• 22 december 2008
  • door Aad van der Drift

    Veiligheid op school
    Diverse vormen van computervredebreuk bedreigen het onderwijs. In Nederland zitten ruim 465.000 leerlingen in de schoolbanken van het voortgezet onderwijs, deze leerlingen krijgen ook nog eens les van ongeveer 50.000 collega’s . In zo’n grote groep mensen zitten uiteraard meerdere personen met een experimentele geest of verkeerd karakter.

    In iedere geval is er een ruime keur binnen deze half miljoen potentiële gevaren. Computercriminaliteit zijn strafbare handelingen die betrekking hebben op een computersysteem. In het onderwijs kennen we al veel voorbeelden van zoals het platleggen van het schoolnetwerk, wijzigen van databestanden, maar ook ongeoorloofd sexuele en financiële handelingen. Dit soort handelingen hebben een extra zware dimensie als ze vanuit de school worden gepleegd, immers het raakt dan aan vertrouwenskwesties op sociaal, pedagogisch en economisch vlak.

    Computercriminaliteit komt langzamerhand steeds vaker binnen het domein van de school terecht, logisch als je bedenkt dat er ook steeds meer computers in de scholen staan. Bijvoorbeeld bij een schadelijke aanval op servers vanuit een onderwijsinstelling kan dat voor de school juridische gevolgen hebben. Mochten de juridische gevolgen meevallen dan is er altijd nog imagoschade. Geen school wil met pedofilie, financiële fraude of zwakke beveiliging in verband worden gebracht. Wie denkt dat het volledig afsluiten van netwerken en zware controle de oplossing is heeft het helaas mis, beiden zijn vanwege de werkbaarheid in de school niet 100% mogelijk.

    De bedreigingen waar een school mee te maken kan hebben komen van diverse kanten, denk bijvoorbeeld maar aan draadloos werken, vreemde devices (als leerling-laptops en mobiele telefoon), ELO (waarop gechat en bestanden uitgewisseld kunnen worden, hostingdiensten en services, externe gebruikers (steeds meer ouders hebben toegang op school), USB sticks, Webopslag, online toegang naar huiscomputer.

    De school moet zich permanent afvragen hoe ze zich tegen deze bedreigingen kan wapenen en hoe ze hiermee om moet gaan. Privacy, vertrouwen en werkbaarheid dienen dan ook nog eens gewaarborgd te blijven. Het is in elk geval een overweging waard om schoolbeleid te maken met betrekking tot computer-criminaliteit. Directies die niet goed weten of het binnen hun instelling wel nodig is kan een handreiking worden gegeven door zich te buigen over vragen als
    Wat betekent het als ……

    • je gegevens niet meer kloppen!
    • computersystemen niet meer functioneren!
    • internet uitvalt!
    • schoolgegevens op straat liggen!
    • persoonsgegevens op straat liggen!
    • je imago wordt beschadigd!

    Hacken, defacen (vandalisme), scammen, spyware, keyloggen, spam, virus, phishing, DoS, portscan, sniffing en spoofing. De mogelijke visie die hieruit ontwikkelt kan in samenwerking met de technici van de school gevaren als hacken, defacen (vandalisme), scammen, spyware, keyloggen, spam, virus, phishing, DoS, portscan, sniffing en spoofing behandelen. Er zal in het beleid aandacht moeten zijn voor sociale gevaren, met vragen over verantwoordelijkheid van school, beheer en gebruikers. Gedragsregels voor personeel en leerlingen voor werken in de school als activiteiten buiten de school moeten aandacht krijgen. Immers Grooming, ongewenst, meestal seksueel getint contact met leerlingen doen velen grote schade. Scholen adviseer ik dan ook van harte te werken aan een ICT beleidsplan met als onderdeel computercriminaliteit en misbruik. Wie denkt dat zijn school geen gevaar loopt maar toch twijfelt kan via diverse bedrijven een passende risicoanalyse laten uitvoeren.

    Voorgestelde aanpak
    Dit moet op twee manieren plaatsvinden. Allereerst is een beleidsplan binnen de organisatie nodig met algemeen omschreven richtlijnen, daaruit voortvloeiend een handleiding bij incidenten. Ten tweede een technische inrichting waarbij monitoring van gebruik, loggen en controle op gebruik van draadloze netwerken en externe devices worden behandeld. Bij beleid en organisatie zal een securityplan worden opgesteld, komt er een identity- en accessmanagement, backup/restore/archive management. Technisch zal het beheer veel aandacht nodig hebben voor fysieke beveiliging, één internettoegang, een firewall, wachtwoordbeleid, additionele authenticatie, single sign-on, administrator management, DMZ, NAP, VLAN, hardening, encryptie, richtlijnen. Kortom, een waslijst van inrichtingsvragen die telkens weer uitgezocht en beantwoord moeten worden. Loggen en monitoren zal bij de dagelijkse praktijk moeten horen. De school zal bij een goed beleid niet meer achter de feiten aanlopend calamiteiten oplossen, maar door een passend beleid veel ellende kunnen voorkomen.

    Thuis versus school
    Al deze technische en beleidsmatige maatregelen worden min of meer ook thuis genomen. Steeds meer mensen beperken hun toegang tot de netwerken en pc’s. Er wordt steeds meer gewerkt met allerlei wachtwoorden op allerlei niveaus. Wie dit niet wil komt vanzelf de bedreigingen tegen, niet voor niets werkt de pc bij veel mensen thuis niet al te best, een situatie die we volgens mij op school niet accepteren.

    Aad is ict-coördinator op het Zernike College en verantwoordelijk voor de opbouw van de website aldaar. Tevens adviseert hij scholen en instellingen over de op- en uitbouw van hun websites. Zie ook avddrift.it. (Dit artikel stond eerder in ingedikte vorm in de maandelijkse ICTnieuwsbrief voor VO van Kennisnet. Met toe-stemming van de auteur geplaatst op ICTnieuws.nl.)

    Relevante links

  • Internetwoordenboek
  • Kennisnet ICT-coördinatoren
  • Waarschuwingsdienst
  • Digibewust
  • Justitie / Wet- en Regelgeving
  • Wikipedia / Computercriminaliteit
  • Veilig surfen
  • Meldpunt Cybercrime
  • School en veiligheid
  • MijnKindOnline
  • Kinderconsument
  • Kennisnet veilig internet

     

     

  • RDL b2pn120x120 sms-taal120x75