‘Wacht niet tot het misgaat’: zo werkt ROC Rivor aan betere cyberveiligheid

Bij ROC Rivor staat aandacht voor cyberveiligheid het hele schooljaar door hoog op de agenda. Zo houden campagnes medewerkers alert op digitale dreigingen en blijven systeembeheerders scherp dankzij onder meer jaarlijkse pentesten. Sander Mol, senior systeembeheerder en informatiebeveiligingsfunctionaris, vertelt hoe de kleine mbo-instelling telkens stappen zet om cyberweerbaarder te worden. ‘We willen geen vinkjes zetten, maar direct handelen en met medewerkers het gesprek aangaan.’

Al is ROC Rivor één van de kleinste ROC’s van Nederland, de aandacht voor cyberveiligheid is er in Tiel en omstreken niet minder om. Volgens Sander is klein zijn zowel een voor- als nadeel. ‘Bij ons draag iedereen meerdere petten en zijn de lijntjes kort, waardoor we snel beslissingen kunnen nemen’, vertelt hij. Maar omdat systemen die digitaal verkeer monitoren en aanvallen detecteren duur zijn, gaan de systeembeheerders wel extra bewust en kritisch om met budgetten. ROC Rivor maakt om die reden dankbaar gebruik van de twee pentesten die vanuit het programma Cyberveiligheid voor mbo-instellingen kosteloos beschikbaar zijn. Elke mbo-instelling kan hiermee haar cybersecurity twee keer laten testen door een externe partij.

Niet eigen vlees keuren

Sander vindt zo’n frisse blik van buiten enorm waardevol. ‘Net als een slager willen wij ons eigen vlees niet keuren’, licht hij toe. ‘Een pentest geeft ons een neutrale blik op ons netwerk, uitgevoerd door specialisten die dezelfde expertise hebben als eventuele hackers. Liever dat zo’n ethische hacker een kwetsbaarheid ontdekt dan een kwaadwillende. Wij kregen daarmee zicht op kwetsbaarheden die we zelf nog niet helder op het netvlies hadden.’

Heldere afspraken over testen

Met Sogeti, één van de 6 partijen die het programma heeft gecontracteerd voor de pentesten, sprak ROC Rivor af om twee soorten testen te laten uitvoeren. Sander: ‘Met de blackbox-test simuleerden we een echte aanval van buitenaf omdat we geen informatie met de testers deelden. We daagden ze uit om in ons netwerk binnen te dringen en kijken of ze schade konden aanrichten.’ In totaal hadden de testers 64 uur om hun werk te doen. ‘We wilden het alleen weten als ze echt iets ernstigs vonden. En ja, na een aantal dagen kwamen ze binnen.’ Voor de tweede, greybox-test hadden de pentesters al toegang tot het netwerk en kregen ze van Sander beperkte informatie zoals een gebruikersaccount.

Kritiek? Meteen oplossen!

Uiteindelijk vonden de pentesters drie kritieke kwetsbaarheden. De meeste waren te herleiden tot menselijk gedrag. Een voorbeeld: een medewerker sloot een remote-desktop-sessie op een server niet netjes af. ‘Dat was eenvoudig op te lossen. We spraken de medewerker aan en stelden op de server een automatische time-out in.’ De betrokken server – een printserver – was sowieso al geïsoleerd van het netwerk, maar Sander benadrukt het principe: ‘Als je een pentest laat doen, moet je ook iets dóén met de uitkomsten. Anders sla je de plank mis.’ Andere bevindingen betroffen een server die toch al op de rol stond om vervangen te worden. Omdat het om lage risico’s ging, kozen Sander en collega’s bewust om de fix te combineren met de geplande migratie.

Campagnes en koffiekamergesprekken

Cyberveiligheid is bij ROC Rivor meer dan techniek. Gedrag is minstens zo belangrijk. ‘We doen doorlopend aan bewustwording’, legt Sander uit. ‘Met themaweken, posters, wachtwoordtips en zelfs stickers die we op onbeheerd achtergelaten laptops plakken.’ Een succesvolle actie was een usb-dropping. ‘We lieten usb-sticks rondslingeren in het pand. Zodra iemand een stick inplugde, verscheen er een waarschuwing op het scherm. Daarna gaven we een workshop op de studiedag. Dat werkte: weken later hadden mensen het er nog over. De helpdesk kreeg zelfs extra vragen binnen: wat kan ik doen om veiliger te werken? Dat is precies het effect dat je wilt.’

Cyberveiligheid is gezamenlijke verantwoordelijkheid

Sander is zich bewust van de rol die andere medewerkers hebben bij cyberveiligheid. ‘Er is weleens wrijving tussen ict en de organisatie. Wijs je iemand op een onbeheerde laptop, dan krijg je een verontwaardigde reactie in plaats van een dank-je-wel.’ Maar er is vooruitgang, merkt hij. Door meer zichtbare campagnes en een cybermodule in de onboarding voor nieuwe medewerkers.

Ook probeert Sander medewerkers vaker de vraag te stellen hoe de ict-afdeling ervoor kan zorgen dat zij hun werk veilig kunnen uitvoeren. ‘Zodat mensen cyberveiligheid steeds meer gaan voelen als gezamenlijke verantwoordelijkheid. Die awareness begint bovenin: het is belangrijk dat leidinggevenden en directie actief het goede voorbeeld geven.’

Structurele aanpak en doorpakken met tweede pentest

Pentesten zijn bij ROC Rivor al enkele jaren structureel onderdeel van het cyberveiligheidsbeleid, net als andere vormen van testen, monitoring en campagnevoering. ‘Op deze manier testen we elk jaar ook systemen die geüpdatet of nieuw zijn. En blijven we alert. De techniek kun je afkaderen, maar mensen blijven de zwakste schakel. We gaan zeker gebruikmaken van de tweede pentest die via het programma beschikbaar is. Waarschijnlijk met dezelfde scope, maar misschien met extra aandacht voor onze printomgeving.’

Tip: pentesten, gewoon doen!

Voor collega-systeembeheerders van andere instellingen heeft Sander een duidelijk advies: ‘Twijfel niet over de pentest, zeker nu je het via het programma Cyberveiligheid kosteloos kunt regelen. Zorg dat je je leidinggevende, directie en/of bestuur meekrijgt. Dan ben je al een heel eind. Liever nu een rapport van een ethische hacker, dan straks met een datalek op het journaal.’

Meer informatie

Wil je meer weten over de voor mbo-instellingen kosteloze pentesten van het programma Cyberveiligheid of er zelf een aanvragen? Neem dan contact op met Evie-Janne van Noorel.