Vraag en antwoord Convenant Cyberveiligheid

Op welke manier werken we samen aan sectorbrede maatregelen?
We proberen schaalvoordelen te realiseren door samen te werken aan mitigerende maatregelen. Een voorbeeld daarvan is SURFsoc. Door dit sectorbreed in te zetten komt dergelijke complexe technologie beschikbaar voor alle mbo-instellingen. Het gaat daarbij niet alleen om de prijs maar vooral om de kennisdeling, ondersteuning en doorontwikkeling. Op die manier kijken we ook naar andere maatregelen, zoals awareness-activiteiten. Instellingen kunnen dus van deze sectorbrede maatregelen gebruikmaken, maar kunnen ook andere keuzes maken.

Moeten we nu alles samendoen? We hebben ook onze eigen agenda.
In het programma Cyberveiligheid mbo staat samenwerking op het gebied van cyberveiligheid centraal. Soms móét het samen, bijvoorbeeld als we benchmarken en soms ligt het voor de hand; bijvoorbeeld bij SURFsoc. Maar dat betekent niet dat we alles samen moeten doen. Instellingen maken een eigen risico- en prioriteitsafweging en kiezen eigen organisatorische en technische maatregelen op cybergebied.
Vervolgens zit ook daar een samenwerkingscomponent waar het gaat om het delen van good practices. We willen kennisuitwisseling stimuleren en ook op dit aspect zet het convenant in.

Wat is het verschil tussen het NBA-toetsingskader en het SURFaudit-toetsingskader?
Er is geen verschil, SURF heeft er gewoon een eigen naam aan gegeven: het SURFaudit toetsingskader Informatiebeveiliging. We benchmarken in het mbo dus over de boeg van exact dezelfde statements als de universiteiten en hogescholen. In het mbo houden we het bij de oorspronkelijke naam: het NBA-volwassenheidsmodel Informatiebeveiliging, vaak verkort tot NBA-model, NBA-framework of NBA-kader.

Wat is er afgesproken over het sectorbrede streefniveau voor de volwassenheid?
Naar aanleiding van diverse cyberincidenten in de onderwijssector is dit onderwerp diverse keren besproken in de politiek. OCW staat op het standpunt dat de onderwijssector dit zelf, zonder externe dwang of toezicht kan regelen, omdat we dit al jaren succesvol doen. Daarbij is wel de voorwaarde gesteld dat iedere instelling een gemiddeld volwassenheidsniveau van 3,0 scoort, gemeten over alle 69 controls van het NBA-toetsingskader. We hebben hierover afgesproken dat we de uitgevoerde nulmeting informatiebeveiliging evalueren en op basis daarvan met OCW afspraken maken over het moment waarop deze norm van 3,0 gaat gelden voor de mbo-sector. De besluitvorming hierover zal plaatsvinden in het najaar van 2023.

Zijn we ons ervan bewust dat het uitsluitend werken aan volwassenheid niet per definitie leidt tot cyberweerbaarheid?
Jazeker, normen- en toetsingskaders zoals de ISO 27001 en het NBA-toetsingskader zeggen veel over het op orde hebben van je processen, maar geven beperkt garanties over je feitelijke technische weerbaarheid. Daarvoor zijn aanvullend technische maatregelen nodig en op dat gebied werken we vanuit ons programma samen met SURF, binnen de Innovatiezone Cyberveiligheid en het SURF Security Expertise Centrum.

Is het gebruik van de mbo-brede GRC-applicatie verplicht?
Voor het bijhouden van de actuele volwassenheid en het documenteren van de bijbehorende bewijslast is het gebruik van de GRC-applicatie verplicht. De applicatie wordt namelijk gebruikt om gegevens voor de IBP-benchmarks aan te leveren. Ook het verlenen van toegang voor externe audits verloopt via deze applicatie. Door gebruik te maken van de GRC-applicatie kunnen we dus de benchmarks en audits die we nu ook al doen veel efficiënter organiseren. In het programma van eisen wordt rekening gehouden met een inrichting voor deze minimale variant.
De GRC-applicatie kan daarnaast worden ingezet als hulpmiddel om de IBP-werkzaamheden te organiseren en door te groeien naar een meer risico-gebaseerde werkwijze. De applicatie faciliteert daarmee de groei van compliance- naar meer risico-gebaseerd werken. Dit is mbo-breed een belangrijke doelstelling vanuit ons NBA-kader. Deze vorm van gebruik van de applicatie is niet verplicht, al hopen we dat alle instellingen ook van deze, meer geavanceerde mogelijkheden gebruik gaan maken.

Is de GRC-applicatie voldoende beveiligd?
De GRC-applicatie bevat gevoelige informatie die goed beschermd moet worden. Daarom is er in het programma van eisen veel aandacht voor de beveiliging van de applicatie. De leverancier moet aan certificeringseisen voldoen en zal jaarlijks getoetst worden door middel van pentesting.

Wie heeft toegang tot de gegevens in de GRC-applicatie?
Alleen door de instelling geautoriseerde gebruikers hebben toegang tot de gegevens. Voor benchmarkdoeleinden wordt door de instelling een rapportage beschikbaar gesteld. Voor de uitvoering van externe audits krijgt de externe auditor door de instelling specifiek autorisatie voor de beoordeling van een voor dit doel klaargezet assessment.

Wat wordt bedoeld met samenwerken op het gebied van cloudleveranciersmanagement?
Vrijwel alle applicaties die we in het mbo gebruiken, worden afgenomen als SaaS-applicatie: de applicatie draait niet in eigen huis maar wordt aangeboden vanuit het datacenter van de leverancier. Om de veiligheid te waarborgen moeten er (verwerkers)overeenkomsten worden afgesloten, waarbij we zoveel mogelijk gebruikmaken van modelovereenkomsten. Op die manier kunnen we de kwaliteit van de overeenkomst en de naleving ervan beter waarborgen. Met name de veiligheidswaarborgen worden in deze standaardovereenkomsten centraal beoordeeld, zodat individuele instellingen niet zelf in discussie hoeven te gaan met de leverancier.
We werken ook samen als het gaat om de uitvoering van DPIA’s, pentesten en audits. De individuele instelling wordt hiermee ontzorgd en de leverancier heeft te maken met een aanspreekpunt. Voor een belangrijk deel doen we dit samen met SURF en het is zeker niet de bedoeling om in dit verband de rol van inkooporganisatie te gaan overnemen.

B. Beperken van de impact van cyberincidenten

Crisisinformatie delen via SURFcert: alleen voor leden van SURF?
Deelname aan SURFcert is alleen mogelijk voor leden van SURF. Dat is een van de redenen waarom we vanuit het programma Cyberveiligheid het lidmaatschap hebben aanbevolen. SURF is in gesprek gegaan met instellingen die nog geen lid zijn en inmiddels zijn, op twee instellingen na, alle mbo-instellingen lid. De laatste twee hebben toegezegd nog dit jaar lid te worden.

Welke uitwijkopties kunnen we elkaar bieden bij een cybercrisis?
Vanuit het netwerk IBP komen ideeën naar boven die de moeite van het uitwerken waard zijn en door dit uitgangspunt op deze manier in het Convenant Cyberveiligheid te zetten, willen we de ideevorming en samenwerking op dit gebied aanjagen. Een concreet voorbeeld is het bieden van digitale examenruimtes voor het afnemen van de taal- en rekenexamens als dat in de getroffen instelling niet meer kan. Uiteraard altijd op basis van een inspanningsverplichting en het principe van pas toe of leg uit.