Programma Cyberveiligheid mbo
Vraag en antwoord Convenant Cyberveiligheid
Tijdens de informatiebijeenkomsten over het Convenant Cyberveiligheid en andere kanalen kwamen meerdere vragen naar voren. De antwoorden daarop lees je op deze pagina, onderverdeeld in vier categorieën:
- Uitgangspunten
- A. Samenwerken aan het beheersen van cyberrisico’s
- B. Beperken van de impact van cyberincidenten
- C. Implementatie en evaluatie
Uitgangspunten
Niet betalen aan criminelen: kun je dat in de praktijk waarmaken?
Het is heel belangrijk om naar de buitenwereld vast te houden aan het uitgangspunt dat er in het mbo niet wordt toegegeven aan afpersing en daar ook naar te handelen als het onverhoopt misgaat. Om dat uitgangspunt zoveel mogelijk waar te kunnen maken, helpen we elkaar in tijden van crisis met concrete ondersteuning (terugvalopties, verzekeringen of een riskpool). Ook dat is onderdeel van het Convenant Cyberveiligheid en dat willen we samen verder uitwerken.
Als ondanks de geboden hulp het voortbestaan van de organisatie op het spel staat, is betaling aan criminelen mogelijk onvermijdelijk, op basis van het uitgangspunt ‘pas toe of leg uit’.
Hoe werkt dat: elkaar aanspreken op naleving?
De afspraken in het Convenant Cyberveiligheid zijn bindend. Tegelijkertijd heeft elk lid een eigen verantwoordelijkheid op het gebied van cyberveiligheid. Elkaar aanspreken op naleving betekent in dat geval ‘leg uit’. Op niet-naleving zijn geen sancties van toepassing.
Ik mis het uitgangspunt dat alle mbo-instellingen lid worden van SURF?
Dat klopt, maar dat is ook niet meer nodig omdat we in het afgelopen jaar hebben bereikt dat op twee instellingen na iedereen lid is. Die laatste twee zullen naar verwachting nog dit jaar aansluiten.
A. Samenwerken aan het beheersen van cyberrisico’s
Op welke manier werken we samen aan sectorbrede maatregelen?
We proberen schaalvoordelen te realiseren door samen te werken aan mitigerende maatregelen. Een voorbeeld daarvan is SURFsoc. Door dit sectorbreed in te zetten komt dergelijke complexe technologie beschikbaar voor alle mbo-instellingen. Het gaat daarbij niet alleen om de prijs maar vooral om de kennisdeling, ondersteuning en doorontwikkeling. Op die manier kijken we ook naar andere maatregelen, zoals awareness-activiteiten. Instellingen kunnen dus van deze sectorbrede maatregelen gebruikmaken, maar kunnen ook andere keuzes maken.
Moeten we nu alles samendoen? We hebben ook onze eigen agenda.
In het programma Cyberveiligheid mbo staat samenwerking op het gebied van cyberveiligheid centraal. Soms móét het samen, bijvoorbeeld als we benchmarken en soms ligt het voor de hand; bijvoorbeeld bij SURFsoc. Maar dat betekent niet dat we alles samen moeten doen. Instellingen maken een eigen risico- en prioriteitsafweging en kiezen eigen organisatorische en technische maatregelen op cybergebied.
Vervolgens zit ook daar een samenwerkingscomponent waar het gaat om het delen van good practices. We willen kennisuitwisseling stimuleren en ook op dit aspect zet het convenant in.
Wat is het verschil tussen het NBA-toetsingskader en het SURFaudit-toetsingskader?
Er is geen verschil, SURF heeft er gewoon een eigen naam aan gegeven: het SURFaudit toetsingskader Informatiebeveiliging. We benchmarken in het mbo dus over de boeg van exact dezelfde statements als de universiteiten en hogescholen. In het mbo houden we het bij de oorspronkelijke naam: het NBA-volwassenheidsmodel Informatiebeveiliging, vaak verkort tot NBA-model, NBA-framework of NBA-kader.
Wat is er afgesproken over het sectorbrede streefniveau voor de volwassenheid?
Naar aanleiding van diverse cyberincidenten in de onderwijssector is dit onderwerp diverse keren besproken in de politiek. OCW staat op het standpunt dat de onderwijssector dit zelf, zonder externe dwang of toezicht kan regelen, omdat we dit al jaren succesvol doen. Daarbij is wel de voorwaarde gesteld dat iedere instelling een gemiddeld volwassenheidsniveau van 3,0 scoort, gemeten over alle 69 controls van het NBA-toetsingskader. We hebben hierover afgesproken dat we de uitgevoerde nulmeting informatiebeveiliging evalueren en op basis daarvan met OCW afspraken maken over het moment waarop deze norm van 3,0 gaat gelden voor de mbo-sector. De besluitvorming hierover zal plaatsvinden in het najaar van 2023.
Zijn we ons ervan bewust dat het uitsluitend werken aan volwassenheid niet per definitie leidt tot cyberweerbaarheid?
Jazeker, normen- en toetsingskaders zoals de ISO 27001 en het NBA-toetsingskader zeggen veel over het op orde hebben van je processen, maar geven beperkt garanties over je feitelijke technische weerbaarheid. Daarvoor zijn aanvullend technische maatregelen nodig en op dat gebied werken we vanuit ons programma samen met SURF, binnen de Innovatiezone Cyberveiligheid en het SURF Security Expertise Centrum.
Is het gebruik van de mbo-brede GRC-applicatie verplicht?
Voor het bijhouden van de actuele volwassenheid en het documenteren van de bijbehorende bewijslast is het gebruik van de GRC-applicatie verplicht. De applicatie wordt namelijk gebruikt om gegevens voor de IBP-benchmarks aan te leveren. Ook het verlenen van toegang voor externe audits verloopt via deze applicatie. Door gebruik te maken van de GRC-applicatie kunnen we dus de benchmarks en audits die we nu ook al doen veel efficiënter organiseren. In het programma van eisen wordt rekening gehouden met een inrichting voor deze minimale variant.
De GRC-applicatie kan daarnaast worden ingezet als hulpmiddel om de IBP-werkzaamheden te organiseren en door te groeien naar een meer risico-gebaseerde werkwijze. De applicatie faciliteert daarmee de groei van compliance- naar meer risico-gebaseerd werken. Dit is mbo-breed een belangrijke doelstelling vanuit ons NBA-kader. Deze vorm van gebruik van de applicatie is niet verplicht, al hopen we dat alle instellingen ook van deze, meer geavanceerde mogelijkheden gebruik gaan maken.
Is de GRC-applicatie voldoende beveiligd?
De GRC-applicatie bevat gevoelige informatie die goed beschermd moet worden. Daarom is er in het programma van eisen veel aandacht voor de beveiliging van de applicatie. De leverancier moet aan certificeringseisen voldoen en zal jaarlijks getoetst worden door middel van pentesting.
Wie heeft toegang tot de gegevens in de GRC-applicatie?
Alleen door de instelling geautoriseerde gebruikers hebben toegang tot de gegevens. Voor benchmarkdoeleinden wordt door de instelling een rapportage beschikbaar gesteld. Voor de uitvoering van externe audits krijgt de externe auditor door de instelling specifiek autorisatie voor de beoordeling van een voor dit doel klaargezet assessment.
Wat wordt bedoeld met samenwerken op het gebied van cloudleveranciersmanagement?
Vrijwel alle applicaties die we in het mbo gebruiken, worden afgenomen als SaaS-applicatie: de applicatie draait niet in eigen huis maar wordt aangeboden vanuit het datacenter van de leverancier. Om de veiligheid te waarborgen moeten er (verwerkers)overeenkomsten worden afgesloten, waarbij we zoveel mogelijk gebruikmaken van modelovereenkomsten. Op die manier kunnen we de kwaliteit van de overeenkomst en de naleving ervan beter waarborgen. Met name de veiligheidswaarborgen worden in deze standaardovereenkomsten centraal beoordeeld, zodat individuele instellingen niet zelf in discussie hoeven te gaan met de leverancier.
We werken ook samen als het gaat om de uitvoering van DPIA’s, pentesten en audits. De individuele instelling wordt hiermee ontzorgd en de leverancier heeft te maken met een aanspreekpunt. Voor een belangrijk deel doen we dit samen met SURF en het is zeker niet de bedoeling om in dit verband de rol van inkooporganisatie te gaan overnemen.
B. Beperken van de impact van cyberincidenten
Crisisinformatie delen via SURFcert: alleen voor leden van SURF?
Deelname aan SURFcert is alleen mogelijk voor leden van SURF. Dat is een van de redenen waarom we vanuit het programma Cyberveiligheid het lidmaatschap hebben aanbevolen. SURF is in gesprek gegaan met instellingen die nog geen lid zijn en inmiddels zijn, op twee instellingen na, alle mbo-instellingen lid. De laatste twee hebben toegezegd nog dit jaar lid te worden.
Welke uitwijkopties kunnen we elkaar bieden bij een cybercrisis?
Vanuit het netwerk IBP komen ideeën naar boven die de moeite van het uitwerken waard zijn en door dit uitgangspunt op deze manier in het Convenant Cyberveiligheid te zetten, willen we de ideevorming en samenwerking op dit gebied aanjagen. Een concreet voorbeeld is het bieden van digitale examenruimtes voor het afnemen van de taal- en rekenexamens als dat in de getroffen instelling niet meer kan. Uiteraard altijd op basis van een inspanningsverplichting en het principe van pas toe of leg uit.
Op welke manier vindt afstemming plaats met de IBP-ers in de scholen?
We doen dit samen met de scholen en de afspraken uit dit convenant komen voort uit discussies, ideeën en wensen vanuit het Netwerk IBP in het mbo. In dit netwerk zijn meer dan 150 IBP-functionarissen uit de mbo-instellingen verenigd. We spreken elkaar tijdens netwerkbijeenkomsten, online spreekuren en op diverse andere momenten. Daarbij hebben we de Regiegroep IBP, waarin 9 mbo-instellingen zijn vertegenwoordigd. Rondom belangrijke ontwikkelingen, zoals de selectie van de GRC-applicatie of de aanbesteding van de IT-audits formeren we klankbordgroepen waarvoor alle scholen worden uitgenodigd om deel te nemen.
Welke rol speelt OCW bij deze ontwikkelingen?
We hebben tijdens de voorbereiding van het Programma Cyberveiligheid afgestemd met OCW over het plan van aanpak en de subsidie die op basis daarvan is toegekend. Nu het programma Cyberveiligheid loopt, koppelen we regelmatig terug over de voortgang. OCW is dus betrokken maar heeft verder geen zeggenschap over de uitvoering van het programma. Ook heeft zij op geen enkele manier inzage in voortgang op schoolniveau. Resultaten vanuit bijvoorbeeld benchmarks en andere nulmetingen worden altijd geanonimiseerd, ook richting OCW.
Verder laat OCW het toezicht op de informatieveiligheid over aan de mbo-sector omdat we hebben laten zien dat de aanpak via selfassessments op het gebied van IBP goed werkt. Wel is is er een uitdrukkelijke wens, mede ingegeven door zorgen vanuit de Tweede Kamer, om te komen tot een meer objectieve beoordeling van de volwassenheid. Om die reden krijgt nu ook de externe audit een plek in het mbo-auditplan en de aanbesteding voor de IT-auditdiensten is in het kader van het programma Cyberveiligheid gestart. Door op deze manier zelf het initiatief te nemen gaan we ervan uit dat we voorlopig niet te maken krijgen met extern toezicht door OCW.
Bij veel uitgangspunten mis ik een concrete uitwerking, waarop geef ik dan een akkoord?
We gaan de komende 4 jaar met elkaar aan de slag. Veel zaken moeten we nog uitwerken, waarbij we te maken krijgen met nieuwe ontwikkelingen en inzichten. Om te voorkomen dat we op die manier herhaaldelijk langs de ALV moeten, kiezen we ervoor om een convenant op hoofdlijnen af te spreken en de uitwerking binnen de netwerken van MBO Digitaal te regelen. De bestuurlijke borging vanuit dit convenant zal die samenwerking verder stimuleren. Wanneer we in de uitvoering tegen grenzen aanlopen, bijvoorbeeld door gebrek aan consensus of mandaat, dan wordt het bestuur geraadpleegd.