Innovatiezone Cybersecurity: samenwerking en uitwisseling zijn cruciaal

Aanleiding innovatiezone

De innovatiezone Cybersecurity heeft een dubbele aanleiding, aldus Albert Hankel, Programmamanager Innovatiezone Cyberveiligheid: “Ten eerste heeft SURF in 2021 een nieuwe strategie ontwikkeld, waarbij we drie rollen voor onszelf definiëren. Eén daarvan is de rol van innovatiewerkplaats. Als we als coöperatie een complex vraagstuk tegenkomen dat een instelling niet alleen kan oplossen, kunnen we dat een plaats geven in een innovatiezone. Cybersecurity is zo’n complex vraagstuk. Ten tweede is er in dezelfde tijd een hack geweest bij de Universiteit Maastricht, die veel stof heeft doen opwaaien. De onderwijsinspectie heeft naar aanleiding daarvan een rapport gepubliceerd, dat ertoe heeft geleid dat de brancheverenigingen binnen de onderwijssector ieder een plan van aanpak hebben opgesteld. Daarin is aangegeven dat alle instellingen op het gebied van cyberveiligheid naar een volwassenheidsniveau 3 (op een schaal van 5) moeten groeien.”

Regiegroep

De innovatiezone Cybersecurity werkt niet op basis van een vast programma, maar de deelnemers  beoordelen samen wat nodig is om de volgende stap te zetten. Daartoe is een regiegroep gevormd met een brede vertegenwoordiging vanuit de onderwijsinstellingen. De drie sectoren (wo, hbo en mbo) hebben elk een vertegenwoordiger afgevaardigd van zowel de CSC’s (Coördinerend SURF Contactpersonen) als de CISO’s (Chief Information Security Officers). Daarnaast heeft er een vertegenwoordiger zitting vanuit de twee community’s op het gebied van security: SCIPR (gericht op beleid) en SCIRT (gericht op techniek). Beide community’s hebben meer dan 500 leden.

Security Expertise Centrum

Cybersecurity is een veelomvattend werkgebied waarbinnen de ontwikkelingen snel gaan; samenwerking kan daarbij veel voordelen opleveren. Paula Duijnhoven, Concern Information Security Officer bij Hogeschool Leiden: “Het mooie is dat we nu dankzij de community niet opnieuw het wiel hoeven uit te vinden. Met elkaar kunnen we veel meer bereiken dan wanneer elke instelling het gehele spectrum zelf moet uitwerken. We maken flinke stappen, met name met het Security Expertise Centrum dat tegelijk met de regiegroep is opgestart. Daar zijn drie medewerkers vanuit SURF mee bezig. Dat wordt de spin in het web in alles wat we doen, en dat hebben we als community echt nodig. Het expertisecentrum zorgt voor regie en bewaakt dat afspraken gemaakt en uitgevoerd worden. De regiegroep kan daar ook weer bij helpen door de juiste prioriteiten vast te stellen.”

Projecten

Het Security Expertise Centrum is het eerste project van de Innovatiezone cybersecurity. De focus ligt in deze fase sterk op het volwassenheidsniveau 3, stelt Albert: “Dat betekent voor instellingen vooral dat ze in detail moeten beschrijven hoe de security is geregeld. Dat is voor 80% hetzelfde voor alle instellingen, dus het is heel handig als we dat centraal kunnen doen. Dat kunnen we niet alleen als SURF, de expertise van de instellingen is daarbij echt nodig.”

Cyberweerbaarheidstesten

Maar de innovatiezone werkt ook aan andere projecten, zoals aan een pilot met cyberweerbaarheidstesten: “Daarbij gaat het vooral om de technische weerbaarheid van instellingen”, legt Albert uit. “We werken daarbij met redteaming, we huren hackers in om instellingen aan te vallen. Dat zijn omvangrijke onderzoeken die best een paar maanden kunnen duren. Zo’n onderzoek levert een goed inzicht in waar de zwakheden liggen en op welke punten de technische weerbaarheid verbeterd kan worden. Zo’n test gaat overigens niet alleen over de technische beveiliging, hackers kunnen ook gebruik maken van de gewoontes of goedgelovigheid van medewerkers.”

Cyberdreigingsbeeld onderwijs en onderzoek

Andere projecten van de innovatiezone zijn onder meer het jaarlijkse cyberdreigingsbeeld, waarin de grootste risico’s op het gebied van onderwijs en onderzoek in Nederland in kaart worden gebracht. Een nieuwe toevoeging daarop is het cyberbeschermingsbeeld dat medio 2023 verschijnt en dat de risico’s koppelt aan de opties die instellingen hebben om die risico’s te beperken. Verder ontwikkelt SURF compliancy-dienstverlening. “Dat is een dienst die we gaan opnemen in het basispakket”, zegt Albert. “Daarin voeren we privacy- en securityonderzoeken uit op leveranciers. Dat is belangrijk omdat veel instellingen hun ict niet meer in huis hebben, maar afhankelijk zijn van leveranciers uit de cloud.” “Het zou zonde van de moeite zijn als wij als instellingen apart zulke testen zouden gaan uitvoeren”, vult Paula aan. “Het is veel efficiënter om dat gezamenlijk aan te pakken.”

Uitdagingen

Gevraagd naar de uitdagingen op het gebied van cybersecurity waarmee de hogescholen worden geconfronteerd, noemt Paula allereerst de vastlegging van alle securityprocessen: “Daar worden we niet meteen beter van”, voegt ze er meteen aan toe. “Maar we kunnen de risico’s wel beter inzichtelijk maken en daarmee ook gerichtere maatregelen nemen. Verder zijn we bij Hogeschool Leiden nu heel concreet bezig met het implementeren van MFA (multifactorauthenticatie) voor studenten. Dat was al verplicht voor medewerkers, studenten konden op vrijwillige basis meedoen, maar het wordt nu ook voor hen verplicht. Dat zorgt direct voor een verhoging van het veiligheidsniveau.”

Cyberveiligheid is veel meer dan techniek, blijkt uit dit gesprek: een belangrijk punt is bewustwording van de risico’s, bij medewerkers en studenten. “We vragen van onze medewerkers en studenten eigenlijk een gezond wantrouwen bij alles wat ze digitaal binnenkrijgen”, zegt Paula. “Het gaat niet alleen om een linkje waarop je niet moet klikken, je kunt ook een spraakbericht binnenkrijgen van een stem die je denkt te herkennen. Daarom gaan we dit jaar een campagne opzetten met een externe partij om de bewustwording op het gebied van cyberrisico’s te vergroten.”

Artificiële Intelligentie en cyberveiligheid

Dat gezonde wantrouwen heeft alles te maken met de opkomst van AI (Artificiële Intelligentie) en de mogelijke gevolgen daarvan op de cyberveiligheid. “Dat kunnen we nu nog niet inschatten, daar moeten we echt een visie op ontwikkelen”, zegt Paula. “Het speelt op alle fronten en het verandert het onderwijs. Als het om informatiebeveiliging gaat is bewustwording belangrijk, hacking vernieuwt zich, er komen steeds weer nieuwe manieren om mensen om de tuin te leiden. En AI kan het aan de technische kant gemakkelijker maken om maatregelen te omzeilen. Het is een kat-en-muisspel.”

De beide gesprekpartners zijn het er in elk geval over eens dat een waterdichte beveiliging een illusie is. “De echt goede hackers komen wel binnen, met of zonder AI”, zegt Albert. “Geen enkele instelling zit op het niveau van professionele hackers. Als die willen en ze hebben het geld en de middelen, dan komen ze binnen.” Paula is het daarmee eens: “Het is een oneerlijke strijd. Als instelling moet je alles op orde hebben, hackers hoeven maar één zwakte te vinden. Daarom zijn de maatregelen niet alleen gericht op het buiten houden van hackers, maar ook op het detecteren en de impact minimaliseren. Het is niet de vraag of we gehackt worden, maar wanneer. En als het dan gebeurt, is het de kunst om de schade zoveel mogelijk te beperken.”