Informatiebeveiliging op school: bittere noodzaak

beveiligingstoetsHet is niet best gesteld met de informatiebeveiliging binnen ziekenhuizen in Nederland. Dat beeld komt in ieder geval naar voren uit een recent rapport van Delloite. Slechts een beperkt aantal ziekenhuizen scoort een voldoende. Maar experts melden dat dit nog maar de vraag is. Het uitgevoerde onderzoek is enigszins beperkt en beveiligingsspecialisten roepen al jaren dat de situatie veel dreigender is. Dat komt vooral doordat er steeds meer ‘slimme’ apparatuur het ziekenhuis in wordt gereden dat enigszins buiten het gezichtsveld van de IT-afdeling blijft. En dan wordt het ingewikkeld.

Veel IT-afdelingen richten zich op de ‘bekende’ IT omgeving van PC’s en laptops en de centrale computers (servers). Die apparaten worden braaf voorzien van de juiste anti-virus software en het beheer van wachtwoorden en toegangscontrole tot informatie wordt keurig geregeld. Maar dat geldt niet (of in ieder geval minder) voor die andere apparatuur. Denk hierbij aan bijvoorbeeld een MRI scanner. Zo’n ding is door de fabrikant de afgelopen jaren ook steeds slimmer gemaakt waarbij de software van afstand door de leverancier kan worden beheerd. Het is al jaren bekend dat bijvoorbeeld standaard wachtwoorden (van de fabrikant) nooit worden gewijzigd. Het is niet zo dat het voor hackers meteen kinderspel wordt om zo’n apparaat over te nemen maar zorgelijk is het wel. En dit is nog maar het begin.

Er worden steeds meer apparaten organisaties binnen gebracht die voorzien zijn van een IT-component en communiceren via internet, ook binnen het onderwijs. Maar doordat veel van dit soort systemen niet als een traditioneel IT-apparaat wordt gezien is het maar de vraag wie dit beheerd. Op de open dag van de nieuwe school van mijn zoontje werd o.a. een 3D printer gebruikt. Geweldig ding, maar ik wist zeker dat het niet onder het beveiligingsplan van de school viel. Als er al een beveiligingsplan was. En die 3D printer vormt nog maar de voorhoede van apparaten die wel gebruik maken van IT, steeds vaker zelfs een eigen besturingssysteem hebben, maar niet worden beheerd. En dan heb ik het nog niet eens over al die apparaten als tablets en smartphones die de leerlingen meenemen.

Nu betekent die niet dat u al die apparaten ook actief moet gaan beheren. U gaat helemaal niet over de smartphone van die leerling. Maar u dient als onderwijsinstelling wel goed na te denken over informatiebeveiliging waarbij de risico’s goed in kaart worden gebracht. Het is op zich niet erg dat er mogelijk ‘onveilige’ apparaten in uw schoolomgeving komen. Maar dan wel graag in een apart gedeelte zodat ze geen schade kunnen aanrichten aan die systemen en informatie die cruciaal zijn voor het primaire proces. En dat geldt zeker ook voor de informatie-uitwisseling met externe bronnen zoals een leerlingvolgsysteem dat als dienst wordt afgenomen. Wordt deze informatie eigenlijk wel goed beveiligd en versleuteld? Vragen waarmee u echt op korte termijn mee aan de slag moet. Want digitalisering biedt veel fantastische mogelijkheden maar heeft ook een keerzijde. Echt werk maken dus van informatiebeveiliging.

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *