december 2017 43

lak voor de zomer waren er op diverse scholen incidenten waarbij leerlingen zich

toegang wisten te verschaffen tot het afgeschermde, beveiligde gedeelte van het schoolnetwerk. Zo ook bij het Hyperion Lyceum in Amsterdam waar een 4-vwo-leerling de wachtwoorden van drie docenten voor de digitale cij-feradministratie achterhaalde met behulp van een keylogger, een kleine usb-stick die toetsaanslagen regis-treert. Samen met drie medeleerlingen paste hij toetscijfers voor verschillen-de vakken aan. Zo werden onvoldoen-des voldoendes. Een oplettende docent rook onraad en seinde de schoollei-ding in. “Als je hoort dat ook het Penta-gon weleens gehackt wordt, dan moet je niet de illusie hebben dat jou als school dat nooit zal overkomen”, zegt rector Elly Loman van het Hyperion

veiLigheid tekst richard hassinK BeeLd wim sTevenhagen

V

leerlingen hacken hun eigen school, want het onderwijs loopt achter met de beveiliging. sommige scholen zet-

ten hackers in om gaten in het eigen netwerk te dichten.

Hulp hackende leerling maakt school veiliger

Lyceum. Toch heeft de school extra beveiligingsmaatregelen getroffen om het hackers lastiger te maken. Docen-ten die willen inloggen op de cijferad-ministratie, moeten sinds kort een extra veiligheidscode intoetsen. Heel verstandig, vindt Job Vos, priva-cy-expert van Kennisnet, de publieke organisatie die scholen op ict-gebied ondersteunt. “Je ziet vaak dat een hac-kende leerling vrij spel heeft zodra hij door de eerste barrière van het bevei-ligde netwerk heen is. Zorg dus voor meerdere beveiligingslagen.” Vos heeft geen harde cijfers over de gebrek-kige computerveiligheid van scholen, maar merkt vrijwel dagelijks dat scho-len onvoldoende aandacht schenken aan dit probleem. “Soms hoop ik stie-kem op een groot incident met ver-strekkende gevolgen dat het onderwijs met de neus op de feiten drukt.” Volgens Petra Oldengarm van

Hoffmann Bedrijfsrecherche loopt de onderwijswereld behoorlijk ach-ter op andere sectoren als het gaat om ict-veiligheid. In haar functie als directeur Cybersecurity heeft ze regelmatig contact met onderwijsor-ganisaties. “Het is niet dat scholen per se niet willen investeren in ict-bevei-liging maar ze geven het geld liever uit aan onderwijs.” Een denkfout, vindt ze. “Want de schade na bijvoor-beeld een aanval waarbij het compu-ternetwerk van een school platgelegd wordt, kan enorm groot zijn. Stel je voor dat je juist op dat moment een belangrijke toetsweek gepland hebt. Gewoon lesgeven gaat ook niet omdat je niet de beschikking hebt over com-puters en digiborden. Behalve dat dat veel geld kost, valt iedereen op zo’n moment over je heen: leerlingen, ouders, pers.” Oldengarm wijst op nog een ontwik-keling die scholen dwingt tot betere beveiligingsmaatregelen. In mei 2018 wordt de nieuwe Europese privacy-wetgeving van kracht, de algemene verordening gegevensbescherming, die scherpe eisen stelt aan beveili-ging van persoonsgegevens. “Aange-zien scholen privacygevoelige infor-matie over leerlingen in hun syste-men hebben, moeten zij aan die eisen voldoen.”Behalve goed ict-veiligheidsbeleid valt er op het gebied van bewustwor-ding nog heel veel te winnen voor scholen, vindt Vos. “Het geeltje met inlognaam en wachtwoord op de monitor is nog steeds mijn favorie-te voorbeeld van hoe het niet moet. Maar ook de iets minder ernstige blunder – een docent die zijn inlogge-gevens in zijn agenda noteert – komt nog vaak voor.” Ook Oldengarm heeft voorbeelden van onveilig gedrag. Zo kent ze scholen waar docenten ver-trouwelijke informatie over leerlin-gen van het netwerk downloaden op hun laptop of pc, op het werk of thuis. Oldengarm: “Je kunt wel een goed informatiebeveiligingsbeleid hebben maar je moet er als onderwijsorgani-satie ook voor zorgen dat medewer-kers veilig omgaan met de u 

Onderwijsblad44

denk niet dat je veilig bent.en andere tips tegen hackers

kwetsbare informatie en systemen en dat gaat verder dan alleen bewust-zijn.”

hULp van hackeRsBij leerlingen doe je er als school goed aan om de beeldvorming over hackers te veranderen. Vos: “Over hackers bestaat een geromantiseerd beeld, ter-wijl een hack echt veel meer is dan een kwajongensstreek. Dat beeld kun je bijstellen door in de lessen aan-dacht aan dit onderwerp te besteden, net zoals je dat bijvoorbeeld doet met pesten. Schets hoeveel stress en pro-blemen een hack een school oplevert, en hoeveel geld het kost.” Oldengarm zou graag zien dat scho-len hun leerlingen op een speelse manier bij het onderwerp betrek-ken. “Organiseer bijvoorbeeld een hackmarathon waarbij leerlingen onder begeleiding je systeem probe-ren te penetreren.” Ook Vos is daar een groot voorstander van. Hij kent scholen die speciale ict-klassen for-meren om samen de ict-systemen te testen en veiliger te maken. Daar-mee wordt meteen de maatschap-pelijke functie van scholen onder-streept, vindt Oldengarm. “Het gekke is dat deze – vaak slimme – leerlin-gen ook de mensen zijn die later in

deze markt aan de slag kunnen. De vraag is dan: ga je ze aan de schand-paal nagelen of probeer je ze bij te stu-ren zodat ze hun skills op een goede manier inzetten.” Vos, instemmend: “In de VS is ooit het ministerie van Defensie gehackt. Toen ze ontdekten wie er achter zat, hebben ze hem niet opgepakt maar een baan aangebo-den. In die categorie moet je denken.” Toch erkent hij dat er gradaties zijn. “Iemand die doelbewust inbreekt om cijfers van zichzelf en medeleerlin-gen op te krikken, moet je harder aan-pakken.”Ook het Hyperion Lyceum heeft ervoor gekozen om gradaties in straf-maatregelen aan te brengen. “De leer-ling die een actieve rol in het geheel had, is na rijp overleg van school ver-wijderd”, zegt rector Loman. “Daar-mee wilden we het signaal afge-ven dat zijn daden echt niet door de beugel konden.” Uiteindelijk heeft het Hyperion voor hem een andere school gevonden. Daar is hij in augus-tus met een schone lei begonnen. Met de drie andere leerlingen die een minder actieve rol speelden, is inten-sief gesproken en zij werden een paar dagen geschorst. Loman kijkt met gemengde gevoe-lens terug op die periode. “Het voelt

• inventariseer kwetsbare informatie en systemen en tref beveiligingsmaatregelen.

• laat regelmatig een pene-tratietest uitvoeren door een gespecialiseerd bedrijf of een stel slimme leerlingen.

• zorg dat je systeem kan vastleggen wie er binnen-dringt (forsensic readiness).

• draai elke week op een vast tijdstip security-updates.

• laat al je medewerkers eens in de zoveel tijd hun wacht-woord wijzigen.

• meld elk datalek bij de auto-riteit persoonsgegevens, dat is verplicht en doe aangifte bij de politie.

• zorg dat het dataverkeer tussen leraren en leerlingen gescheiden is. dus gebruik voor digitale leermiddelen een ander netwerk dan voor je cijferadministratie.

• denk niet dat je als basis-school veilig bent. een hac-ker heeft misschien wel een jonger zusje of broertje of misschien wil hij zijn oude basisschool een streek leve-ren. ook worden hackers steeds jonger.

• wees altijd scherp op moge-lijke hacks. sommige gaan maanden door voor ze ont-dekt worden.

december 2017 45

je eigen leerlingen je computernetwerk laten hacken. scholengemeenschap helinium in hellevoetsluis doet het al een paar jaar naar grote tevredenheid. jurre groenen-dijk heet hij, een leerling uit 4 vwo en zoon van een ict-beveiligingsexpert. “jurre viel ons al op toen hij nog op de basisschool zat”, vertelt gidius lankhorst, teamleider vwo. “Tijdens een uitwisselingsproject dat we met het primair onderwijs hebben, bleek hij bijzonder handig met com-puters. en toen wij hier ruim twee jaar geleden een nieuw kluisjessysteem kregen, waarschuwde hij ons dat dat sys-teem heel makkelijk te hacken was. probeer maar, zeiden wij. Twee dagen later had hij het voor elkaar. daarmee zijn we naar de fabrikant gestapt en die heeft meteen aanpas-singen gedaan.” sindsdien test jurre regelmatig het netwerk van zijn school. zo wist hij in te breken in het printer- en came-rasysteem. dankzij jurre’s hacks is het netwerk van de school een stuk veiliger geworden. lankhorst: “een door-snee hacker kan ons netwerk niet penetreren, maar jurre valt in de categorie ‘professionele hacker’. hij kent zoveel trucjes.”de school heeft wel afspraken met jurre en zijn ouders gemaakt over wat wel en wat niet kan en daar houdt hij zich volgens lankhorst goed aan. “als hij een foute keuze maakt dan doen we aangifte bij de politie en dat weet hij.” als beloning heeft jurre weleens bioscoopbonnen gekre-gen, maar dat was eenmalig. lankhorst, trots: “intussen ziet hij het zo’n beetje als zijn taak.”

niet goed als je eigen leerlingen je vertrouwen zo beschamen, maar ik ben wel tevreden over de manier waarop we de situatie hebben aan-gepakt.” Daarbij heeft de school gekozen voor openheid. Zo werden alle leerlingen en ouders geïnformeerd over het incident, zonder namen te noemen overigens. Daardoor werd het wel opgepikt door de media. “Dat hadden we inge-calculeerd, maar toch was het wel even schrik-ken toen we de krantenkoppen en reacties op Twitter voorbij zagen komen. Maar achteraf was het ook snel oud nieuws en ging de storm weer liggen.” Kennisnet adviseert scholen om open en trans-parant te zijn. Vos: “Het komt toch bijna altijd naar buiten, want vaak scheppen hackers openlijk op over hun hackprestaties. De kans is dan groot dat het via-via bij de krant terecht-komt. Zorg er op zo’n moment wel voor dat je als school goed voorbereid bent door alvast wat zaken vooraf te regelen en op papier te zetten.”Rector Loman hoopt geen hack meer mee te maken, maar durft haar hand daar niet voor in het vuur te steken. “We hebben nu die extra beveiliging maar er komt in de toekomst vast iets waarmee die omzeild kan worden.” Vos bevestigt dat elke school met een hack gecon-fronteerd kan worden. “De Autoriteit Persoons-gegevens stelt zelfs dat het niet de vraag is óf je er ooit mee te maken krijgt, maar wanneer. Toch kun je met een goed beleid veel leed voor-komen.” p

Hacken met permissie

Het komt nog vaak voor dat een docent zijn inloggegevens in zijn agenda

noteert