worden opgeslagen en uitgewisseld. Onderwijsinstellingen en onderzoeksinstellingen zijn in toenemende mate doelwit van cyberaanvallen. Voor instellingen wordt het steeds moeilijker om de privacy van leerlingen en studenten te beschermen tegen digitale dreigingen", aldus de bewindslieden, die toevoegen dat gegevens over leerlingen en studenten op straat kunnen komen te liggen en de continuïteit van het onderwijs in gevaar kan komen wanneer systemen onbereikbaar zijn.
Om de digitale veiligheid van het onderwijs te versterken hebben de ministers daarom verschillende maatregelen aangekondigd. Voor het uitvoeren van deze maatregelen wordt jaarlijks zes miljoen euro in de digitale veiligheid van het primair en voortgezet onderwijs geïnvesteerd. "Dit is een andere aanpak dan voorheen: wij kiezen voor meer centrale regie waarbij we sturen op normen, scholen ondersteunen met raad en daad, en externe audits en sneller optreden het sluitstuk zijn. Alleen dan kunnen schoolbesturen hun verantwoordelijkheid voor informatiebeveiliging, privacy en continuïteit invullen", zo stellen Dijkgraaf en Wiersma.
Normenkader
Een belangrijk onderdeel van de aanpak is het opstellen van een normenkader voor informatiebeveiliging en privacy. "Doordat er nu geen normenkader is, weten scholen niet altijd wat ze moeten doen om hun systemen te beveiligen", zo laten de ministers weten. "Ook privacymaatregelen vergen specialistische juridische kennis die niet op iedere school aanwezig is. Dat zorgt voor verschillen tussen scholen en daarmee ook voor verschillen in de digitale veiligheid van leerlingen. Daar willen we vanaf. "
Op dit moment wordt er gewerkt aan een eerste versie van het normenkader. Begin 2023 zal er vervolgens op basis van het normenkader een nulmeting binnen het onderwijs plaatsvinden. Scholen moeten daarna aan de slag. Om te kijken of scholen aan het kader voldoen zullen er periodiek monitors en benchmarks plaatsvinden. Ook worden schoolbesturen vanaf het schooljaar 2023/2024 verplicht om in hun jaarverslag expliciet aandacht te besteden aan informatiebeveiliging en privacy.
Computer Emergency Response Team
Een andere aankondigde maatregel is het opzetten van een Computer Emergency Response Team (CERT) voor het primair en voortgezet onderwijs. "Het CERT werkt als een ‘digitale brandweer’; het is een meldpunt waar scholen zich kunnen melden wanneer ze met een incident te maken krijgen en dat scholen ondersteunt bij de afhandeling daarvan", zo leggen Dijkgraaf en Wiersma uit. Op dit moment is er in het primair en voortgezet onderwijs nog geen hulp voor scholen bij dreigingen en incidenten. Wanneer het CERT operationeel is zal er ook een meldplicht voor cyberincidenten gaan gelden. Scholen moeten incidenten dan rapporteren.
Volgens de ministers worden met deze maatregelen belangrijke eerste stappen gezet in het borgen van de digitale veiligheid van alle leerlingen in het primair en voortgezet onderwijs. "Voor een integrale en overkoepelende aanpak van digitale veiligheid is nog een verdere verkenning en uitwerking nodig. Te denken valt aan een veilige digitale infrastructuur voor alle scholen met snel en betrouwbaar internet en real-time dreigingsdetectie. We gaan hier de komende tijd mee aan de slag."
Daarnaast zal minimalisatie van de opgeslagen gegevens noodzakelijk zijn. Wanneer gegevens niet meer nodig zijn deze ook daadwerkelijk verwijderen en niet laten staan (volledig verwijderen wanneer de leerling/student de onderwijsinstelling/school verlaat en gegevens die wettelijk langer moeten worden bewaard verwijderen nadat deze periodes zijn verstreken).
Gelul van de bovenste plank. Hanteer 2700x en je komt al een heel eind. Pak de informatie vanuit het NCSC erbij en je hebt genoeg materiaal, adviezen en tips om de komende jaren je beveiliging serieus te verbeteren. En daar is echt geen 6 miljoen euro voor nodig!! Wat een gepruts weer.
Peter
Verbied dan (voorlopig) dat alles over iedereen wordt verzameld, opgeslagen en uitgewisseld. Dat was voor de opkomst van het internet ook niet noodzakelijk.
In ieder geval verbieden tot de instellingen hun zaakjes structureel wel op orde hebben en snappen wat ze aan het doen zijn.
En dat geldt eigelijk voor heel Nederland. Ook de meeste particulieren.
Het is nu dweilen met de kraan open.
De frequentie en omvang van digitale kwetsbaarheden worden steeds groter, en het kennis niveau bij de polulatie groeit niet mee. Het daalt zelfs, denk ik. (observatie)
Dit soort politieke maatregelen zijn een doekje voor het bloeden.
VIR, BIG, BIR, RIP, IPB, BIO, HKZ, NEN7510, ISO27001 etc., etc.
Maar het onderwijs is net als al die andere overheidsorganen eigenwijs. En wil dus weer het wiel uitvinden.
VIR, BIG, BIR, RIP, IPB, BIO, HKZ, NEN7510, ISO27001 etc., etc.
Maar het onderwijs is net als al die andere overheidsorganen eigenwijs. En wil dus weer het wiel uitvinden.
En daar wordt dus op veel plekken met de pet naar gegooid.
Lastig. Onbekend. Onhandig. Kostbaar.
Excuses genoeg bij overheid en bedrijfsleven.
En burgers snappen het al helemaal niet. Het gaat hun pet meestal te boven.
Conclusie:
Normen zijn leuk en theoretisch, maar lossen het concrete probleem niet op. Want de probleemgevallen willen er niet aan.
Een alternatieve oplossing is om ze te verplichten te minderen. Minder registreren en delen.
Wat er niet is, kan ook niet gekaapt worden.
Handreiking – onregelmatigheden en fraude bij beroepsgerichte examens
https://onderwijsenexaminering.nl/app/uploads/20201029_Handreiking-onregelmatigheden-en-fraude-bij-beroepsgerichte-examens-versie-2.0.pdf
Toetsingskader examinering
https://pe.onderwijsenexaminering.nl/assets/files/Beveiliging%20_Toetsingskader_examinering_1017.pdf
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
