Scholen kunnen het effect van verschillende technische maatregelen beoordelen aan de hand van de IV-metingen (internet-veiligheid) van SURF. Vanuit het programma Cyberveiligheid werken we nauw samen met mbo-instellingen, SURF en Microsoft om (resultaten van) de IV-metingen te duiden en te optimaliseren.

SURF voert de IV-metingen ieder kwartaal uit om in kaart te brengen in hoeverre onderwijs- en onderzoeksinstellingen voldoen aan een lijst van verplichte internetstandaarden die bijdragen aan de cyberveiligheid. Deze standaarden verkleinen de kans op misbruik zoals domeinimitatie en het manipuleren of uitlezen van internetverkeer. Ook verhogen ze de weerstand tegen veelvoorkomende cyberaanvallen zoals cross-site scripting. De IV-metingen zijn daarmee een graadmeter voor de configuratie van mail-, DNS- en webservers tegen aanvallen van buitenaf.  

Correcte implementatie standaarden 

Met de IV-metingen wil SURF instellingen aanzetten om de verplichte internetstandaarden correct te implementeren. Dat wil het bereiken door de metingen periodiek uit te voeren, zodat instellingen snel inzicht krijgen over het effect van genomen maatregelen. Ook deelt SURF de resultaten via de semipublieke SCIRT- en SCIPR-beveiligingscommunities. Alle aangesloten security-experts, informatiebeveiligers en privacy officers kunnen dus zien hoe een instelling scoort.

Optimaliseren IV-metingen 

Vanuit het programma Cyberveiligheid onderschrijven wij het doel en de methodes van de IV- en vergelijkbare metingen volledig. De meting van het vierde kwartaal 2022 gebruiken we als IV-nulmeting voor ons programma. De resultaten hebben we geanalyseerd en vanuit ons programma werken we samen met SURF aan de duiding van deze resultaten. Dat doen we ook met de volgende IV-metingen (zie bijlage onder aan deze pagina) en we ondersteunen scholen bij de maatregelen ze kunnen nemen. We sporen scholen actief aan om het onderste uit de metingen te halen. Bijvoorbeeld door hen alle (sub)domeinen bij SURF te laten opgeven, waar dat nu vaak is beperkt tot het hoofddomein. Ook overleggen we met instellingen welke verbeteringen rondom de IV-metingen zij zouden willen zien. 

Hulp bij implementatie 

Verder ondersteunen we vanuit het programma Cyberveiligheid mbo-instellingen bij de implementatie van de internetstandaarden. Omdat de meeste scholen Microsoft-technologie gebruiken voor e-mail en webhosting, trekken we hier op met deze leverancier. Samen werken we bijvoorbeeld aan concrete handreikingen voor IT-beheerders. Daarmee kunnen zij aan de hand van de uitkomst van een IV-meting de beveiliging van hun IT-omgeving verder aanscherpen. 

IV-metingen openbaar op Basisbeveiliging.nl 

Vanaf half 2024 publiceert Internet Cleanup Foundation op Basisbeveiliging.nl de resultaten van vergelijkbare metingen als de IV-metingen van SURF. Van deze IV-metingen zijn de resultaten van elke school dus voor iedereen toegankelijk. Dit is voor instellingen een extra impuls om standaarden juist te implementeren. Op deze pagina zie je wat Internet Cleanup Foundation precies gaat meten en hier kun je terecht voor vragen over de aanstaande publicaties.  

Internet Cleanup Foundation hanteert deze roadmap voor de publicatie van metingen van onderwijsinstellingen op Basisbeveiliging.nl: 

– Begin Q1 2024: vooraankondiging met inzicht in stand van zaken.
– Midden/eind Q1 2024: publicatie metingen universiteiten.
– Eind Q1/begin Q2 2024: publicatie metingen primair en middelbaar onderwijs (eerst middelbaar, dan primair). 

 

Contactpersoon

Neem contact op met Mick Deben voor meer informatie.