VVD: we hoeven geen cent extra uit te geven aan cyberveiligheid in het hoger onderwijs
Tijdens een recent debat over digitalisering in het onderwijs riepen zowel DENK als de SP de regering op om het onderwijs minder afhankelijk te maken van grote bedrijven zoals Google en Microsoft. Die bedrijven zijn immers gericht op winst en het uitbreiden van hun marktaandeel – niet op de publieke zaak. Daarin vonden ze steun bij demissionair minister Van Engelshoven.
“Maandag heb ik bij de Europese Raad gevraagd of we hiervoor publieke platforms kunnen ontwikkelen die open source zijn en die de in Europa gedeelde publieke waarden beschermen”, vertelde Van Engelshoven. “Daarbij kreeg ik steun van Italië en Frankrijk, dus ik hoop dat we in Europees verband stappen kunnen zetten. Ik deel namelijk de zorg dat de afhankelijkheid van een paar dominante tech-spelers de bescherming van publieke waarden op achterstand zet. Als je daartegen iets wilt doen, moet dat wel enige omvang hebben. Daarom heb ik dit aan de Europese Commissie gevraagd.”
Weet OCW wel af van alle hacks?
Zohair El Yassini, het Kamerlid voor de VVD dat het overleg had aangevraagd, bleek zich vooral zorgen te maken over de cyberveiligheid van onderwijsinstellingen. Zo schetste hij dat instellingen uit het voortgezet onderwijs en het mbo samen gemiddeld vijfhonderdduizend digitale aanvallen per maand te verduren krijgen. “Wordt er door onderwijsinstellingen altijd bij het ministerie van OCW melding gemaakt van een hack?”, vroeg hij zich af. “Komt het bijvoorbeeld voor dat een school is gehackt en dat stilhoudt voor OCW? Heeft de minister van OCW een overzicht van alle hacks die hebben plaatsgevonden in het hoger onderwijs?”
Omdat er geen meldingsplicht is kan dit voorkomen, bleek uit het antwoord van de minister, maar die kans is niet groot. “Ik kan niet plechtig beloven dat ik alles weet, maar we zien wel dat er heel goed en heel snel wordt gemeld als er ergens sprake is van een hack. Vaak heb ik al een telefoontje van bestuurders gehad voordat het ergens in de krant staat.”
Wat zegt dit over het zelflerende vermogen van de HAN?
Daarnaast hekelde El Yassini de opstelling van de HAN, de hogeschool die onlangs de gegevens van veel studenten op straat zag liggen nadat de systemen waren gehackt. “De HAN vindt zelf dat het goed omgaat met de gegevens van de studenten. Tegelijkertijd liggen die nu wel op straat. Wat zegt zo’n houding over het zelflerend vermogen van zo’n instelling? Of is hier sprake van ‘operatie geslaagd, patiënt overleden?’”
Volgens Van Engelshoven doet de HAN veel om de cyberveiligheid van de instelling te bevorderen, maar brengt een betere beveiliging meer kosten met zich mee. Dat vraagt om investeringen – iets waarvoor de demissionair minister steeds doorverwijst naar een volgend kabinet. “Veiligheid kost geld”, benadrukte ze. “Het gaat natuurlijk ook om bewustzijn en organisatie, maar op een gegeven moment moeten er dingen worden ingebouwd die geld kosten. Hoe hoger je het veiligheidsniveau wil brengen, hoe meer je moet investeren.”
Begin bij wachtwoorden zoals ‘welkom123’
El Yassini was het daarmee geheel niet eens. Volgens hem investeren instellingen wel in hun digitale veiligheid, maar doen ze dat op de verkeerde manier. “Een tractor en een Lamborghini zijn beiden even duur, maar met de één kun je een veld beter omploegen dan met de ander.” Als een universiteit wordt gehackt omdat een wachtwoord ‘welkom123’ is, moet daar worden begonnen, betoogde hij. “Als je ziet wat er nu nog kan worden verbeterd, dan hoeven we geen cent extra uit te geven om de veiligheid te verhogen.”
De minister gaf echter tegengas. “Natuurlijk zijn er veel verbeteringen mogelijk die geen geld kosten, bijvoorbeeld zorgen dat men betere wachtwoorden gebruikt. Echter, vooral als het gaat om de bescherming van hoogwaardige kennis, kunnen we niet doen alsof dat vanzelf gebeurt. Als we dat op orde willen krijgen, móeten we investeren. Van tevoren al zeggen dat investeren niet nodig is, zorgt ervoor dat we gaan achterlopen.”
We kunnen niet op deze voet verder
Ook op stelselniveau wordt er gewerkt aan de cyberveiligheid van het hoger onderwijs, vertelde Van Engelshoven. “Doorgaan op de huidige voet is geen optie. We zien in de gehele maatschappij dat de dreiging van cybercriminaliteit toeneemt. Er móet meer gebeuren.” Tegelijkertijd bemoeilijkt het open en toegankelijke karakter van hoger onderwijsinstellingen die missie. “Vaak zijn ze sterk decentraal georganiseerd; een college van bestuur weet niet altijd wat er binnen specifieke faculteiten gebeurt. Daarnaast kennen deze instellingen heel veel studenten en docenten die toegang hebben tot het systeem. Daar ontstaan kwetsbaarheden.”
Toch wordt er op overkoepelend niveau hard gewerkt, schetste de demissionair minister. “We zijn stap voor stap bezig om de cyberveiligheid te verbeteren middels risicomanagement, voortdurende monitoring, het structureel uitvoeren van interne en externe audits bij instellingen, samenwerking in de onderwijsketen, trainingen, crisisoefeningen en natuurlijk het vergroten van het algemene bewustzijn hieromtrent.”
Hoger onderwijs zal nooit geheel cyberveilig zijn
In het eerste kwartaal van 2022 wil OCW een overzicht hebben van de noodzakelijke financiën, het benodigde personeel en de benodigde capaciteit om alle instellingen aangesloten te hebben op een Security Operations Center (SOC). Daarnaast moeten alle instellingen een gedeeld normenkader met betrekking tot cyberveiligheid hebben, vertelde de minister. In het eerste kwartaal van 2022 komt er een stappenplan waarin wordt uiteengezet aan welke normen onderwijsinstellingen moeten voldoen en hoe ze daar naartoe zullen werken. Over de externe en interne audits van onderwijsinstellingen zullen dit najaar afspraken worden gemaakt met de koepels.
Ondanks alle inspanningen en maatregelen waakte de demissionair minister naar eigen zeggen voor naïviteit. “We moeten ons realiseren dat het onderwijs altijd kwetsbaar zal blijven”, benadrukte ze. “Ook als we al deze stappen zetten zal het nooit volledig veilig worden. Natuurlijk moeten we wel proberen de risico’s buiten de deur te houden, maar als je een open en toegankelijke werkomgeving wilt houden, is volledige veiligheid een illusie.”
Als beeldschermonderwijs werkte, hoefden we geen 8,5 miljard te investeren
Naast de zorgen over de cyberveiligheid in het hoger onderwijs maakten enkele partijen, waaronder DENK en de SP, zich ook zorgen over de trend van digitalisering die tijdens de coronacrisis een extra impuls heeft gekregen. “Als ik de OCW-begroting erbij pak, dan zie ik lovende woorden van het kabinet voor het feit dat corona een impuls heeft gegeven aan beeldschermonderwijs en dat de voornaamste problemen zich bevinden op het gebied van marktwerking en privacy. Daar ben ik het echt mee oneens”, zei Peter Kwint van de SP
De leskwaliteit heeft namelijk sterk te lijden onder het beeldschermonderwijs, betoogde hij. “Zowel docenten als studenten geven in overgrote meerderheid aan dat zij een docent in een fysiek lokaal als de belangrijkste randvoorwaarde voor leskwaliteit zien. Dat is ook logisch; waarom zouden we 8,5 miljard euro uitgeven om onderwijsachterstanden weg te werken als het beeldschermonderwijs zo goed zou werken?”
Demissionair minister Van Engelshoven benadrukte later in het debat dat fysiek onderwijs nooit geheel kan worden vervangen door online onderwijs. “Studeren heeft niet alleen een cognitieve kant, ook een sociale kant”, zei ze. “Tegelijkertijd is het onderwijs door sommige gevallen van digitalisering wel verbeterd, bijvoorbeeld door blended learning. Zeggen dat het onderwijs alleen maar fysiek mag zijn, is het kind met het badwater weggooien. Fysiek onderwijs blijft de norm, maar we moeten digitalisering ook de ruimte geven.”
