Boardroom-game brengt gesprek binnen scholen over security op gang

Publicatiedatum: afbeelding bij

Het Security Awareness-evenement op donderdag 14 maart in Rotterdam was bij uitstek de gelegenheid voor bestuurders en IT-verantwoordelijken van scholen om cybersecurity in de praktijk te beleven. Hoogtepunt van het event was een spannende boardroom-game, waarin zij konden laten zien dat zij de juiste beslissingen nemen om hun organisatie veilig te houden.

In de Rotterdamse haven, op een steenworp afstand van waar in 2017 een grootschalige malware aanval ('Petya') de containerterminal van Maersk volledig plat legde, vond op 14 maart het Security Awareness-evenement plaats. Het event, georganiseerd door SLBdiensten en APS IT-diensten, werd voornamelijk bezocht door ICT-verantwoordelijken en bestuurders van scholen in het Nederlandse voortgezet onderwijs en primair onderwijs. Na ontvangst en een lunch in de historische kantine van de Rotterdamsche Droogdok Maatschappij (RDM), vond het inhoudelijke programma plaats in de voormalige RDM-scheepswerf. Het gigantische gebouw ademt nog altijd de sfeer van vroeger, maar is als RDM Rotterdam inmiddels dé hotspot voor innovatie in de haven. Tal van initiatieven ontstaan op deze plek, waaronder veel startups maar ook onderwijs- en onderzoeksprojecten.

De boardroomgame was een razend spannende ervaring en werd ook uiterst serieus genomen.

Beslissen in teamverband

Kortom, een prachtige plek voor een inspirerende dag over cybersecurity. Het doel van het Security Awareness event was om cybersecurity in de praktijk te beleven. De mogelijkheden omtrent dit thema voor onderwijsorganisaties stonden centraal. Bijzonder gewaardeerd door de bezoekers werd vooral het interactieve karakter van de dag. Zo werd er een boardroomgame gespeeld waarin deelnemers in viertallen de rol van bestuurders van een fictieve fietsenfabriek op zich namen. Als de financieel manager, hoofd informatiebeveiliging, IT-manager en de hoofdverantwoordelijke voor personeelszaken was het de uitdaging om hun eigen belangen in lijn te brengen met die van de medebestuurders. Er werd een periode van vijf jaar gesimuleerd, waarbij in teamverband telkens de juiste maatregelen genomen moesten worden om het bedrijf te beschermen tegen cyberdreigingen.

De boardroomgame was een razend spannende ervaring en werd ook uiterst serieus genomen. Elk team wilde immers het bedrijf zijn dat na vijf jaar de minste schade had geleden en het meeste vertrouwen genoot van medewerkers en klanten. Leerzaam was het tegelijkertijd ook. Elk jaar vonden uiteenlopende incidenten plaats: van een boze ex-medewerker die nog steeds toegang had tot belangrijke systemen tot een grootschalige hack van productielocaties. Ondertussen liepen ook leveringen van onderdelen vertraging op, door een security-incident bij een leverancier. Ransomware, botnet-aanvallen en phishing bleven ook voor flinke schadeposten zorgen voor wie hier niet voldoende op voorbereid was. En dat laatste was nog een flinke uitdaging. Met een gelimiteerd budget stonden de deelnemers vaak voor lastige keuzes: investeren in een firewall bijvoorbeeld, een extern bedrijf een risicoanalyse uit laten voeren of meer aandacht schenken aan beleidsmaatregelen?

Blijf niet hangen in maatregelen

Het gesprek op gang brengen over cybersecurity was een belangrijk uitgangspunt van de boardroomgame. In dit opzicht was het event zeker een succes. Verschillende IT-verantwoordelijken die het Security Awareness-evenement bezochten hadden een bestuurder uit hun organisatie meegenomen. Het spel was bij uitstek een gelegenheid om hen bekend te maken met termen en gebruikte argumenten op het gebied van cybersecurity, evenals de verschillende soorten aanpakken om informatiesystemen te beveiligen. De deelname leidde tot verschillende inzichten, al dan niet versterkt door ervaringen in de praktijk binnen onderwijsorganisaties. "Blijf niet hangen in maatregelen die je al hebt genomen", bijvoorbeeld. Of: "Als je weinig geld hebt om te investeren in cybersecurity, investeer dan vooral in bewustwording van gebruikers." Een interessante observatie van een deelnemer was ook dat veel organisaties de cyberdreiging als abstract ervaren en zij daardoor minder snel geneigd zijn te investeren in maatregelen. Dit verandert zodra er wel een incident heeft plaatsgevonden. Vooral scholen die al eens schade hebben geleden door bijvoorbeeld een hack, zijn bereid te investeren.

Behalve de boardroomgame waren er nog andere sessies die deelnemers konden bezoeken. Zo konden zij kiezen tussen een presentatie van het Informatiebeveiliging en Privacy (IBP-)platform Privacy op School en een door Zivver ontwikkelde oplossing om veilig te mailen. Zeer interessant was ook de lezing door de ethische hacker Rick van Duijn (DearBytes). Een grappig detail dat hij prijsgaf is dat zijn carrière een vroege start kreeg, doordat hij ooit als middelbare scholier op het interne netwerk van het Beverwijkse Kennemer College aan het 'rommelen' sloeg. Na te zijn betrapt door de netwerkbeheerder kreeg hij van hem een vrijbrief om te blijven speuren naar kwetsbaarheden in de informatiesystemen van de school.

Back to basic voor scholen

In zijn lezing verhaalde Van Duijn over de slimmigheidjes waarvan hackers - soms van buiten, maar vaker ook scholieren - zich bedienen. Zo werd duidelijk dat binnen schoolnetwerken vaak veel informatie valt te achterhalen waarmee indringers met de rechten van docenten of zelfs netwerkbeheerders kunnen inloggen op belangrijke systemen. Van Duijn adviseert scholen een 'back to basic'-aanpak die een aantal zaken beslaat. Zoals het monitoren van netwerkverkeer en het bewaren van logs om indringers bij de kraag te vatten. Maar ook een goede segmentatie van het netwerk en de rechten van gebruikers daarbinnen, goed wachtwoordmanagement, het gebruiken van lokale firewalls en het tijdig uitvoeren van veiligheidsupdates aan systemen. Een aanpak die niet alleen helpt om nieuwsgierige studenten te slim af te zijn, maar ook 'volwassen hackers' buiten de deur te houden.

Op 4 april organiseren SLBdiensten en APS IT-diensten opnieuw een Security Awareness-evenement. Dit zal plaatsvinden in Amersfoort, op de locatie van ROC Midden-Nederland. Mocht u dit event willen bezoeken of heeft u hierover een vraag, belt u dan met Kim Koster, afdeling marketingcommunicatie, via telefoonnummer 020 420 1396 of stuur een e-mail naar kim.koster@slbdiensten.nl.

Profiel SLBdiensten

SLBdiensten

SLBdiensten is in 1992 opgericht om het onderwijs van goede legale software te voorzien, tegen scherpe prijzen. SLBdiensten is een intermediair tussen de softwarebranche en het MBO. Dankzij een goede onderhandelingspositie en een uitgebalanceerd productaanbod zijn wij uitgegroeid tot de belangrijkste softwarepartner in het Voortgezet onderwijs en het MBO.

Profiel SLBdiensten ›