Artikel: Digitale veiligheid hoort op de bestuurstafel

Marjolein Jansen is vicevoorzitter van het College van Bestuur van de VU. Ook is ze ambassadeur cybersecurity voor SURF. Ze houdt zich bezig met cybersecurityvraagstukken van mbo's, hogescholen, universiteiten, UMC’s en onderzoeksinstellingen.

studenten achter gaming laptop Apeldoorn

Digitaal gedrag

Voor deze VU-bestuurder is ICT niet eng, lastig of ver van het bed. In haar functie als plaatsvervangend en waarnemend secretaris-generaal van het ministerie van Onderwijs, Cultuur en Wetenschap stond Marjolein Jansen in 2008 aan de wieg van het project Integrale Veiligheid Hoger Onderwijs. “Onze zorg was toen hoe om te gaan met gegevensuitwisseling, met name van en naar DUO. Veiligheid ging over data en veel minder over gedrag. We praatten primair over open standaarden, het digitaal aanmelden van studenten en de authenticatie en verificatie van hun identiteit.”

In de jaren erna werd lesmateriaal digitaal, technologie raakte verweven met primaire onderwijsprocessen en het bewustzijn groeide dat ICT ook voor kwade bedoelingen kon worden ingezet. Cyberpesten en datalekken zijn echt en ook de risico’s van social media worden pijnlijk duidelijk. Gedrag is onderdeel van digitale veiligheid, maar de aandacht ligt  vooral op de techniek en de ICT-organisaties.

Cybersecurity naar portefeuille bestuurder

Nu is het tijd dat cybersecurity verhuist naar de portefeuille van de bestuurder. “Technologie is maar een deel van het verhaal. Bij de VU denken we na over wat de digitale wereld met het onderwijs doet en hoe we ons weerbaarder kunnen maken. Dat betekent ook dat we ons de vraag moeten stellen welke risico’s wij als organisatie willen lopen, welke kosten we daarvoor willen en kunnen maken en hoe we het regelen in de organisatie. Dat zijn bestuurlijke vragen.”

In een ideale wereld doen instellingen dat samen. “Wij zijn als onderwijsinstelling blij met SURF, met de bundeling van denkkracht, netwerk en inkoop en ik denk dat we SURF ook op het onderwerp van cybersecurity kunnen inzetten. Iedereen vindt nu zijn eigen beveiligingswiel uit, in de veronderstelling dat iedere situatie uniek is. Iedere onderwijzer en wetenschapper is inderdaad uniek, maar security gaat overal over enen en nullen."

Impact cyberaanvallen

De VU was een van de 26 instellingen die in 2016 deelnam aan de landelijke SURF cybercrisisoefening voor onderwijs en onderzoek (OZON). Leerzaam, vond Jansen. “In tegenstelling tot fysieke veiligheidsoefeningen, zie je bij digitale aanvallen niet welke deuren openstaan en wie er binnenloopt. Ook is de impact op andere, verbonden systemen niet altijd duidelijk.” 2 weken later kregen collega’s in Rotterdam te maken met een gerichte aanval, vertelt Jansen. “De eerste reactie was: ‘Is dit echt?’” Die aanval was een zeer duidelijk signaal en de portefeuille ligt nu op bestuursniveau.

Bescherming persoonsgegevens

De Algemene Verordening Gegevensbescherming (AVG) is in dezen een bondgenoot. Door de belofte van hoge boetes is de urgentie van solide cyberbeveiliging doorgedrongen tot bestuursniveau. “Boetes terzijde, de basis van de AVG is het recht van zelfbeschikking en bescherming van persoonsgegevens. Technologie maakt dat bescherming van onze data beter kan, maar ook hier doen we bijna alles in splendid isolation. Standaard wil ik producten en diensten die gecertificeerd veilig zijn. Waarom heeft mijn aanbieder van online diensten die niet? Dan zou ik eenvoudig weten dat ik veilig online ben. Dat soort zaken moeten we durven uitspreken.”

ICT moet veiliger en eenvoudiger

Een besloten werkconferentie op 13 oktober 2017 stemt Jansen hoopvol. Samen met 4 collega-bestuurders, ICT-directeuren en directeuren onderwijszaken (een vertegenwoordiging van bijna alle universiteiten) sprak ze over de kansen en bedreigingen van ICT en digitalisering in het hoger onderwijs. Iedereen erkent dat cybersecurity en privacy geen technische uitdagingen zijn en dat ze raken aan de kwaliteit van onderwijs en onderzoek.

Er is behoefte aan meer samenwerking via SURF en de koepelorganisaties. Ook sprak men over aandacht voor bewustzijn en vaardigheden in alle lagen van de organisatie. De boodschap is dat ICT veiliger moet maar ook eenvoudiger, zodat mensen hun verantwoordelijkheid willen en kunnen nemen. “De hele boel dichttimmeren werkt namelijk niet. Als de werkomgeving te complex is, gaan mensen vertrouwelijke documenten naar hun persoonlijke hotmailaccount sturen. Elke week verplicht het wachtwoord wijzigen is ook geen oplossing. Mensen kiezen dan supersimpele wachtwoorden en plakken die met briefjes op de computer om ze te onthouden.” De combinatie online inloggen met dubbele verificatie via mobiel zoals banken dat doen werkt goed, zolang mensen een wachtwoord op hun telefoon hebben.

“Laatst vond ik een onbeveiligde mobiel in een van onze vergaderkamers. Ik belde de eigenaar. Die was erg blij dat het toestel terecht was, maar ik zei: ‘Kom eerst maar even praten’. Mensen moeten zich ervan bewust zijn dat ze echt iets te verbergen hebben, zoals bankrekeningen en privéfoto’s.”

Basis op orde

De basisinfrastructuur moet veilig en makkelijk toegankelijk zijn. Daarnaast moeten onderzoekers, medewerkers en studenten zorgvuldiger omgaan met hun veiligheid. “Studenten willen hun eigen roosters samenstellen en hun cijfers online inzien. Dat moet ook kunnen, maar inzage maakt ook kwetsbaar. Als zij het kunnen, kan een ander het ook.” Jansen noemt cybersecurity een basisvoorwaarde om te kunnen innoveren en flexibiliseren. Maar dit raakt ook aan reputatiemanagement. “Stel dat registratie bij een universiteit leidt tot spam en andere ongewenste mailtjes in de mailbox van studenten, dan komt dat niet betrouwbaar over. Dit is een voorbeeld van hoe technologie alle aspecten van het onderwijs raakt.”

Dit artikel is eerder verschenen in SURF Magazine 04 (december 2017).