Programma Cyberveiligheid mbo gaat van start
Het afgelopen jaar is hard gewerkt aan een sectorplan om de digitale weerbaarheid van de mbo-instellingen te verhogen. Dit plan van aanpak is goedgekeurd door de MBO Raad en door OCW en er komt de komende vijf jaar een subsidie beschikbaar van totaal 24 miljoen euro. Lees hier hoe het plan tot stand is gekomen en wat we de komende vijf jaar zoal gaan doen.
Mede naar aanleiding van de cyberaanval bij ROC Mondriaan, nu ruim een jaar geleden, heeft de minister van OCW de onderwijskoepels gevraagd om te komen met een plan om de digitale weerbaarheid van de onderwijsinstellingen te verhogen. Vanuit het mbo hebben we dit niet zozeer als een opdracht gezien, maar veel meer als kans om knelpunten en oplossingen, waarover in ons netwerk IBP al langer wordt gesproken, daadwerkelijk te gaan realiseren.
Doordat we sinds 2015 jaarlijks een benchmark organiseren hebben we al goed in beeld waar we staan en welke zaken we samen zouden willen oppakken. Denk aan het gezamenlijk optreden in onderhandelingen met leveranciers over verwerkersovereenkomsten en de bijbehorende veiligheidswaarborgen, het uitvoeren van DPIA’s voor de veelgebruikte systemen en het uitvoeren van audits en pentests. Allemaal zaken die je eigenlijk alleen samen goed kan oppakken en ons plan van aanpak Cyberveiligheid voorziet daarin.
Dit plan is tot stand gekomen in samenwerking met de netwerken van MBO Digitaal, met name het Netwerk IBP in het mbo, de Regiegroep IBP en het CSC-netwerk van SURF contactpersonen. Daarbij wordt intensief afgestemd met SURF en is er overleg met de onderwijskoepels VH en UNL. Ook in de uitvoeringsfase willen we intensief blijven samenwerken met het hoger onderwijs en SURF zal daar een belangrijke rol in spelen.
We hebben in dit plan onze ambities beschreven aan de hand van een veelgebruikte indeling op het gebied van cyberveiligheid.
1. Identificeren van dreigingen en risico’s (identify)
Het samen in kaart brengen van dreigingen, risico’s en maatregelen, door gezamenlijk input te leveren voor een (cyber)dreigingsbeeld, risico’s te definiëren, samen te werken aan volwassenheid en deze regelmatig te benchmarken. Daarbij hoort ook de discussie hoe we die volwassenheid willen verantwoorden; intern, onderling en naar externe stakeholders zoals OCW.
2. Beschermen tegen cyberrisico’s (protect)
Daarbij is er aandacht voor de factor ‘mens’, door op basis van de hierboven gevonden dreigingen doelgericht in te zetten op awarenessprogramma’s. Daarnaast moet de technische beveiliging state-of-the-art zijn ingeregeld en daarvoor komt concrete expertise laagdrempelig beschikbaar voor de (kleine) instellingen.
3. Detecteren van onregelmatigheden (detect)
Het is cruciaal om verdachte netwerkactiviteit in een vroeg stadium te signaleren door middel van SIEM/SOC oplossingen. Vanuit het programma verlagen we de drempel door de entreekosten voor SURFsoc te vergoeden en een kwartiermaker en/of IT-specialist beschikbaar te stellen als ondersteuning bij de voorbereidingen.
4. Reageren op incidenten (respond)
Om snel te kunnen reageren op een cybercrisis is het belangrijk dat er een crisisplan klaarligt waarmee ook geoefend is. We gaan dit binnen de sector oppakken door kennis, ‘best practices’ en een modelaanpak te delen. Het is vervolgens belangrijk om te oefenen op dit gebied; voor de instellingen zelf en voor de sector als geheel. We stimuleren de deelname aan cybercrisisoefeningen zoals OZON en ondersteunen de mbo-instellingen bij de voorbereidingen hierop.
5. Herstellen van incidenten (recover)
Als een instelling slachtoffer is geworden van een cyberincident is het zaak om de schade te beperken en zo snel mogelijk weer door te kunnen werken. Binnen de onderwijssector wordt er in principe niet toegegeven aan afpersing en om dat waar te kunnen maken is het belangrijk om elkaar uitwijkopties te bieden. De uitwerking hiervan wordt binnen de MBO Raad op bestuurlijk niveau besproken. Ook onderzoeken we de mogelijkheden voor een calamiteitenfonds als alternatief voor cyberverzekeringen.
6. Leveranciersmanagement
Omdat veel onderwijsinstellingen gebruikmaken van SaaS-oplossingen gelden veel van bovenstaande eisen ook voor deze dienstverleners. Goede contracten zijn cruciaal en op de naleving ervan moet worden toegezien. Ook moet er aandacht zijn voor de veiligheid van de gegevenskoppelingen met deze externe partijen. Aangezien veel mbo-instellingen voor hun kroonjuwelen gebruikmaken van dezelfde applicaties, stimuleren we vanuit dit programma de samenwerking op dit gebied, bijvoorbeeld door het gezamenlijk laten uitvoeren van DPIA’s.
Concrete activiteiten
Vanuit bovenstaande ambities hebben we in het plan van aanpak 22 concrete activiteiten beschreven, we noemen er hier een paar belangrijke:
- Onderzoek cybercrisis-convenant mbo
- Onderzoek calamiteitenfonds cyberincidenten
- Centraal uitvoeren van DPIA’s
- Centraal beoordelen van verwerkersovereenkomsten/beveiligingswaarborgen
- Gecoördineerd uitvoeren van audits en pentests bij leveranciers
- Beschikbaar maken van auditcapaciteit voor benchmarks/reviews en IT-audits
- Gezamenlijk uitvoeren van cybercrisisoefeningen
- Ondersteunen bij de invoering van SURFsoc
- Oprichten van een Expertisecentrum Informatiebeveiliging en een Expertisecentrum Privacy
Coördinatie bij de MBO Raad/MBO Digitaal, uitvoering door SURF
De coördinatie van het programma en de uitvoering van overkoepelende programma-activiteiten is in handen van de MBO Raad en MBO Digitaal. De uitvoering van de activiteiten wordt gedaan door SURF, aangevuld door externe expertise. Waar mogelijk brengen we expertise en concrete projectactiviteiten onder in de Innovatiezone Cyberveiligheid van SURF. Op die manier kunnen we -waar mogelijk en zinvol- de samenwerking verbreden naar het hoger onderwijs. Dat kan bijvoorbeeld op het gebied van benchmarking en audits (we gebruiken hetzelfde toetsingskader) of bij het uitvoeren van DPIA’s. De gesprekken met SURF hierover zijn op dit moment in volle gang.
Meer weten?
Lees het Plan van aanpak Cyberveiligheid in het mbo (bijlage), dat als basis diende voor de subsidieaanvraag. Je kunt ook altijd contact opnemen met Martijn Bijleveld.