7 vragen over security aan Paul Schoemaker, Onderwijsgroep Galilei

Onderwijsgroep Galilei voerde vorig jaar een flinke wijziging door in het ICT-beleid. In plaats van afhankelijk te zijn van één leverancier voor alle disciplines zit het nu op de regiestoel en stuurt het meerdere gespecialiseerde aanbieders aan. Hoe bekijkt men hier het thema security? We vroegen het aan Paul Schoemaker, stafmedewerker ICT in de scholengroep die gevormd wordt door vijf vo-scholen in Brielle, Hellevoetsluis, Spijkenisse en Oud-Beijerland (4.800 leerlingen en 570 medewerkers).

Waar komen jullie vandaan als het gaat om security en privacy?

“Tot vorig jaar zaten we voor onze dienstverlening bij één partij die alle disciplines voor ons uitvoerde: van werkplek- en databeheer tot security en het inlogsysteem voor leerlingen en medewerkers. Het voordeel daarvan was dat we geen omkijken hadden naar veel systemen; we volgden simpelweg het beleid van onze leverancier. Inmiddels hebben wij de dienstverlening gesplitst en zoeken we per deelgebied naar de beste partij. Als regiepartij ben je daardoor constant aan het aansturen, onder meer op het gebied van security. Je moet ervoor zorgen dat al die partijen ook met elkaar overleggen en een duidelijk commitment afgeven over security. Dat is soms best een zoektocht, maar het past ook bij onze bredere visie als onderwijsgroep, namelijk ruimte geven voor ontwikkeling. Zowel op het gebied van onderwijs, maar ook persoonlijk en als organisatie.”

Waar staan jullie nu?

“Onze bestuursdienst zit inpandig bij één van onze scholen, Het Maerlant College in Brielle. Zaken als HR, facilitair, Administratie en ook ICT zijn hier ondergebracht. In totaal heeft de bestuursdienst twintig medewerkers. In 2019 zijn wij begonnen met het project voor het opsplitsen van ons totale ICT-dienstenpakket. Het idee daarachter was meer vrijheid om deelgebieden in te vullen naargelang onze behoefte op dat moment en voor de toekomst. Zo hebben wij nu Microsoft 365 en dataopslag in de cloud staan bij Microsoft en het werkplekbeheer ondergebracht bij IT-Workz. Voor identiteits- en toegangscontrole en het netwerkbeheer hebben we weer andere leveranciers. Op 1 maart 2020 waren we klaar met de implementatie van het nieuwe model. Inderdaad: vlak vóór de grote uitbraak van het coronavirus in Nederland. Dat we bijvoorbeeld net bezig waren om het gebruik van Microsoft Teams als middel om samen te werken onder de aandacht te brengen, heeft ons wel geholpen om onderwijs op afstand en hybride onderwijs snel op te pakken en goed in te voeren.”

Waar willen jullie over drie jaar staan?

“Sowieso willen we meer onder gaan brengen in de cloud. Toen wij aan ons project begonnen was bijvoorbeeld Azure nog niet zo volwassen dat al onze applicaties daar naartoe konden. Inmiddels kan het wel en het is onze volgende stap voor 2024. We zoeken dan nog een beheerder voor de Azure-omgeving. Een andere ontwikkeling is dat onze behoefte aan beheer op applicaties en werkplekken afneemt doordat er meer vanuit de cloud aangeboden wordt. Daarnaast geeft het groeiende gebruik van privédevices door leerlingen en medewerkers een andere dynamiek. Wat we willen blijven doen is het ondersteunen van veel flexibiliteit voor onze scholen. Zo hebben wij één school die alleen met iPads werkt, terwijl een andere school juist het gebruik van Chromebooks steeds verder uitrolt en weer een andere kiest voor Bring Your Own Device.”

“Op dit moment komen zo veel signalen binnen over security issues, dat het voor hen lastig is te doorgronden welke betrekking hebben op onze situatie.”

Hoe is het thema security belegd binnen de organisatie?

“Wij zijn gegaan van alles uitbesteden naar zelf beleid maken. Een andere ontwikkeling waar we invulling aan hebben gegeven is de komst van de AVG in 2018. Aanvankelijk lag er een grote focus op het laatste, wat geleid heeft tot een toename in het bewustzijn over security binnen onze onderwijsgroep. Wel blijft het een lastig onderwerp. Aan de ene kant kun je een boel zaken functioneel afhandelen, bijvoorbeeld het segmenteren van onze glasvezelverbindingen en het gebruik van DDoS-scans, waardoor we minder kwetsbaar zijn voor aanvallen. Aan de andere kant blijft het een wedloop tussen beveiliging en cybercriminelen. Als school hebben we een maatschappelijke functie, maar het blijft een afweging tussen noodzakelijke en extra investeringen met oog op de mogelijke risico’s. Dat is een constant proces en ook de reden waarom we de Onderwijs ICT Security Scan hebben ingezet: om te bepalen waar we staan en welke maatregelen op korte en lange termijn nodig zijn.”

Hoe vertaalt het beleid zich naar de verschillende scholen binnen de groep?

“Zaken als infrastructuur bepalen wij in overleg met de verschillende scholen en worden standaard uitgerold. We gebruiken een Microsoft-omgeving met de mogelijkheid daar verschillende soorten devices toe te passen. Op alle scholen zijn systeembeheerders actief die in hun rol het beleid uitvoeren maar ook ruimte hebben voor het maatwerk dat nodig is om een veilige omgeving te realiseren. Alle systeembeheerders zitten overigens in een werkgroep die regelmatig bij elkaar komt. DDoS-aanvallen en de verstoringen die deze met zich mee kunnen brengen zijn een van de grootste dreigingen die wij inmiddels redelijk hebben afgevangen. Een andere problematiek is gebruikersvaardigheden. Denk aan systemen die niet afgesloten worden of leerlingen die het wachtwoord van een docent kunnen zien. Door de gehele toegangscontrole te automatiseren hebben we daar goed grip op. Het risico dat overblijft zit dan vooral in zaken als phishingmails en security hacks.”

Wie is verantwoordelijk voor security binnen de groep?

“Officieel is dat het bestuur, samen met de directies. Mijn rol is ervoor te zorgen dat zij goed geïnformeerd zijn en meegenomen worden in securityvraagstukken. Op dit moment komen zo veel signalen binnen over security issues, dat het voor hen lastig is te doorgronden welke betrekking hebben op onze situatie. Denk bijvoorbeeld aan de berichtgeving over aanvallen op universiteiten en hogescholen in Nederland en België. De uitdaging is deze goed te beoordelen en de focus te leggen op zaken waar we echt aandacht aan moeten geven. Daarbij leunen we ook op de kennis van onze leveranciers. Ons doel is om in ieder geval constant geïnformeerd te zijn over nieuwe ontwikkelingen en constant door te ontwikkelen.”

Welke uitdagingen zijn jullie afgelopen jaar tegengekomen?

“Als gevolg van de coronapandemie was dat het vertrouwd maken van onze docenten met het geven van digitaal onderwijs. Maar ook het helpen van leerlingen die niet konden beschikken over de juiste middelen om thuisonderwijs te volgen. We hebben ruim gebruik gemaakt van overheidssubsidies om groepen die extra ondersteuning nodig hadden te voorzien van geschikte devices en thuisnetwerken. Nieuwe securityvraagstukken waren er eigenlijk al niet. We hanteerden al een centraal toegangssysteem dat we voor thuis- en hybride onderwijs konden blijven gebruiken. Voor de Chromebooks werkt het iets anders maar ook dat is eenvoudig in te regelen. Qua incidenten hebben we eigenlijk maar met één grote DDoS-aanval te maken gehad die we door onze load testing snel gesignaleerd kon worden en grotendeels gepareerd. De impact was mede daardoor minimaal; we zijn hooguit twee uur uit de lucht geweest. Wat we echter wel hebben gezien, is een toename van het aantal phishingmails. Door daar veel aandacht aan te besteden, onder meer door posters in docentenkamers en in interne nieuwsbrieven, maken we onze mensen hier alert op.  Ons aandachtspunt voor de komende tijd is het nemen van vervolgstappen op het gebied van awareness en hoe we dit nog beter in kunnen vullen.

Whitepaper: Naar een veiligere, hybride onderwijsomgeving

Breens Network heeft een whitepaper samengesteld gebaseerd op een security-onderzoek binnen het vo en mbo uitgevoerd door Kantar. In deze whitepaper krijg je concrete handvatten mee om te komen tot een verantwoorde en veilige (hybride) leeromgeving.

Klik hier om naar de downloadpagina van de whitepaper te gaan.