Hulp hackende leerling maakt school veiliger
Leerlingen hacken hun eigen school, want het onderwijs loopt achter met de beveiliging. Sommige scholen zetten hackers in om gaten in het eigen netwerk te dichten.
Vlak voor de zomer van 2017 waren op diverse scholen incidenten waarbij leerlingen zich toegang wisten te verschaffen tot het afgeschermde, beveiligde gedeelte van het schoolnetwerk. Zo ook bij het Hyperion Lyceum in Amsterdam waar een 4-vwo-leerling de wachtwoorden van drie docenten voor de digitale cijferadministratie achterhaalde met behulp van een keylogger, een kleine usb-stick die toetsaanslagen registreert. Samen met drie medeleerlingen paste hij toetscijfers voor verschillende vakken aan. Zo werden onvoldoendes voldoendes. Een oplettende docent rook onraad en seinde de schoolleiding in. “Als je hoort dat ook het Pentagon weleens gehackt wordt, dan moet je niet de illusie hebben dat jou als school dat nooit zal overkomen”, zegt rector Elly Loman van het Hyperion Lyceum. Toch heeft de school extra beveiligingsmaatregelen getroffen om het hackers lastiger te maken.*Lees ook de 9 tips tegen hacken Docenten die willen inloggen op de cijferadministratie, moeten sinds kort een extra veiligheidscode intoetsen.
Heel verstandig, vindt Job Vos, privacy-expert van Kennisnet, de publieke organisatie die scholen op ict-gebied ondersteunt. “Je ziet vaak dat een hackende leerling vrij spel heeft zodra hij door de eerste barrière van het beveiligde netwerk heen is. Zorg dus voor meerdere beveiligingslagen.” Vos heeft geen harde cijfers over de gebrekkige computerveiligheid van scholen, maar merkt vrijwel dagelijks dat scholen onvoldoende aandacht schenken aan dit probleem. “Soms hoop ik stiekem op een groot incident met verstrekkende gevolgen dat het onderwijs met de neus op de feiten drukt.”
Soms hoop ik op een groot incident dat het onderwijs met de neus op de feiten drukt
Volgens Petra Oldengarm van Hoffmann Bedrijfsrecherche loopt de onderwijswereld behoorlijk achter op andere sectoren als het gaat om ict-veiligheid. In haar functie als directeur Cybersecurity heeft ze regelmatig contact met onderwijsorganisaties. “Het is niet dat scholen per se niet willen investeren in ict-beveiliging maar ze geven het geld liever uit aan onderwijs.” Een denkfout, vindt ze. “Want de schade na bijvoorbeeld een aanval waarbij het computernetwerk van een school platgelegd wordt, kan enorm groot zijn. Stel je voor dat je juist op dat moment een belangrijke toetsweek gepland hebt. Gewoon lesgeven gaat ook niet omdat je niet de beschikking hebt over computers en digiborden. Behalve dat dat veel geld kost, valt iedereen op zo’n moment over je heen: leerlingen, ouders, pers.”
Het komt nog vaak voor dat een docent zijn inloggegevens in zijn agenda noteert
Oldengarm wijst op nog een ontwikkeling die scholen dwingt tot betere beveiligingsmaatregelen. In mei 2018 wordt de nieuwe Europese privacywetgeving van kracht, de algemene verordening gegevensbescherming, die scherpe eisen stelt aan beveiliging van persoonsgegevens. “Aangezien scholen privacygevoelige informatie over leerlingen in hun systemen hebben, moeten zij aan die eisen voldoen.”
Behalve goed ict-veiligheidsbeleid valt er op het gebied van bewustwording nog heel veel te winnen voor scholen, vindt Vos. “Het geeltje met inlognaam en wachtwoord op de monitor is nog steeds mijn favoriete voorbeeld van hoe het niet moet. Maar ook de iets minder ernstige blunder een docent die zijn inloggegevens in zijn agenda noteert komt nog vaak voor.” Ook Oldengarm heeft voorbeelden van onveilig gedrag. Zo kent ze scholen waar docenten vertrouwelijke informatie over leerlingen van het netwerk downloaden op hun laptop of pc, op het werk of thuis. Oldengarm: “Je kunt wel een goed informatiebeveiligingsbeleid hebben maar je moet er als onderwijsorganisatie ook voor zorgen dat medewerkers veilig omgaan met de kwetsbare informatie en systemen en dat gaat verder dan alleen bewustzijn.”
Over hackers bestaat een geromantiseerd beeld, terwijl een hack echt veel meer is dan een kwajongensstreek
Bij leerlingen doe je er als school goed aan om de beeldvorming over hackers te veranderen. Vos: “Over hackers bestaat een geromantiseerd beeld, terwijl een hack echt veel meer is dan een kwajongensstreek. Dat beeld kun je bijstellen door in de lessen aandacht aan dit onderwerp te besteden, net zoals je dat bijvoorbeeld doet met pesten. Schets hoeveel stress en problemen een hack een school oplevert, en hoeveel geld het kost.”
Oldengarm zou graag zien dat scholen hun leerlingen op een speelse manier bij het onderwerp betrekken. “Organiseer bijvoorbeeld een hackmarathon waarbij leerlingen onder begeleiding je systeem proberen te penetreren.” Ook Vos is daar een groot voorstander van. Hij kent scholen die speciale ict-klassen formeren om samen de ict-systemen te testen en veiliger te maken. Daarmee wordt meteen de maatschappelijke functie van scholen onderstreept, vindt Oldengarm. “Het gekke is dat deze vaak slimme leerlingen ook de mensen zijn die later in deze markt aan de slag kunnen. De vraag is dan: ga je ze aan de schandpaal nagelen of probeer je ze bij te sturen zodat ze hun skills op een goede manier inzetten.” Vos, instemmend: “In de VS is ooit het ministerie van Defensie gehackt. Toen ze ontdekten wie er achter zat, hebben ze hem niet opgepakt maar een baan aangeboden. In die categorie moet je denken.” Toch erkent hij dat er gradaties zijn. “Iemand die doelbewust inbreekt om cijfers van zichzelf en medeleerlingen op te krikken, moet je harder aanpakken.”
Het voelt niet goed als je eigen leerlingen je vertrouwen zo beschamen
Ook het Hyperion Lyceum heeft ervoor gekozen om gradaties in strafmaatregelen aan te brengen. “De leerling die een actieve rol in het geheel had, is na rijp overleg van school verwijderd”, zegt rector Loman. “Daarmee wilden we het signaal afgeven dat zijn daden echt niet door de beugel konden.” Uiteindelijk heeft het Hyperion voor hem een andere school gevonden. Daar is hij in augustus met een schone lei begonnen. Met de drie andere leerlingen die een minder actieve rol speelden, is intensief gesproken en zij werden een paar dagen geschorst.
Loman kijkt met gemengde gevoelens terug op die periode. “Het voelt niet goed als je eigen leerlingen je vertrouwen zo beschamen, maar ik ben wel tevreden over de manier waarop we de situatie hebben aangepakt.” Daarbij heeft de school gekozen voor openheid. Zo werden alle leerlingen en ouders geïnformeerd over het incident, zonder namen te noemen overigens. Daardoor werd het wel opgepikt door de media. “Dat hadden we ingecalculeerd, maar toch was het wel even schrikken toen we de krantenkoppen en reacties op Twitter voorbij zagen komen. Maar achteraf was het ook snel oud nieuws en ging de storm weer liggen.”
Kennisnet adviseert scholen om open en transparant te zijn. Vos: “Het komt toch bijna altijd naar buiten, want vaak scheppen hackers openlijk op over hun hackprestaties. De kans is dan groot dat het via-via bij de krant terechtkomt. Zorg er op zo’n moment wel voor dat je als school goed voorbereid bent door alvast wat zaken vooraf te regelen en op papier te zetten.”
De Autoriteit Persoonsgegevens stelt dat het niet de vraag is óf je er ooit mee te maken krijgt, maar wanneer.
Rector Loman hoopt geen hack meer mee te maken, maar durft haar hand daar niet voor in het vuur te steken. “We hebben nu die extra beveiliging maar er komt in de toekomst vast iets waarmee die omzeild kan worden.” Vos bevestigt dat elke school met een hack geconfronteerd kan worden. “De Autoriteit Persoonsgegevens stelt zelfs dat het niet de vraag is óf je er ooit mee te maken krijgt, maar wanneer. Toch kun je met een goed beleid veel leed voorkomen.”
Lees ook de 9 tips tegen hacken.