In april vonden de eerste sectorsessies plaats van dit jaar. Dit is het eerste uitgebreide verslag van de tweede sessie, met als thema Cyber & Onderwijs. De korte videosamenvatting zal worden bijgevoegd bij het tweede deel van dit verslag.
De deelnemers
Deelnemers aan de tweede sessie waren:
- André Poot: -staffunctionaris ICT en Privacy Officer stichting CVOHV
- Liam Teunen -docent DVC (voornamelijk beheer en security) tevens betrokken bij Erasmus Plus cybersecurity programma voor studenten uit heel Europa
- Rolf Ritsema –operationeel manager bij Kien ICT (ICT-facilitator voor diverse scholengemeenschappen, waaronder het Da Vinci College en HBO Drechtsteden)
- Jacob van der Vis – cybersecurityspecialist bij de Kamer van Koophandel
- Jan Scharloo (docent DVC; geeft cybersecurity lessen o.a. aan BBL studenten)
- Gerben van der Staal: docent ICT-lessen aan DVC (o.a. security en datacom)
Namens CND namen Wico van Helden en Pieter Kroon deel aan het gesprek. Edwin van der Lee verzorgde ook dit keer weer de techniek.
Voorbeeld uit de praktijk van het onderwijs
Het gesprek start met de vraag of er iemand onder de aanwezigen is die vanuit de praktijk een voorbeeld kan geven over cyberproblematiek in relatie tot het onderwijs. Rolf komt direct met een redelijk recent, aansprekend, voorbeeld uit de regio.
“Net voor de Kerst kregen we binnen de coöperatie te maken met een behoorlijk geavanceerd phishing incident. Heeft ook in de regionale media gestaan. Dit was een listige phishing actie waarbij een schijnbaar door de schooldirecteur ondertekende mail werd gestuurd m.b.t. Covid nieuwe maatregelen. In de mail stond een link naar een op It’s Learning gelijkende omgeving, met een aangepaste URL (link) die leidde naar een pagina die ontzettend veel leek op de originele It’s Learning pagina. Compleet met logo’s, bijna niet als fake herkenbaar voor de gemiddelde gebruiker. Die liet dan ook nietsvermoedend zijn credentials achter, waardoor de hacker via een tweetal accounts kon binnenkomen en daarvan de volledige mailbox kon leegtrekken. (Red: It’s Learning is een softwareprogramma dat door veel scholen wordt gebruikt) Hier zie je een nadeel van een Single Sign On (SSO) oplossing. SSO is erg makkelijk voor de gebruiker, maar als er geen 2 factor authenticatie is toegepast kun je als hacker heel makkelijk door alle gekoppelde applicaties heen wandelen. Uiteindelijk is er informatie gedeeld op social media, met als doel om imagoschade aan te brengen aan de betreffende school. Het ging hier dus niet om een ransomware-actie, of om geld. Dit was echt een geval van “de aanhouder wint”. De aanvallen zijn tot 4x toe door het spamfilter tegengehouden, maar de hacker is net zolang blijven tweaken tot het lukte. Dat is overigens iets wat we regelmatig tegenkomen. Zorg dus dat je je aandacht focust op de voorkant -je mail- want daar komt de meeste ellende binnen”.
Jan: ”Vraagje, Rolf. Is er aangifte gedaan?”
Rolf: “Ja, ook al drong “het boefje” erop aan dit niet te doen. Wij hebben met onze cybersecurityverzekeraar afgesproken om altijd aangifte te doen. Daarna stopte de hacker overigens direct. Voor zover ons bekend is de dader is nog niet achterhaald”.
Jacob vraagt vervolgens naar de ervaringen met de verzekering en de consequenties.
Rolf: “Onze ervaring met de verzekeraar is eigenlijk uitstekend. En zeker met de emergency helpdesk. Die helpen je direct met de eerste acties -wij hadden direct alle wachtwoorden gereset- , maar ook met bijvoorbeeld het opzetten van zaken als crisismanagement en –communicatie, ook richting het bestuur. Kortom, de ervaringen waren positief”.
Meer voorbeelden
André: “Ik ben een half jaar bezig geweest met een casus rondom een oud-medewerker die zijn mailbox had meegenomen. Dit wordt door de Autoriteit Persoonsgegevens gezien als datalek terwijl het juridisch niet verboden is om dit te doen. Maar wij waren als verwerker wel verantwoordelijk voor de informatie. AP heeft ons op de vingers getikt vanwege niet op tijd melden en onvoldoende informeren van de betrokkenen. Het was echter praktisch gezien niet mogelijk om alle betrokkenen uit een mailbox over een jarenlange periode (tienduizenden mails) te informeren. Uiteindelijk namen ze er genoegen mee dat we –enigszins cryptisch- de medewerkers hebben geïnformeerd dat er een mailbox was meegenomen en dat de eigenaar hiervan gebruik had gemaakt. Dit incident heeft geleid tot forensisch onderzoek en een pentest. Wij zijn hier niet voor verzekerd. Al met al heeft “dit grapje” ons rond de 50K gekost en hebben we ons ingedekt tegen eventuele gevolgacties. Er was overigens geen kwestie van bewust kwade opzet. We hebben vanwege deze case al onze procedures aangepast ”.
Jan: “Zijn er afspraken gemaakt in de organisatie omtrent uitdiensttreding en wat je wel of niet mag meenemen?”
Andre: “We hebben de regels aangepast en zijn nu bezig een on- en off boarding protocol op te stellen waarbij meer aandacht is voor dit soort zaken”.
Jan: “Vroeger werd een accountmanager bij ontslag direct op non-actief gesteld om te voorkomen dat hij nog toegang kreeg tot zaken die het bedrijf niet wilde delen”.
Pieter: “Dat heeft vooral te maken met commerciële belangen en concurrentieoverwegingen”.
Jan: “Zodra in ons systeem is aangetekend dat een student is geslaagd wordt hem direct de toegang tot het systeem ontzegd”
Conflicten op gebied van regelgeving rondom privacy en transparantie
Vervolgens kwam het gesprek op de sessie van de vorige dag (sectorsessie Cyber & Zorg) waarin naar voren kwam dat er zich op het gebied van regelgeving vaak conflicten voordoen. Bijvoorbeeld dat je vanuit privacyregelgeving bepaalde zaken dient af te schermen terwijl je vanuit je zorgplicht verplicht bent om informatie te ontsluiten.
André: “Dat herken ik wel. In het eerdergenoemde voorbeeld had de persoon in kwestie 5 dagen voor zijn vertrek zijn mailbox volledig gewist nadat hij deze had doorgestuurd aan zichzelf. Daar kwamen we via de back-up achter. Het conflict zit hem erin, dat mail door de rechter wordt gezien als privé, ook al is het werkmail. De rechter stelt dan ook dat je je mailbox gewoon mag meenemen als je uit dienst gaat, maar de Autoriteit Persoonsgegevens redeneert dat je dan van duizenden mensen persoonsgegevens meeneemt en buiten het toezicht van de verwerker plaatst. En dat ben je als verwerker verplicht te voorkomen. Dan loop je juridisch dus klem.
Wico: “Hebben jullie dit zelf gemeld?”
André: “Ja, maar we kregen vervolgens wel het verwijt dat we daar te laat mee waren”
Melden is verplicht, maar je weet dat je daarmee dus iets over je afroept.
André: “Dat is waar, maar we melden toch netjes. Met enige regelmaat zelfs. Het zijn overigens wel vaak dezelfde soort incidenten”.
Rolf: “Als je soms ziet wat er rondgemaild wordt, daar schrik je van. Dat is wel een les die we geleerd hebben. Zeker als je bedenkt hoe lang mailboxen bij de huidige opslagcapaciteit worden bewaard. Wij adviseren dan ook om niet te mailen maar te delen. En loop af en toe eens door je mailbox heen om te kijken wat erin zit en wat daar eigenlijk niet in hoort. Simpel voorbeeld: cv’s die gestuurd worden door sollicitanten”.
Pieter: “Klopt, maar dat gebeurt meestal niet bewust. Je denkt er vaak niet aan om iets achteraf te verwijderen, of elders op te slaan. Kijk eens hoeveel mailtjes er op een dag in- en uit je mailbox gaan”.
Gerben: “Komt nog bij dat apps niet alleen maar op je laptop staan. Tegenwoordig heeft bijna iedereen ook mail op zijn telefoon en op zijn tablet. Mail is bijna overal toegankelijk”.
Rolf: “Je hebt altijd te maken met de balans tussen gebruiksgemak en het veilig houden van de omgeving. Microsoft vindt het handig dat je snel kan inloggen, dus zetten ze de zgn. persistent cookie op 30 dagen dus je blijft die hele tijd gewoon actief. Het is dan ook het beste om in je tenant aan te zetten dat je die persistent cookies niet moet gebruiken. Gevolg is dan wel dat gebruikers meerdere keren per dag moeten inloggen dus het is altijd zoeken naar een werkbare balans”.
-wordt vervolgd –