Stelsel hoger onderwijs

Definitie van de standaard voor het stelsel:

Instellingen en alle belanghebbenden houden elkaar onderling scherp; men bespreekt interne en externe dreigingen. Er zijn landelijke

bewustwordingscampagnes rondom veilig werken en cyberdreigingen.

Sterktes

• De (inter)nationale cyberveiligheid maand ondersteunt de initiatieven van instellingen en het stelsel.

33%

78%

6% 11%

72%

0% 3%

40%

0% 0%

20%

40%

60%

80%

100%

Cyber nieuws COVID-19 nieuws Nieuws over andere risico's wo (N=18)

hbo (N=36)

Niet bekostigde instellingen (N=58)

Pagina 32 van 111

• SURF heeft de cybersave yourself materialen en die worden benut.

• Bij alle partijen in het stelsel is een stevig bewustzijn van de het belang van cyberweerbaarheid en bereidheid om hierover mee te denken.

Zwaktes

• Veel hangt af van eigen initiatief van instellingen. Er is nationaal weinig aandacht besteed aan cybersecurity specifiek gericht op onderwijs. De koepelorganisaties hebben beperkt aandacht voor het onderwerp.

• Instellingen ondersteunen elkaar maar in heel beperkte mate bij het vergroten van het bewustzijn

Kansen

• Er is toenemend bewustzijn van het gevaar, er is meer bewustzijn van de integraliteit van ICT en het primair proces bij alle partijen.

• Er is al een goede infrastructuur met SURF en het Platform Intergraal Veilig Hoger Onderwijs, waarin interne en externe dreigingen besproken zouden kunnen worden.

• Door de coronacrisis is er veel aandacht voor online onderwijs en daarmee het belang van veilig digitaal werken.

• Aan de invoering van de AVG, maar ook de coronapandemie, is te zien dat nationale steun helpt bij het aangaan van collectieve ontwikkeling.

Bedreigingen

• Bestaande netwerken van instellingen weten elkaar steeds beter te vinden, wat andere nu niet aangesloten instellingen uitsluit.

• Verschillen in het bewustzijn betekent dat instellingen in verschillende mate weerbaar zijn tegen cyberdreigingen. Dit maakt het stelsel als geheel kwetsbaar.

• Op stelselniveau ontbreekt het aan structurele samenwerking tussen ho-instellingen om als collectief na te denken over ‘security by design’.

Toelichting op de standaard

Op stelselniveau kijken we of er vergelijkbare initiatieven zijn om het bewustzijn rond cyberveiligheid te vergroten. We willen weten hoe instellingen en partijen in het hoger onderwijsstelsel samenwerken en kennis delen met als doel elkaar bewust en scherp te houden op het gebied van cyberveiligheid. Zijn er bijvoorbeeld

belemmerende factoren om elkaar bewust en scherp te houden, zoals concurrentie tussen bekostigde en niet-bekostigde instellingen, of het delen van vertrouwelijke informatie? Daarnaast willen we graag weten op welk organisatieniveau er behoefte is aan meer aandacht voor cyberveiligheid en waar instellingen zien dat de meeste winst te behalen is op het gebied van het vergroten van bewustzijn.

1.4 Bevindingen

Vergroten bewustzijn op nationaal niveau

Naast de verantwoordelijkheid die instellingen hebben voor het vergroten van het bewustzijn van studenten en medewerkers zijn er ook overkoepelende initiatieven.

Op nationaal- en stelselniveau wordt er bijvoorbeeld meegedaan met de wereldwijde cybersecuritymaand in oktober. In deze maand zetten meerdere organisaties zich in om de cyberweerbaarheid van mensen en organisaties te vergroten, bijvoorbeeld SURF en het NCSC. Beide organisaties hebben een website die zich doorlopend richt op veilig gebruik van ICT, respectievelijk cybersaveyourself.nl en

veiliginternetten.nl. Daarnaast hebben ze in de maand oktober actieve awareness campagnes met specifieke aandachtspunten. Organisaties kunnen bij hen ook kant en klare producten afnemen die gebruikt kunnen worden voor een awareness campagne of structurele voorlichting. Naast deze awareness campagne helpen (inter)nationale oefeningen ook mee bij het vergroten van het bewustzijn.

Bijvoorbeeld de OZON-oefening, waarin een cybercrisis wordt geoefend of de Overheidsbrede Cyberoefening (ook in oktober).

Pagina 33 van 111

Wat duidelijk zichtbaar is in ons onderzoek is de enorme impact die de invoering van de AVG in 2018 heeft gehad op het hele stelsel hoger onderwijs, en daarbuiten. De overheid zou in het kader van informatiebeveiliging en het overlappende terrein van kennisveiligheid een vergelijkbare stimulerende werking kunnen hebben.

Incidenten en bewustzijn

Daarnaast zien we dat incidenten zoals bij de Universiteit Maastricht maar ook de gemeente Hof van Twente helpen om het bewustzijn voor cyberveiligheid in het stelsel hoger onderwijs te vergroten. Deze getroffen organisaties hebben zelf actief bijgedragen aan het vergroten van het bewustzijn door het publiekelijk delen van hun ervaring. In de jaarverslagen over 2019 hebben vijf instellingen expliciet

stilgestaan bij de cyberaanval op de UM. Dit betrof het jaarverslag van de UM zelf en in het verslag van drie universiteiten en één bekostigde hogeschool. Vooral uit de gesprekken met instellingen bleek dat de cyberaanval bij UM aanleiding is geweest tot direct handelen. Instellingen spreken daarnaast hun waardering uit voor de snelheid waarmee informatie is gedeeld en de grote openheid van de UM over wat er mis is gegaan en wat zij anders hadden moeten doen. Dit heeft bijgedragen aan het cyberweerbaar maken van meerdere instellingen.

Ondersteuning op stelselniveau

Uit de gesprekken met instellingen blijkt een sterke behoefte aan regie en

ondersteuning op stelselniveau. Het verschilt wel tussen instellingen en functies wat voor soort regie en ondersteuning zij nodig hebben. Dit hangt mede af van de fase van ontwikkeling waar de instellingen zitten. De ambities van (grotere) bekostigde instellingen gaan een stuk verder dan de niet-bekostigde instellingen. Die laatste hebben maar beperkt toegang tot partijen zoals SURF. Onder de vlag van SURF is begin 2021 een SOC opgericht (zie ook standaard 3). Hierbij zijn niet alle bekostigde instellingen aangesloten. De VSNU en VH spelen een steeds grotere rol bij het samenbrengen van instellingen en het omschrijven van doelstellingen op het gebied van cyberveiligheid. De NRTO lijkt vooralsnog weinig actief op het gebied van bewustwording van cyberveiligheid. Dat is jammer omdat uit de gesprekken blijkt dat juist de rpho’s behoefte hebben aan kennisdeling en systematische

ondersteuning. De behoefte aan kennisdeling en samenwerking laat zien dat instellingen in het stelsel zich bewust zijn van de cyberrisico’s.

De koepelorganisaties samen met het Ministerie van Onderwijs, Cultuur en

Wetenschap (OCW) en SURF kunnen een grote rol spelen in het ondersteunen van awareness campagnes voor het hoger onderwijs. Onder andere door landelijke campagnes te voeren, door kennis uit te wisselen over effectieve vormen van awareness campagnes en manieren om een veilige meldcultuur in te richten. Net zoals cyberveiligheid binnen een instelling niet alleen de taak van de ICT-afdeling is, is het in het stelsel ook niet alleen de taak van de instellingen. Het Platform IV-HO van de VH en VSNU zou een grotere rol kunnen spelen in het verbinden van al deze partijen.

Kenniscentra en regionale samenwerking

Verschillende initiatieven zoals het oprichten van kenniscentra en regionale samenwerking, zorgen ervoor dat men elkaar scherp houdt op mogelijke risico’s.

Meerdere instellingen geven in gesprek of op hun website aan dat zij voor

cyberveiligheid samenwerken met andere organisaties binnen de regio of beschikken over een kenniscentrum. Binnen de regionale samenwerkingsverbanden hebben bijvoorbeeld verschillende onderwijsinstellingen samen met andere organisaties of gemeenten contact over cyberveiligheid. Ze leren van elkaar en delen soms expertise. Daarnaast zijn er instellingen die vanuit het onderwijs of onderzoek kennis delen door andere organisaties te adviseren over cyberveiligheid of ICT.

Pagina 34 van 111

In- en extern toezicht bij kennisdeling en agendering

Het in- en extern toezicht kan een stimulerende werking hebben op het vergroten van het bewustzijn. Door de stand van zaken te monitoren, hierover te rapporteren en het onderwerp te agenderen wordt er blijvend aandacht gevraagd voor het onderwerp. Dit kan op het niveau van de individuele instelling, maar ook op die van het stelsel door middel van bijvoorbeeld thematische onderzoeken.

Pagina 35 van 111