Cybersecuritymaand oktober: zo werd ROC Nijmegen digitaal weerbaarder

Bij ROC Nijmegen weten ze dat digitale veiligheid meer vraagt dan alleen goede firewalls en sterke wachtwoorden. De techniek moet altijd op orde zijn, maar bestuurlijke commitment, duidelijke verantwoordelijkheden en bewuste gebruikers zijn minstens zo belangrijk. De instelling liet zich uitgebreid doorlichten door professionele cyberexperts van SURF en het programma Cyberveiligheid. Dat bracht blinde vlekken aan het licht, verscherpte de prioriteiten en zorgde voor meer urgentie in de hele organisatie.

In een wereld waarin we steeds meer vertrouwen op digitale techniek, speelt ook de beveiliging van systemen en informatie een steeds belangrijkere rol. ‘We doen en willen allemaal steeds meer digitaal, ook in het onderwijs’, vertelt Jean Paul, operational security officer bij ROC Nijmegen. ‘IT staat nooit stil en ons team moet meebewegen met de veranderende wensen. De techniek moet perfect op orde zijn om te voorkomen dat gegevens op straat komen of het onderwijs niet kan doorgaan.’

Weinig gevoel van urgentie

Jelle is information security officer bij de Nijmeegse instelling. Volgens hem voelen nog te weinig mensen de urgentie van cyberrisico’s, in hun werk én in hun privéleven. ‘De cijfers liegen er niet om.  1 op de 5 Nederlandse jongeren heeft weleens iets besteld in een malafide webshop. En je leest steeds vaker dat een organisatie is gehackt. In veel gevallen maakten de hackers daarbij gebruik van persoonlijke inloggegevens die ze eerder hadden buitgemaakt.’

Extra aandacht voor cyberveiligheid

Mede vanwege deze menselijke component is Jean Paul blij dat zijn organisatie steeds meer aandacht heeft voor cyberveiligheid. ‘Want IT raakt ons allemaal. Het begint bij bestuurlijke commitment. Die is essentieel omdat het gaat over verantwoordelijkheden en management. Informatiebeveiliging is een onderdeel van ons information board. Als team Informatiemanagement en ICT informeren we hiermee onder andere het College van Bestuur, onderwijsdirecteuren, onze functionaris gegevensbescherming en de teammanager ICT.’

Techniek nóg beter organiseren

ROC Nijmegen deed mee aan Van check tot hack. In dit traject testen cyberexperts van SURF en het programma Cyberveiligheid uitvoerig hoe het ervoor staat met de digitale weerbaarheid van mbo-instellingen. ‘Wij wilden via het traject te weten komen hoe we de beveiliging van informatie en systemen nóg beter konden organiseren’, licht Jelle toe. ‘En het was een kans om onze technische kennis op te krikken en nieuwe inzichten op te doen. Want we konden met experts van SURF en het programma sparren over onze systemen en processen.’

Brononderzoek naar datalekken

Het eerste onderzoek van het cyberexpertteam was direct raak. ‘Het had geanalyseerd wat er over onze medewerkers en accounts bekend was in openbare bronnen’, vertelt Jean Paul. ‘Een lange lijst met namen van studenten en medewerkers, soms zelfs inclusief wachtwoorden, was het resultaat. We hebben iedereen persoonlijk geïnformeerd – medewerkers schrokken van wat er allemaal over hen te vinden was. Dat heeft veel bijgedragen aan bewustwording in de organisatie. Nu checken we jaarlijks of er accounts van onze school in bekende databases voorkomen.’

Blinde vlekken opsporen

Ook andere onderzoeken van het traject waren waardevol in Nijmegen. Bij een netwerkscan kwam een blinde vlek in de infrastructuur aan het licht. Jean Paul: ‘Die hebben we direct opgelost. Zonder deze netwerkscan hadden we het nooit ontdekt.’ En dankzij de penetratietest (cyberexperts proberen dan of ze ongemerkt kunnen aanmelden op het netwerk, red.) konden de techneuten van ROC Nijmegen een kwetsbaarheid in een technisch protocol verhelpen. ‘Zo’n test doen we vaker, maar deze leverancier haalde toch weer andere punten naar boven,’ zegt Jean Paul.

Beter organiseren en borgen

Het traject Van check tot hack heeft ROC Nijmegen geholpen om prioriteiten scherper te stellen. ‘Security vraagt om duidelijke rolbeschrijvingen en een capaciteit die daaraan is gekoppeld’, benadrukt Jelle. ‘Als iemand uitvalt of vertrekt, dan mag niet alles stilvallen. Dat kan alleen als je het goed organiseert en borgt. We hebben nu nieuwe inzichten over hoe we dit voor elkaar krijgen.’

Verhoogde weerbaarheid

Wat heeft het traject verder opgeleverd? Jelle: ‘Hoe meer je weet, hoe weerbaarder je bent. ROC Nijmegen is nu in staat om meer te detecteren.’ Dat is volgens hem ook te danken aan de persoonlijke benadering van SURF en het programma Cyberveiligheid mbo. ‘Mick Deben reageerde vanuit het programma altijd snel en inhoudelijk sterk. De experts van SURF gaven nuttige tips. Bijvoorbeeld over het slimmer inzetten van beveiligingsmechanismes.’

Blijf samenwerken, mbo!

Hebben Jean Paul en Jelle nog tips voor andere mbo-instellingen als het gaat om cybersecurity? ‘Zo’n traject met externe experts haalt je uit de waan van de dag’, zegt Jelle. ‘Het heeft onze organisatie scherper en ambitieuzer gemaakt.’ Jean Paul vult hem aan: ‘Durf samen te werken met andere scholen, bijvoorbeeld via de netwerken van MBO Digitaal en het programma Cyberveiligheid. We hebben vaak dezelfde uitdagingen. Als we onze kennis delen, kunnen we elkaar verder helpen.’

Over Cybersecuritymaand oktober

In de maand oktober zetten we vanuit het programma Cyberveiligheid extra stappen om veilig online gedrag te stimuleren. Want cyberveiligheid raakt ons allemaal – van bestuurder tot docent, van student tot IT-beheerder. Elke week publiceren we persoonlijke verhalen en tips van de mbo-medewerkers die ervoor zorgen dat hun instellingen cyberweerbaar zijn en blijven. Zo delen we kennis, tips en ervaringen en versterken we de weerbaarheid van de hele sector. Klik hier als je benieuwd bent naar de andere Cybersecuritymaand-artikelen.