Programma Cyberveiligheid mbo

Technische weerbaarheid

Bij technische weerbaarheid hebben we het over technologieën en maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens te waarborgen. Digitale systemen, netwerken en gegevens worden beschermd tegen ongeautoriseerde toegang, manipulatie en verlies.

Binnen het programma Cyberveiligheid zetten we in op het maken van een sterke basis voor de technische weerbaarheid van mbo-scholen. Daarvoor ondernemen we meerdere activiteiten, vaak in samenwerking met SURF, om de technisch experts van de instellingen hierbij te ondersteunen. Onderstaande sets van beveiligingsmaatregelen vullen elkaar aan en brengen we via onze NBA-modelaanpak in verband met de beheersdoelstellingen vanuit ons NBA-volwassenheidsmodel en -toetsingskader.

Vijf basisprincipes

Het Nationaal Cyber Security Centrum (NCSC) gaat uit van vijf basisprincipes die elke organisatie zou moeten opvolgen om haar weerbaarder te worden tegen cyberrisico’s die de bedrijfsvoering kunnen verstoren: 

  1. Breng risico’s in kaart.
  2. Bevorder veilig gedrag.
  3. Bescherm systemen, apparaten en applicaties.
  4. Beheer de toegang.
  5. Bereid je voor op incidenten.
Organisaties hebben dagelijks te maken hebben met cyberdreigingen. Bedrijven moeten zich weren tegen deze dreigingen en voldoende investeren in beveiliging. De cyberrisico’s zijn divers en lopen uiteen van het betalen van losgeld om weer toegang te krijgen tot het eigen bedrijfsnetwerk tot de uitval van productiefaciliteiten waardoor de continuïteit van het bedrijf acuut in gevaar komt. Deze vijf basisprincipes zijn opgesteld om organisaties te helpen de basisbeveiliging in te laten stellen.

Security baselines

De security baselines helpen bij het bepalen van de maatregelen op het gebied van informatiebeveiliging. Daarbij wordt rekening gehouden met de verschillende beveiligingsniveaus (laag, midden en hoog) van de systemen, gegevens en processen. De security baselines zijn bruikbaar binnen de eigen organisatie, maar ook als toetsingskader voor leveranciers. Vanuit het programma Cyberveiligheid sluiten we aan bij internationaal erkende best practices, zoals die van het Center for Internet Security (CIS).

NBA Policy Templates

Alle mbo-scholen maken gebruik van Microsoft-producten voor hun netwerk- en officeomgeving: dat biedt kansen om op dit gebied samen te werken. Vanuit het programma Cyberveiligheid hebben we met SURF en Microsoft gewerkt aan een koppeling tussen de policy templates van Microsoft en het NBA-volwassenheidsmodel/toetsingskader. Deze NBA policy templates bevatten voor de belangrijkste Microsoft-producten specifieke beleidsrichtlijnen, procedures en maatregelen met betrekking tot informatiebeveiliging. We zijn gestart met Azure en gaan binnenkort ook aan de slag met de policy templates voor MS365. Door de link te leggen met het NBA-kader koppelen we de technische systeemwereld aan ons volwassenheidsmodel en toetsingskader.

IV-metingen

Het effect van een aantal technische maatregelen wordt gemeten aan de hand van de IV-metingen (internet-veiligheid). Deze metingen zeggen iets over de configuratie van mail- en webservers tegen aanvallen van buitenaf. SURF voert deze meting elk kwartaal uit bij alle aangesloten instellingen en deelt de uitkomsten met de instellingen. Aangezien de meeste mbo-scholen voor e-mail en webhosting gebruikmaken van Microsoft-technologie hebben we handreikingen geschreven waarmee IT-beheerders de beveiliging van hun Microsoft-IT-omgeving kunnen aanscherpen op basis van de uitkomsten van de IV-metingen.

Vulnerability scans en pentesten

Het is belangrijk dat de mbo-scholen hun computersystemen en netwerken regelmatig controleren op zwakke plekken die hackers kunnen misbruiken. Een vulnerability scan test bijvoorbeeld of de belangrijke systemen in het netwerk voorzien zijn van de laatste software. Daarnaast is het belangrijk om af en toe een penetratietest (pentest) uit te voeren op je netwerkomgeving. Op die manier wordt onderzocht in hoeverre de IT-omgeving beschermd is tegen aanvallen. Vanuit het programma Cyberveiligheid onderzoeken we in hoeverre de mbo-instellingen gebruikmaken van vulnerability scanning en pentesting, welke belemmeringen mogelijk worden ervaren en hoe we het gebruik ervan kunnen stimuleren.

Samenwerken in het SURF Security Expertise Centrum

Voor technische expertise en de uitvoering van eventuele maatregelen werken we vanuit ons programma intensief samen met SURF. Alle bovengenoemde activiteiten op het gebied van technische weerbaarheid vinden plaats binnen het SURF Security Expertise Centrum (SEC). Vanuit het programma Cyberveiligheid werken we samen met SEC bij het verbeteren van zijn diensten en producten. Dankzij deze samenwerking met het hoger onderwijs kunnen we krachten bundelen en komen we samen verder op het gebied van technische weerbaarheid.

Kanaal Technische weerbaarheid

In een wereld waar cyberdreigingen van alle kanten komen en aanvallen in aantal en heftigheid toenemen, moeten netwerk- en systeembeheerders veel kennis hebben om hun instelling technisch weerbaar te maken. Het programma Cyberveiligheid helpt door actuele, voor het mbo-relevante informatie over cybersecurity toegankelijk te maken op een overzichtelijke plek: in het kanaal Technische weerbaarheid binnen de Teamsomgeving van het Netwerk IBP. Technici kunnen hier ook terecht voor vragen en om kennis en ervaringen uit te wisselen. Het kanaal is complementair aan het SEC van SURF. 

BO Kennissessies (IT-)Security (MBOKS)

We organiseren vanuit het programma ook de zogenaamde MBO Kennissessies (IT-)Security, ofwel MBOKS. In deze sessies praten cybersecurityspecialisten van het programma Cyberveiligheid en van SURF IT-professionals van mbo-instellingen bij over onderwerpen op het gebied van technische weerbaarheid. Naast het delen en vergroten van kennis is er tijdens elke MBOKS veel gelegenheid om vragen te stellen over het behandelde onderwerp.

Werkbezoeken aan instellingen

Niet alle instellingen hadden optimaal in beeld wat ze konden doen om cyberrisico’s te verkleinen. Daarom hebben we vanuit het programma samen met SURF alle instellingen bezocht om in een informele setting mogelijke verbeterpunten te bespreken. Met deze werkbezoeken hebben we direct korte lijntjes gelegd voor als er echt iets aan de hand is. In 2025 was het laatste werkbezoek, vanaf dat moment plannen we periodiek digitale afspraken met techneuten van alle instellingen.

Contactpersoon

Neem contact op met Mick Deben voor meer informatie.