Nulmetingen

Informatiebeveiliging-nulmeting

Eind 2022 hebben 49 mbo-scholen op verzoek van het programma Cyberveiligheid een informatiebeveiliging-nulmeting (IB-nulmeting) uitgevoerd. Deze hebben we gebaseerd op het nieuwe NBA-toetsingskader informatiebeveiliging. In de nulmeting hebben we de instellingen gevraagd naar hun actuele volwassenheid als het gaat om informatiebeveiliging, de stand van de volwassenheid per eind 2023 en de streefvolwassenheid die ze uiteindelijk willen behalen.

De IB-nulmeting is belangrijke input voor ons programma. Dankzij de meting weten we precies op welke thema’s we als mbo-sector risico’s lopen. Bijvoorbeeld op de gebieden risicomanagement en logging & monitoring. Daarom besteedt het programma Cyberveiligheid extra aandacht aan deze thema’s.

Uit de IB-nulmeting bleek overigens dat de gemiddelde volwassenheid van alle mbo-instellingen 2,1 was. En dat we als sector de ambitie hebben om een gemiddelde volwassenheidsniveau van 3,3 te behalen.

Crisismanagement-nulmeting

De crisismanagement-nulmeting meet in hoeverre mbo-scholen voorbereid zijn op een cybercrisis. Hebben ze een crisisplan en wordt daar ook naar gehandeld als het mis gaat?

In maart 2023 is door SURF de tweejaarlijkse, sectorbrede cybercrisisoefening georganiseerd; de crisisoefening OZON. Tijdens deze landelijke oefening hebben de deelnemende mbo-scholen geoefend met het reageren op een cyberaanval en het testen van hun crisisplan en procedures. Vanuit het programma Cyberveiligheid is een enquête onder de oefenvoorbereiders uitgevoerd. Daarbij hebben we gevraagd hoe de mbo-scholen denken voorbereid te zijn op een cybercrisis. De meting is na de oefening herhaald om te kijken in hoeverre ze volgens die verwachting hebben gehandeld tijdens de OZON-oefening. De aandachtspunten vanuit de oefening nemen we mee als input voor het programma Cyberveiligheid.

Security- en privacy-awareness

Cyberveiligheid is (ook) mensenwerk. In hoeverre zijn de medewerkers van mbo-scholen gemotiveerd om cyberveilig te werken? Worden ze daarbij goed ondersteund en ook belangrijk: hoe staat het met hun kennis op dit gebied? Daar draait het om bij de nulmeting security- en privacy-awareness.

In april en mei 2023 is de security- en privacy-awarenessmeting uitgevoerd binnen het mbo. Daaraan hebben een kleine 6000 medewerkers vanuit 41 mbo-scholen meegedaan. De resultaten zijn geanalyseerd en verwerkt in de mbo-brede rapportage. Deze meting levert de scholen waardevolle inzichten en is een belangrijke bron van informatie voor ons programma Cyberveiligheid.

Governance-nulmeting

Is cyberveiligheid een IT-feestje? Of is het bestuur juist aan zet om de prioriteiten te bepalen? Dit zijn vragen die aan de orde kwamen in de governance-nulmeting.

Met deze nulmeting hebben we mbo-breed opgehaald hoe de verantwoordelijkheden op het gebied van IBP zijn belegd. Vanuit het programma Cyberveiligheid bedenken we oplossingen voor de knelpunten die daaruit naar voren komen. De meting is in november 2023 uitgevoerd.

IV-metingen

Hoe staat het met de veiligheid van de websites van mbo-scholen? En worden phishing-mails goed onderschept? Om deze vragen te beantwoorden, zijn de IV-metingen (internet-veiligheidsmeting) een handig hulpmiddel.

SURF meet vier keer per jaar hoe scholen ervoor staan en rapporteert naar de onderwijsinstellingen. De meting van het vierde kwartaal 2022 gebruiken we als IV-nulmeting voor ons programma. De resultaten hebben we geanalyseerd en vanuit ons programma werken we samen met SURF aan de duiding van deze resultaten. Ook ondersteunen we bij de maatregelen die scholen kunnen nemen.

Red Teaming

Wie durft (en kan) het aan? Een aanval door ethische hackers op jouw school. Daarbij wordt niet alleen de technische weerbaarheid getest, maar ook de fysieke beveiliging. En via phishing mails en mystery guests worden ook de medewerkers op de proef gesteld. Red Teaming is de kers op de taart van alle nulmetingen.

Het programma Cyberveiligheid heeft drie assessments ingekocht en de voorbereidingen met de drie mbo-scholen zijn gestart. De oefening vindt plaats in september 2023 en de geleerde lessen worden gedeeld binnen het Netwerk IBP in het mbo. Deze bevindingen zijn mogelijk ook input voor het programma Cyberveiligheid.