Zo werkt de mbo-sector aan cyberweerbaarheid: boven alles sámen
Controle en logging, maar ook leveranciersmanagement. Dat zijn volgens Martijn Bijleveld, adviseur informatiebeveiliging en privacy binnen MBO Digitaal, de belangrijkste uitdagingen op het gebied van cyberveiligheid voor mbo-instellingen.
‘We benchmarken binnen het mbo al sinds 2015 op het gebied van informatiebeveiliging en privacy. We weten dus heel goed waar onze risico’s liggen en deze aandachtspunten komen steeds weer terug’, stelt hij.
Programma Cyberveiligheid mbo
Tot voor kort had de mbo-sector niet de noodzakelijke, centrale beschikking over middelen om de problemen op te lossen. Sinds oktober vorig jaar is daar verandering in gekomen, met de start van het programma Cyberveiligheid mbo. Met goedkeuring van het programma door de MBO Raad en het ministerie van OCW kwam er namelijk ook een subsidie van in totaal 24 miljoen euro voor vijf jaar. Om daarmee de digitale weerbaarheid van mbo-instellingen te vergroten.
‘Dat laatste lukt alleen door samen te werken en dat weten we binnen het mbo allang’, stelt Bijleveld. ‘Je zit in een wedloop met cybercriminelen en die kun je als individuele instelling niet winnen.’ Precies de reden waarom het programma Cyberveiligheid mbo in zijn woorden ‘samenwerking ademt’. ‘We doen het niet voor, maar mét alle 55 mbo-instellingen en daar ben ik als programmamanager supertrots op.’
‘Je zit in een wedloop met cybercriminelen en die kun je als individuele instelling niet winnen’
Martijn Bijleveld
Meteen stappen gezet
Een van de eerste zaken die binnen het programma is opgepakt, is het probleem van de logging. Zo is vrijwel meteen besloten dat MBO Digitaal vanuit de subsidie voortaan de kosten vergoedt voor de aansluiting van mbo’s bij SURFsoc. ‘We merkten dat de financiële drempel hiervoor voor mbo-instellingen vrij hoog was’, legt Bijleveld uit. ‘Een hobbel die we op deze manier hebben weggenomen. Met succes, want inmiddels zit een groot aantal mbo’s in het implementatietraject of bereiden ze dit voor.’ Ook op het leveranciersmanagement is meteen doorgepakt. ‘Alle eisen die wij ons als mbo’s opleggen, gelden ook voor onze (cloud)leveranciers. Zij vormen dus een risico’, licht de programmamanager toe. ‘We zijn daarom gestart met de centrale beoordeling van verwerkersovereenkomsten van applicaties die veel in het mbo worden gebruikt.’
Het gaat daarbij vooral om de beoordeling van de gegeven veiligheidswaarborgen, waarbij je ook de werking ervan wilt kunnen controleren aan de hand van DPIA’s, audits en pentests. De eerste DPIA’s zijn al uitgevoerd en hier zal de mbo-sector volgens Bijleveld de komende jaren fors verder op inzetten. Zodra de ‘compliancedienst’ van SURF beschikbaar is, sluit de sector hier daarom bij aan. Waarbij de ledenbijdrage voor deze dienst vanuit de subsidie wordt vergoed.
Hoog ambitieniveau
Allemaal met als doel om over vijf jaar als mbo-sector cyberweerbaar te zijn. Wat vanuit OCW betekent dat een instelling een gemiddelde volwassenheidsscore van 3 op het nieuwe SURFaudit Toetsingskader Informatiebeveiliging moet scoren. ‘Maar als mbo-sector ligt ons ambitieniveau met een gewenste score van 3,3 zelfs nog iets hoger’, weet Bijleveld op basis van een nulmeting bij de start van het programma. Waarbij je volgens hem niet genoeg kunt benadrukken dat het scoren van je volwassenheid geen doel op zich moet zijn, maar veel meer een resultaat van een risicogebaseerde afweging van maatregelen. Voor MBO Digitaal aanleiding om samen met SURF een aanbestedingstraject te starten voor de aanschaf van een mbo-brede Governance Risk & Compliance (GRC)-applicatie. Tooling die volgens Bijleveld in het najaar beschikbaar zal komen.
Uitdaging
Snelle stappen dus als je het hem vraagt. ‘En daar zit meteen een risico’, realiseert de programmamanager zich. ‘We lopen hard, maar alle 55 instellingen moeten het wel bij kunnen houden. Dat vraagt om goede communicatie en community-building vanuit het programmateam van MBO Digitaal, misschien wel de belangrijkste uitdaging van dit moment.’
