De awarenessmeting komt eraan: Hoe cyberbewust is jouw instelling?
‘Waarom is LinkedIn een security risico?’ ‘Hoe belangrijk vind jij informatieveiligheid voor jouw instelling?’ ‘Mag je video-opnamen maken van een les of online vergadering?’ Het zijn enkele vragen uit de security- en privacy-awarenessmeting van het programma Cyberveiligheid mbo.
De vragen komen terug in de laagdrempelige enquête die tussen begin april en eind mei 2023 beschikbaar komt voor alle 55 mbo-instellingen. Het betreft een online vragenlijst van zo’n twintig meerkeuzevragen die medewerkers (in alle lagen van de organisatie) binnen enkele minuten anoniem kunnen invullen. Instellingen ontvangen daarvoor een instellingsspecifieke URL die ze zelf kunnen verspreiden onder medewerkers in hun organisatie. Wat houdt de awarenessmeting in en waarom moeten alle instellingen meedoen? 5 vragen en antwoorden.
1. Wat is de aanleiding voor deze awarenessmeting?
Scholen zijn een aantrekkelijk doelwit voor cybercriminelen. Ze werken met gevoelige en waardevolle informatie, zoals persoonlijke gegevens van studenten, toetsgegevens en vertrouwelijke onderzoeksdata. Bovendien zijn scholen in toenemende mate afhankelijk van ict: zonder ict geen les. Diefstal van gegevens of het gijzelen van de ict-voorziening is een crimineel verdienmodel waartegen we ons moeten wapenen. Het open karakter van onderwijsinstellingen, de verscheidenheid aan software en de uitwisseling met externe partijen zorgen voor een verhoogde kans op security-incidenten. Veel aanvallen en incidenten zijn gerelateerd aan handelingen van medewerkers. Denk aan de medewerker die een phishing e-mail opent, een harde schijf met onderzoeksgegevens verliest of per ongeluk een privacygevoelige mail stuurt met alle ontvangers in de cc in plaats van bcc. Er wordt weleens gesproken over de mens als de ‘zwakste schakel’. Martijn Bijleveld, programmamanager Cyberveiligheid mbo, spreekt liever over de mens als ‘laatste verdedigingslinie’. ‘Als er phishingmails of spookfacturen door je netwerk komen, wil je dat je medewerkers dit direct herkennen en zeggen: dit vertrouw ik niet. Criminelen proberen op allerlei manieren misbruik te maken, dus rust je medewerkers goed toe. Met technische maatregelen, informatie, kennis en kunde.’
2. Wat is de meerwaarde voor scholen om mee te werken aan deze meting?
‘Je krijgt als school een beeld van de mate waarin jouw school informatieveilig bezig is’, vertelt Martijn. ‘Iedere deelnemende instelling ontvangt een eigen rapportage met bevindingen, op basis waarvan ze de privacy & security awareness gericht en structureel kunnen verbeteren.’ Daarnaast is het mogelijk om resultaten onderling te vergelijken. Scholen ontvangen namelijk een benchmarkscore waarmee ze het eigen resultaat kunnen vergelijken met de gemiddelde resultaten van de andere mbo-instellingen én in het hoger onderwijs. Want ook SURF organiseert in dezelfde periode een awarenessmeting. ‘Daarmee is het mbo-sectorbeeld straks te vergelijken met het sectorbeeld in het hoger onderwijs. De uitkomsten van deze meting zijn ook belangrijke input voor ons programma Cyberveiligheid mbo: zo kunnen we (evidence based) activiteiten opstarten waaraan scholen écht behoefte hebben als het gaat om het stimuleren en ondersteunen van informatieveilig werken.’
3. De meting bevat twee soorten vragen: meningvragen en quizvragen. Waarom?
Met het eerste type vragen achterhaal je in hoeverre respondenten privacy en security belangrijk vinden en in hoeverre zij zich gesteund voelen in het informatieveilig werken. De quizvragen toetsen de kennis op het gebied van privacy- en security. Het mooie van de quizvragen is dat de deelnemers direct terugkoppeling krijgen met (verbeter)tips. ‘Dát draagt ook al bij aan awareness bij medewerkers’, zegt Martijn. “Hé verrek, dus zo herken ik een phishingmail.” De meting is als het ware een korte e-learning en meetinstrument in één.’
4. Wat brengt de meting precies in beeld?
De meting laat zien in hoeverre medewerkers bekwaam en gemotiveerd zijn en worden gefaciliteerd om informatieveilig te werken. Deze drie termen komen uit het COM-B gedragsmodel van Susan Michie. Dit model stelt dat bekwaamheid, gelegenheid en motivatie aanwezig moeten zijn om gedragsverandering te laten plaatsvinden. Vaak zijn deze componenten met elkaar verweven. Als mensen de juiste competenties hebben en goed gefaciliteerd worden is de kans groot dat zij ook meer gemotiveerd raken om zorgvuldig met vertrouwelijke gegevens om te gaan. Door deze componenten alle drie te adresseren, en oog te hebben voor hun onderlinge afhankelijkheid, verhoog je de kans op een succesvolle gedragsverandering.
5. Het onderwijs is zo langzamerhand een beetje enquêtemoe, waarom is deze meting wél de moeite van het invullen waard?
‘Vanwege de urgentie van het thema’, stelt Martijn. ‘Na cyberaanvallen op bijvoorbeeld ROC Mondriaan voelen we de noodzaak meer dan ooit om onze digitale weerbaarheid te verhogen. En dat is een samenspel van mens en techniek. In het programma Cyberveiligheid zijn we al volop aan de slag met activiteiten om de technische weerbaarheid van de instellingen te verhogen. Op dat gebied hebben we goed in beeld wat er – met welke prioriteit – moet gebeuren. Op het gebied van awareness is dat beeld nog wat diffuus. Deze enquête gaat ons helpen om dat scherper te krijgen, zodat we weloverwogen kunnen gaan investeren in sectorbrede awarenessactiviteiten.’
Samenwerking
Het programma Cyberveiligheid mbo is gestart op 1 oktober 2022. De awarenessmeting kwam tot stand in samenwerking met BDO, SURF en een klankbordgroep vanuit het netwerk Informatiebeveiliging en Privacy (IBP) waarin 7 onderwijsinstellingen zijn vertegenwoordigd. De meting werd in SURF-verband twee keer eerder uitgevoerd onder een beperkt aantal instellingen in mbo en hoger onderwijs. De awarenessmeting wordt mogelijk periodiek herhaald, zodat groei meetbaar wordt.
Scholen kunnen de online vragenlijst eenvoudig verspreiden onder de eigen medewerkers tussen 1 april en 22 mei 2023. MBO Digitaal voorziet instellingen van voorbeeldteksten die zij kunnen gebruiken in de communicatie binnen de organisatie, zoals e-mails en nieuwsberichten. Kijk voor meer informatie over het programma op de website van MBO Digitaal. Meer informatie over de awareness-meting? Stuur een mail naar Martijn Bijleveld.