Christelijk College Groevenbeek scant Microsoft-omgeving op kwetsbaarheden

Heb je vragen over dit onderwerp? Neem dan contact met ons op:

Christelijk College Groevenbeek scant Microsoft-omgeving op kwetsbaarheden

Om duidelijkheid te krijgen over mogelijke dreigingen binnen de eigen Microsoft-omgeving, liet het Christelijk College Groevenbeek de Onderwijs ICT Security Scan uitvoeren. Het leverde de Veluwse Onderwijsinstelling veel inzichten en concrete adviezen op: "Wij kunnen hier direct zelf mee aan de slag."

 

Als assistent-systeembeheerder begon Roeland Goosen in 2007 bij het Christelijk College Groevenbeek, een brede scholengemeenschap (van vmbo tot tvwo/atheneum) met vestigingen in Ermelo en Putten. In de veertien jaar die inmiddels zijn verstreken is er het nodige veranderd. Niet alleen groeide de scholengemeenschap van zo'n 2.500 naar 3.600 leerlingen. In een krimpregio een prestatie om trots op te zijn. Inclusief de medewerkers bedient Roeland, inmiddels Hoofd ICT, met een afdeling van vier fte’s ruim vierduizend ICT-gebruikers. "Er is veel gebeurd in de tussenliggende jaren. Toen ik begon was ICT met name interessant voor personeelszaken en de administratie, maar inmiddels is het niet meer weg te denken uit het onderwijs. In elk lokaal hangen digitale schoolborden, elke medewerker en leerling heeft een eigen device in de vorm van een laptop of tablet.”

 

Veel aandacht voor ICT

Om dit alles te ondersteunen is de ICT-capaciteit verdubbeld, waarbij met name geïnvesteerd is in een servicedesk. Een leslokaal werd opgeofferd om een balie met inloop te creëren, waar medewerkers en leerlingen altijd langs kunnen lopen met al hun vragen. Bijzonder is ook dat Groevenbeek enkele handige leerlingen, duidelijk herkenbaar aan hun T-shirts en truien, hun medeleerlingen laat ondersteunen. "Zij zijn als het ware onze 'parttimers'. Ze doen dit een paar uur per week tegen een kleine vergoeding." De scholengemeenschap heeft de beweging naar de cloud gemaakt, al is dit geen op zichzelf staand doel vertelt Roeland. "We evalueren per geval of een cloudoplossing ons voordelen biedt. We merken wel dat steeds meer lesmateriaal vanuit de cloud wordt aangeboden en hebben inmiddels ook de beweging gemaakt naar Office 365. Alle home-folders zijn bijvoorbeeld verplaatst naar OneDrive, alle teams- en werkgroepoverleggen vinden plaats in Teams en er wordt gebruik gemaakt van Sharepoint en Forms.

 

Qua security zijn een aantal platformen erg belangrijk voor Groevenbeek. Een daarvan is het leerlingvolgsysteem, Magister. "Daarin staat alle AVG-gerelateerde informatie over medewerkers en leerlingen. En vanuit HR-oogpunt is AFAS voor ons belangrijk. Binnen die twee diensten heeft een beperkt aantal mensen beperkte rechten en we maken daarbij ook gebruik van tweefactorauthenticatie." Voor bestanden op alle overige platformen, zoals de Microsoft-omgeving, is het continu een afweging tussen veiligheid en gebruiksvriendelijkheid. "Dat zijn twee uiteinden van een spectrum en daar kijken we zo goed mogelijk naar welke maatregelen we op welke plek toepassen. Vaak is dat een beetje zoeken en ik denk ook wel dat het een kwestie van tijd is voordat we overal tweefactorauthenticatie gebruiken."

 

Onderwijs ICT Security Scan

In het begin van het schooljaar 2021/2022 besloot men hier de Onderwijs ICT Security Scan te laten uitvoeren door IT-Workz. "Behalve mijzelf bestaat mijn afdeling uit een systeembeheerder en twee servicedeskmedewerkers", vertelt Roeland. "Het is onmogelijk om voor vierduizend gebruikers alles zelf te kunnen ondervangen. Voor security hanteren wij daarom het beleid om eens per drie jaar een externe partij uit te nodigen om een penetratietest te doen. Deze keer wilden wij onze Microsoft-omgeving doorlichten op kwetsbaarheden." Het Hoofd ICT beschrijft het proces hiervoor als tweedelig. "Een daarvan was een vragenlijst waarmee wij onze omgeving en de maatregelen die wij daarbinnen al nemen hebben omschreven voor IT-Workz. Daarna heeft een appliance op een door ons hiervoor ingerichte server gedraaid om de omgeving te scannen."

 

"We hebben nu een security-overzicht met zaken die de hoogste prioriteit hebben."

 

Een van de uitkomsten van de scan is dat Groevenbeek beter op dreigingen en kwetsbaarheden kan acteren door logbestanden te monitoren. "We zouden sommige zaken voor kunnen zijn door dit te doen, al zou dit wel betekenen dat we een extra fte nodig hebben in onze bezetting om in te vullen." De volledige rapportage bevatte talloze grote en kleine verbeterpunten. "Heel prettig vind ik dat we een overzicht hebben gekregen van zaken die een hoge impact hebben en een hoge prioriteit. Voor veel dingen die wij snel moeten aanpakken geldt dat wij dit ook zonder veel moeite kunnen doen. Daarbij kun je bijvoorbeeld denken aan accounts die te veel rechten hebben. Andere aanbevelingen zijn voor de middellange en lange termijn, deze aspecten gaan wij gedurende de komende periode agenderen."

 

Van technologie naar beleid

Al met al is Roeland tevreden met de uitkomst van de scan. "Het heeft ons veel adviezen gebracht waar wij zelf actie op kunnen ondernemen, dat was ook onze wens. Wel moet ik opmerken dat deze scan voornamelijk gericht is geweest op onze Microsoft-omgeving waaronder onze eigen Active Directory en Azure-omgeving. Alles buiten die scope is buiten de rapportage gebleven. Maar dit was ook ons doel; elke drie jaar laten we een andere partij een specifiek deel van onze omgeving doorlichten. Overigens merkt IT-Workz terecht op dat IT een breder vraagstuk is; het gaat niet alleen over technologie maar ook over beleid. Om die reden heb ik mijn algemeen directeur uitgenodigd voor de presentatie van het eindrapport."

 

Roeland Goosen, Hoofd ICT, Christelijk College Groevenbeek

 

_______________________________________________

 

 

Wil je direct inzicht in cybersecurityrisico’s en Log4j-kwetsbaarheden?

Jouw veiligheid is onze zorg. Met onze ICT Security Scan helpen wij scholen razendsnel snel inzicht te krijgen in mogelijke cyberrisico’s binnen het bedrijfsnetwerk. Sinds de berichtgeving van het Nationaal Cyber Security Centrum (NCSC) aangaande Log4J applicaties kunnen wij ook de omgeving scannen op aanwezigheid van Log4J-applicaties en bijhorende kwetsbaarheden. Daarnaast wordt de gehele Microsoft- en Azure-omgeving onderzocht en helpen wij bij het bepalen hoe en welke securitymaatregelen beter kunnen.

 

Heb je ondersteuning nodig? Wij helpen je graag.

 

 

Heb je vragen over dit onderwerp?
Neem dan contact met ons op via de onderstaande button.

Naar contactformulier