Blijven werken aan awareness
Door Artikel IB3-2024 - Rosanne Pouw 3 okt 2024
Auteur: Rosanne Pouw is Product Manager Awareness & Training bij SURF. Zij ondersteunt instellingen en organisaties in de sector onderwijs en onderzoek met het verhogen van security- en privacy-awareness bij docenten, studenten en medewerkers. Rosanne is te bereiken via: rosanne.pouw@surf.nl.
Het SURF Cyberdreigingsbeeld onderwijs en onderzoek 2023 [1] toont aan dat universiteiten, hogescholen, mbo-instellingen, UMC’s en onderzoeksinstellingen gebrek aan awareness bij medewerkers als een groot risico zien. De behoefte aan cybersecurityawareness in deze sector werd al in 2007 onderkend. In dat jaar zag Cybersave Yourself het licht: de awareness toolkit voor onderwijs en onderzoek. Het uitgangspunt is dat awareness-materiaal voor en door instellingen wordt ontwikkeld en gedeeld, gecoördineerd vanuit SURF. In dit artikel een terugblik op zeventien jaar samenwerken aan awareness, de veranderingen in aanpak van awareness en de uitdagingen die onderwijsinstellingen tegenkomen bij het uitrollen van cybersecurity-awareness.
SURF is een coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen waarin de leden hun krachten bundelen. Binnen SURF werken universiteiten, hogescholen, mbo-instellingen, UMC’s (Universitair Medische Centra) en onderzoeksinstellingen samen om de best mogelijke digitale diensten in te kopen of te ontwikkelen en om kennisdeling te stimuleren door steeds te blijven innoveren. De leden zijn eigenaar van SURF. SURF ontwikkelt en beheert meerdere security- en privacydiensten, waaronder Cybersave Yourself.
Na het besluit in 2007 om samen aan awareness te werken kwam in 2009 een grote, landelijke campagne uit, gericht op studenten en medewerkers. Deze campagne bevatte een breed scala aan materialen. Instellingen konden de bestanden uit de toolkit gebruiken om zelf materiaal te drukken zoals flyers, crime scenetape en zadelhoesjes voor fietsen. Ook waren er materialen zoals advertenties, posters en bureaubladafbeeldingen. Gekozen werd voor oranje als kenmerkende kleur. Sommige materialen waren al eerder door een instelling ontwikkeld en omgezet naar de Cybersave Yourself huisstijl.
Belangrijke thema’s waren het veilig omgaan met datadragers zoals USB-sticks, het gebruik van virusscanners, het herkennen van onbetrouwbare websites en het veilig omgaan met wachtwoorden. Ook was er aandacht voor social engineering en het afsluiten van je scherm. De campagne werd positief ontvangen en bij meerdere instellingen op hetzelfde moment uitgevoerd bij de start van het nieuwe schooljaar. Omdat het opzetten van een campagne op deze schaal tijdrovend en complex is, was er een tweede grootschalige campagne in 2013. In de tussentijd werden de materialen beschikbaar gesteld in de Cybersave Yourself toolkit en werd er samengewerkt en informatie gedeeld in de securitycommunity.
Bedreigde cybersoorten
In 2016 werd een nieuwe stijl geïntroduceerd rond het centrale inzicht dat digitale onveiligheid dichterbij is dan je denkt. Het basisconcept voor een Cybersave Yourself-campagne bestaat vanaf dat moment uit de introductie van nieuwe (niet bestaande) woorden. In elk woord werd een bedreiging of risico met een persoon of situatie uit de directe omgeving gecombineerd. Cybersecuritybedreigingen werden omgevormd tot een fictieve diersoort (een ‘bedreigende cybersoort’), een analogie met een gevaarlijk roofdier. Elk cybersoort kreeg een eigen habitat, gedragspatroon en persoonlijkheid. Zo werd phishing bijvoorbeeld de ‘misleidinggevende’, onveilige routers werden ‘meekijk-wifi’s’ en de verkoper van persoonlijke gegevens: de ‘datadealer’. Dit jaar werden ook voor het eerst bijbehorende animaties geïntroduceerd. De filmpjes waren een mini-parodie op natuurdocumentaires, waarin te zien is hoe gevaarlijk de ‘cybersoort’ is. Er werd gekozen geen technische details te verwerken in de animaties, waardoor deze een verrassend tijdloze uitstraling kregen. De eerste vier thema’s waren: social engineering, het doorverkopen van data door online apps, uitkijken bij het gebruik van openbare wifinetwerken en phishing.
Deze aanpak maakte de toolkit flexibeler: instellingen konden zelf kiezen wanneer en op welke manier de thema’s ingezet werden. De bijbehorende huisstijlgids, Photoshop- en Indesignbestanden hielpen instellingen campagnes te maken in de Cybersave Yourself huisstijl. Inmiddels werd duidelijk dat het verhogen van awareness een wedstrijd van de lange adem was. Instellingen kozen zelf hoeveel tijd en aandacht ze aan awareness konden besteden en op welke momenten in het jaar.
Games en aandacht voor privacy
Voor deze campagnes werd nauw samengewerkt met securityprofessionals bij instellingen. Uit de feedback bleek dat er meer behoefte was aan een luchtige en interactieve manier om awareness aandacht te geven. De in 2016 door het CIO platform ontwikkelde Elevator Game werd in 2018 opgenomen in de Cybersave Yourself toolkit. Met deze app konden twee spelers in de rol van mystery guest en hacker een scenario doorlopen om beveiligingslekken te vinden bij een fictief bedrijf. Het doel was om elke verdieping te doorlopen en de lift te bereiken. Alleen door samen te werken kon het spel uitgespeeld worden.
2018 was ook het jaar dat er veel aandacht was voor de AVG en privacygerelateerde onderwerpen. De Cybersave Yourself toolkit werd uitgebreid met e-learning modules over privacy en privacyposters voor medewerkers en studenten. De posters hadden onderwerpen als: ‘Waar moet ik op letten als ik persoonsgegevens van anderen wil gebruiken’, of ‘Help, iemand wil mijn persoonsgegevens gebruiken. Mag dat?’. Voor privacy werden ook meerdere thema’s toegevoegd in de stijl die in 2016 geïntroduceerd werd. De privacyprutser (privacy-by-design) en dataknoeier (datalek) werden ingezet om medewerkers en studenten bewust te maken dat omgaan met persoonsgegevens risico’s met zich meebrengt. Privacy-awareness is sindsdien steeds belangrijker geworden voor instellingen.
Het Digitaal Brevet
Eind 2019 werd de Universiteit van Maastricht getroffen door een ransomware-aanval. De aanvallers kwamen binnen via een phishingmail. Veel instellingen voelden daardoor de noodzaak om meer in te zetten op awareness bij medewerkers. De behoefte aan trainingen voor medewerkers en studenten om beter om te kunnen gaan met cyberdreigingen werd groter. De toename van phishingaanvallen en andere cyberdreigingen werd voelbaar: awareness werd steeds urgenter. Iedereen zou voldoende basiskennis moeten opdoen om veilig te kunnen werken en studeren. Bijvoorbeeld door een basismodule toe te voegen aan het curriculum, of een module aan alle medewerkers aan te bieden.
Het Digitaal Brevet werd ontwikkeld in 2019: een e-learning waarin medewerkers in een uur en studenten in een half uur de basisprincipes leerden om veilig te kunnen leren en werken. Deze modules werden aangeboden in verschillende bestandsformaten, zodat instellingen ze in hun eigen LMS konden importeren, bewerken en implementeren. Security- en privacyprofessionals van instellingen hebben bijgedragen aan de vorm en de inhoud van deze module, zodat de e-learning goed aansluit bij de cultuur en taalgebruik in het onderwijs. Omdat meerdere instellingen een tweetalig beleid hebben, werd het Digitaal Brevet en al het andere materiaal in de Cybersave Yourself toolkit in het Nederlands én in het Engels aangeboden.
De adaptatie van deze modules was minder breed dan gehoopt. Zo is de module tot nu toe niet terechtgekomen in het curriculum voor studenten. Meerdere instellingen hebben deze module geïmplementeerd voor medewerkers en is bij een aantal nog steeds in gebruik.
Van materiaal naar kennisdeling
De daaropvolgende jaren werd de toolkit regelmatig uitgebreid met actuele thema's. Er ontstond intussen steeds sterker de behoefte om te meten hoe bewust medewerkers bij instellingen zijn, en wat medewerkers nodig hebben om veiliger te kunnen werken. In 2021 konden dertig instellingen zich opgeven om aan de SURF awarenessmeting mee te doen, waarna SURF een awareness-sectorrapportage publiceerde. Hiermee kregen instellingen inzicht in het kennisniveau van hun medewerkers. Deze meting wordt sindsdien elk jaar door SURF uitgevoerd.
De toenemende behoefte om ervaring uit te wisselen, leidde tot de Awareness Werkgroep in 2022. Deze werkgroep bestaat uit een mailinglijst, een maandelijkse online bijeenkomst en in het najaar een fysieke awareness-dag. Door regelmaat aan te brengen in de bijeenkomsten ontstond momentum om de toolkit in 2023 te reviewen, materiaal te updaten en nieuwe awareness-producten te ontwikkelen. Het huidige aanbod voor awareness en training is daardoor veel breder dan de Cybersave Yourself toolkit.
Veranderingen in awareness
Terugkijkend op deze periode van zeventien jaar zijn er grote veranderingen te zien in de aanpak van awareness en training bij onderwijsinstellingen:
- Verschuiving van communicatie over dreigingen naar training van cyberveilig gedrag;
- De invoering van de AVG heeft een boost gegeven aan privacy-awareness waardoor awareness tegenwoordig gericht is op cyberveilig en privacybewust gedrag;
- Cybersecurity-awareness onderwerpen zijn ondanks vernieuwingen grotendeels stabiel: veilig omgaan met gegevens, het herkennen van phishing, datalekken en ransomware, en social engineering zijn nog steeds heel belangrijk;
- Awareness leuk en aantrekkelijk maken door gamification, is populair bij onderwijsinstellingen. De instellingen hechten ook erg aan toegankelijk materiaal dat toegespitst is op hun doelgroepen;
- Het is steeds belangrijker geworden om het bewustzijnsniveau te meten, bijvoorbeeld met de awareness-meting;
- Door ransomware-aanvallen op onder andere Maastricht University (2019) en ROC Mondriaan (2021) ligt de focus voor awareness en training steeds meer op medewerkers
- Awareness was in de beginperiode een eenmalige, grootschalige actie bij de start van het schooljaar. Inmiddels is dit veranderd in continue aandacht en meerdere momenten tijdens het jaar om de cyberweerbaarheid te verhogen.
Grote uitdagingen
Onderwijsinstellingen staan voor grote uitdagingen om de awareness van medewerkers en studenten te verhogen. Als eerste is de cultuur bij onderwijsinstellingen niet gericht op compliance gebaseerde implementatie van awareness. Dat betekent dat het verplicht stellen en afnemen van awareness elearning modules (nog) niet gebruikelijk is.
Om awareness effectief in te zetten, is het belangrijk dat deze risicogebaseerd en doelgroepgericht is. Docenten en onderzoekers stellen hoge eisen aan awareness-trainingen en voor studenten is de vraag hoe deze groep het best bereikt kan worden met awareness-activiteiten. Voor studenten is dankzij technische maatregelen ook een aantal cybersecurity-risico’s beperkt. Als een student op een phishingmail klikt, heeft de aanvaller slechts zeer beperkte rechten en komt niet snel verder.
Tenslotte is het onderwijs gericht op het uitwisselen van informatie en samenwerken. Binnen de instellingen, maar ook tussen instellingen, bedrijven en met internationale instellingen. Daardoor zijn sommige technische maatregelen zoals het voorkomen dat gegevens uit een systeem gehaald worden, niet altijd mogelijk. Bewustzijn bij medewerkers en studenten over de risico’s, processen en handelingsperspectief zijn nog steeds belangrijke randvoorwaarden om een veilige digitale leer- en werkomgeving mogelijk te maken.
Nu en in de toekomst
Er wordt in de sector onderwijs hard gewerkt aan cybersecurityawareness en -training. Naast enorme uitdagingen, zijn medewerkers van onderwijsinstellingen zeer gemotiveerd om zich in te zetten voor een veilige leer- en werkomgeving. Dit blijkt uit de SURF Awareness-sectorrapportage 2023. Uit de rapportage blijkt ook dat medewerkers behoefte hebben aan meer ondersteuning om veilig te kunnen werken, in de vorm van processen en tools.
Wat gelijk gebleven is, is dat in de sector onderwijs structureel kennis wordt gedeeld en waar mogelijk samengewerkt wordt op het gebied van cybersecurity en privacy-awareness. Deze samenwerking zorgt voor innovatie en producten en diensten die passen bij de cultuur van onderwijsinstellingen. En dat awareness en training mee transformeert met de behoefte van de instellingen en de veranderende digitale dreigingen. Samen werken we aan een veiligere digitale leer- en werkomgeving, nu en in de toekomst.
Referentie
[1] https://www.surf.nl/files/2023-08/cyberdreigingsbeeld-onderwijs-enonderzoek-2023-nieuw.pdf
Dit artikel verscheen in IB3-2024.
Voor het opgemaakte artikel (pdf), klik hier onder op 'Document downloaden'.