Programma Cyberveiligheid mbo
Technische weerbaarheid
Binnen het programma Cyberveiligheid zetten we in op het maken van een sterke basis voor de technische weerbaarheid van mbo-scholen. Daarvoor ondernemen we meerdere activiteiten, vaak in samenwerking met SURF, om de technisch experts van de instellingen hierbij te ondersteunen. Onderstaande sets van beveiligingsmaatregelen vullen elkaar aan en brengen we via onze NBA-modelaanpak in verband met de beheersdoelstellingen vanuit ons NBA-volwassenheidsmodel en -toetsingskader.
Basismaatregelen
Het Nationaal Cyber Security Centrum (NCSC) geeft als handreiking een set van 8 basismaatregelen die elke organisatie zou moeten treffen om cyberaanvallen tegen te gaan.
- Richt risicomanagement in
- Pas sterke authenticatie toe
- Bepaal wie toegang heeft tot data en diensten
- Beperk het aanvalsoppervlak
- Gebruik versleuteling
- Bescherm tegen verlies van gegevens
- Richt patchmanagement in
- Centraliseer en analyseer log-informatie
SURF security baseline
De SURF security baseline helpt bij het bepalen van de maatregelen op het gebied van informatiebeveiliging. Daarbij wordt rekening gehouden met de verschillende beveiligingsniveaus (laag, midden en hoog) van de systemen, gegevens en processen. De Security baseline is bruikbaar voor de eigen organisatie, maar kan ook gebruikt worden als toetsingskader voor leveranciers. Vanuit het programma Cyberveiligheid werken we samen met SURF om de maatregelen uit de security baseline te koppelen aan de beheersmaatregelen uit het NBA-volwassenheidsmodel en toetsingskader. Op die manier helpt de security baseline om concreet invulling te geven aan de NBA-controls op het gebied van technische weerbaarheid.
NBA Policy Templates
Alle mbo-scholen maken gebruik van Microsoft-producten voor hun netwerk- en officeomgeving: dat biedt kansen om op dit gebied samen te werken. Vanuit het programma Cyberveiligheid werken we met SURF en Microsoft aan een koppeling tussen de Microsoft policy templates en het NBA-volwassenheidsmodel/toetsingskader. Deze NBA policy templates bevatten voor de belangrijkste Microsoft-producten specifieke beleidsrichtlijnen, procedures en maatregelen met betrekking tot informatiebeveiliging. We zijn gestart met Azure en gaan binnenkort ook aan de slag met de policy templates voor MS365. Door de link te leggen met het NBA-kader koppelen we de technische systeemwereld aan ons volwassenheidsmodel en toetsingskader.
IV-metingen
Het effect van een aantal technische maatregelen wordt gemeten aan de hand van de IV-metingen (internet-veiligheid). Deze metingen zeggen iets over de configuratie van mail- en webservers tegen aanvallen van buitenaf. SURF voert deze meting elk kwartaal uit bij alle aangesloten instellingen en deelt de uitkomsten met de instellingen. Aangezien de meeste mbo-scholen voor e-mail en webhosting gebruikmaken van Microsoft-technologie ligt het voor de hand om ook op dit gebied samen te werken. Dat doen we door samen met Microsoft te werken aan handreikingen voor IT-beheerders waarmee ze op basis van de uitkomsten van deze IV-metingen de beveiliging van hun IT-omgeving verder kunnen aanscherpen.
Vulnerability scans en pentesten
Het is belangrijk dat de mbo-scholen hun computersystemen en netwerken regelmatig controleren op zwakke plekken die hackers kunnen misbruiken. Een vulnerability scan test bijvoorbeeld of de belangrijke systemen in het netwerk voorzien zijn van de laatste software. Daarnaast is het belangrijk om af en toe een penetratietest (pentest) uit te voeren op je netwerkomgeving. Op die manier wordt onderzocht in hoeverre de IT-omgeving beschermd is tegen aanvallen. Vanuit het programma Cyberveiligheid onderzoeken we in hoeverre de mbo-instellingen gebruikmaken van vulnerability scanning en pentesting, welke belemmeringen mogelijk worden ervaren en hoe we het gebruik ervan kunnen stimuleren.
Samenwerken in het SURF security expertisecentrum
Voor technische expertise en de uitvoering van eventuele maatregelen werken we vanuit ons programma intensief samen met SURF. Alle bovengenoemde activiteiten op het gebied van technische weerbaarheid vinden plaats binnen het SURF security expertisecentrum. Vanuit die samenwerking met het hoger onderwijs kunnen we krachten bundelen en komen we samen verder op het gebied van technische weerbaarheid.
MBO Kennissessies (IT-)Security (MBOKS)
Elke maand organiseren we samen met SURF ook de zogenaamde MBO Kennissessies (IT-)Security, ofwel MBOKS. Cybersecurityspecialisten van het programma Cyberveiligheid en van SURF praten in deze sessies IT-professionals van mbo-instellingen bij over onderwerpen op het gebied van technische weerbaarheid. Naast het delen en vergroten van kennis is er tijdens elke MBOKS ook veel gelegenheid om vragen te stellen over het behandelde onderwerp.
Kanaal Technische weerbaarheid
In een wereld waar cyberdreigingen van alle kanten komen en aanvallen in aantal en heftigheid toenemen, moeten netwerk- en systeembeheerders veel kennis hebben om hun instelling technisch weerbaar te maken. Het programma Cyberveiligheid helpt door actuele, voor het mbo-relevante informatie over cybersecurity toegankelijk te maken op één overzichtelijke plek: in het kanaal Technische weerbaarheid binnen de Teamsomgeving van het Netwerk IBP. Technici kunnen daar ook terecht voor vragen en om kennis en ervaringen uit te wisselen.
Werkbezoeken aan instellingen
Niet alle instellingen hebben optimaal in beeld wat ze kunnen doen om cyberrisico’s te verkleinen. Daarom gaan we vanuit het programma samen met SURF op bezoek bij instellingen en bespreken we mogelijke verbeterpunten in een informele setting. Met deze werkbezoeken zorgen we direct voor korte lijntjes voor als er echt iets aan de hand is.