Digitale veiligheid begint op school

De onderwijssector digitaliseert. Dit biedt bijvoorbeeld mogelijkheden als het gaat om het vereenvoudigen van administratieve en financiële processen én het bieden van onderwijs op maat voor de leerling. De keerzijde van de digitalisering in de onderwijssector is dat de risico’s op digitale dreigingen en kwetsbaarheden van de school kunnen toenemen. Met als gevolg dat de school, de medewerkers en de leerlingen hiervan het slachtoffer kunnen worden. Dit probleem zal verder toenemen zolang de schoolomgeving (bestuurders, leerlingen, ouders) niet investeert in cybersecuritybewustwording en daardoor ook geen inzichten op de leerling kan overdragen.

Digitalisering in het onderwijs en op school

Digitalisering van de maatschappij gaat in een zeer hoog tempo. De complexiteit en de mogelijkheden nemen toe¹. Ook het onderwijs² digitaliseert in toenemende mate. Digitalisering heeft in deze context een dubbele impact. Ten eerste digitaliseert de school zelf. De administratieve en financiële keten van de school en opleidingen van docenten vinden steeds meer op een digitale manier plaats. Zo vindt bijvoorbeeld het in- en uitschrijven van een leerling in de mbo-sector plaats via een digitaal proces. Gegevens die al bekend zijn bij DUO worden automatisch gegenereerd en gegevens van een voorgaande school kunnen gemakkelijk worden overgedragen. Het in- en uitschrijven is hiermee eenvoudiger, soepeler en minder foutgevoelig³. Ook de cijferregistratie en communicatie daarover met leerlingen en ouders is veelal digitaal.

Ten tweede digitaliseert het onderwijs, door digitale lesmethodieken en door nieuwe kennis over digitale maatschappelijke ontwikkelingen. Digitale leermiddelen met nieuwe lesmethodieken worden door uitgevers en nieuwe spelers in de markt ontwikkeld om beter bij de leerbehoefte van de leerling te kunnen aansluiten. Dit draagt bij aan een snellere en betere ontwikkeling van de leerling. Deze krijgen het onderwijs dat zij nodig hebben in plaats van het onderwijs dat standaard wordt aangeboden. Het voortgezet onderwijs en het beroepsonderwijs maken zelf keuzes in hoeverre ze gebruik willen maken van digitale leermiddelen⁴. Maar niet alleen leermiddelen, ook toetsen zoals de Citotoets digitaliseren⁵. Deze veranderingen vergen andere (digitale) aardigheden van de leraar. Niet alleen de school en het onderwijs digitaliseren, ook de leerling wordt steeds digitaler. Voor leerlingen tussen de 10 en 18 jaar wordt een groot deel van hun leven bepaald door mediagebruik en zij hebben steeds jonger toegang tot digitale middelen en internet. Jongeren zijn vaak de early adopters en groeien op met het gegeven altijd en overal online te kunnen zijn⁶.

Dreigingen en kwetsbaarheden

De keerzijde van de digitale school en digitale leermiddelenis dat scholen steeds meer afhankelijk zijn van de continuïteiten veiligheid van hun systemen. Scholen werken daarnaastmet zeer privacygevoelige informatie (zoals toetsresultaten). Dreigingen en kwetsbaarheden stijgen bij het toenemende gebruik van deze digitale (leer)middelen. Deze kwetsbaarheden kunnen ook moedwillig worden misbruikt. De eerste gevallen van ransomware en cryptoware⁷ zijn reeds bekend in de onderwijssector. Onlangs is in het nieuws gekomen dat een Amerikaanse school 8.500 dollar heeft betaald aan internetcriminelen die via ransomware verschillende schoolservers wisten te versleutelen⁸. Maar dreigingen kunnen ook vanuit de leerlingen afkomstig zijn. De huidige generatie jongeren groeit op met het gegeven dat alle informatie te vinden is op het internet. Zo ook kennis over het uitvoeren van een cyberaanval. Heeft een leerling geen zin in een tentamen? Een DDos-aanval is voor deze generatie gemakkelijk uit te voeren of te ‘bestellen’ op internet. Slechte cijfers gehaald? Fraude door in te breken in het schoolsysteem is niet eenvoudig maar wel uit te voeren. De schade van deze acties loopt jaarlijks in de miljoenen⁹.

Huidige onderwijs om digitale bewustwording te creëren is onvoldoende

In het ecosysteem van de school komen dreigingen en kwetsbaarheden in relatie tot zowel de omgeving (systemen en digitale leermiddelen) als de gebruikers (docent en leerling) bijeen. Leerlingen zijn vanuit hun eigen belevingswereld bezig met de ontwikkeling van de digitale wereld. Steeds meer banen vergen technologische kennis en vaardigheden¹⁰. Naast rekenen en taal zijn de vaardigheden voor de 21e eeuw bijvoorbeeld ICT-geletterdheid en creativiteit¹¹. Om hen voor te bereiden op het dagelijks leven en op de arbeidsmarkt dienen zij te worden begeleid in deze continue digitale transformatie. Op de basisschool leren kinderen omgaan met ICT en leren ze over risico’s van het internet via initiatieven zoals mediawijzer, de codeweek.nl en het nationaal curriculum debat¹². Zodra ze op het voortgezet onderwijs en beroepsonderwijs komen, hebben ze dus een rugzakje met kennis. Op het voortgezet onderwijs worden lessen als mediawijsheid uitgevoerd (programmeren, cyberpesten, social media) maar de invulling en uitvoering hiervan wordt door de scholen zelf bepaald. Er zijn nog geen duidelijke leerlijnen, er is weinig theorie over mediawijsheid in het onderwijs, bestaand lesmateriaal is vaak lastig te vinden, docenten zijn niet getraind en hebben het bovendien druk genoeg met hun eigen vak¹³.

Bestuurders zijn onvoldoende cyberbewust

Uit onderzoek blijkt dat de onderwijssector kwetsbaar is als het om cybercrime gaat. Maar ook dat de cyberexpertise bij bestuurders nog niet voldoende aanwezig is. Bestuurders onderschatten de mogelijke gevolgen van incidenten¹⁴. Ook leraren geven aan dat ze niet voldoende kennis en vaardigheden hebben om ICT te gebruiken in het onderwijs en dit op de leerling over te kunnen brengen¹⁵. De ontwikkelingen gaan te snel of zijn te complex. Leerlingen zijn vaak zelf goed op de hoogte hoe digitale middelen werken, maar zijn niet of nauwelijks bewust van de risico’s die kleven aan het gebruik van de digitale middelen en de consequenties wanneer digitale middelen voor een verkeerd doeleinde worden gebruikt¹⁶. Eenmaal een misstap begaan, levert dat vaak problemen op in de toekomst. Leerling hebben daarom sturing nodig, maar zij leven vooralsnog in een andere digitale wereld dan de bestuurder, leraar en ouder. Samenvattend kan worden gesteld dat de schoolomgeving inzicht en bewustzijn mist op het gebied van cybersecurity. Wij zien een uitdaging voor het opleiden van de leerling van de 21e eeuw. Hoe moeten scholen (bestuurders en docenten) ervoor zorgen dat ze zelf meer cyberbewust worden? Hoe kunnen zij de leerlingen hierin het beste begeleiden? Hoe kan de aansluiting tussen deze twee werelden worden gevonden?

Digitale veiligheid in de school van de 21e eeuw

De leerling staat centraal binnen de school. Bij het thema digitale veiligheid is de leerling zowel gebruiker als professional van de toekomst. Niet alleen als mogelijk specialist in cybersecurity maar ook als cyberbewuste gebruiker in andere vakgebieden. Om digitale veiligheid een fundamentele plek te geven in de schoolomgeving en binnen het onderwijs zien wij een grote rol voor de bestuurders en docenten weggelegd. Zij kunnen de schoolomgeving beïnvloeden en verder organiseren. Bewustwording is essentieel om digitale veiligheid te kunnen organiseren. Dit kan middels een mix van initiatieven en activiteiten en in samenwerking met de leerling. Bijvoorbeeld door de snelle adoptie van de leerling te gebruiken in het onderwijs en voor de veiligheid van de eigen organisatie. Scholen doen er goed aan nieuwe trends en ontwikkelingen onder jongeren serieus te nemen en te bespreken in de verschillende lessen. Docenten zien in de praktijk veel digitale ontwikkelingen in hun klas de revue passeren. Het is de perfecte combinatie om bewustwording te organiseren door samen te werken met de leerlingen en hun kennis ook in te zetten. Op ‘ontdekkingsreis’ zijn met de leerling kan betekenen dat de rollen docent en leerling in deze context wel eens wisselen. Uiteraard moet hiervoor ruimte en tijd worden gecreëerd door het schoolbestuur dat zorgt voor onderwijstijd, leerlijnen en opleidingstijd voor docenten.

Daarnaast is het onmisbaar om als schoolomgeving zelf het goede voorbeeld te geven. Dat betekent dat de school en haar bestuurders zich hebben verdiept in de risico’s en maatregelen. Uitgangspunt is dat zij gaan nadenken over de organisatie van digitale veiligheid binnen de school. Hoe staat de organisatie er voor? Welke essentiële processen of gegevens wil ik beschermen? Een cybersecurityscan van de technische en organisatorische maatregelen behoort tot de aanbevelingen. Evenals het identificeren van risico’s. Op basis van deze elementen kan een plan van aanpak worden opgesteld om te komen tot een structurele digitaal veilige school. Als laatste is het noodzakelijk om als school duidelijk te hebben welke afhankelijkheden er zijn buiten de schoolomgeving. Het zelf ‘op orde’ hebben is tegenwoordig zelfs niet meer voldoende. Leermiddelen en leerlingadministratiesystemen worden gekoppeld aan de schoolomgeving. Kwetsbaarheden en dreigingen van de ene ketenpartij kunnen gevolgen hebben voor de andere ketenpartij. Samenwerken maakt het eenvoudiger om snel in te spelen op nieuwe ontwikkelingen in de keten. Het opstellen en afsluiten van een cyberconvenant tussen ketenpartners is een goede eerste stap in bewustwording in de keten. Hierin kunnen allereerst afspraken worden gemaakt over technische beveiligingsaspecten tegen cyberdreigingen. Maar ook welke risico’s en maatregelen in de keten gezamenlijk moeten worden opgepakt.

Conclusie

Samenvattend kan worden gesteld dat de schoolomgeving continu verandert en verder digitaliseert. Naast voordelen heeft dit ook een keerzijde: dreigingen en kwetsbaarheden zullen alleen maar toenemen. Het bewust omgaan met cybersecurity is essentieel voor een veilige schoolomgeving. De nodige inspanningen moeten worden gedaan om op het gewenste bewustzijnsniveau te komen. De bestuurder en leraar hebben hier een belangrijke rol in en hoeven dit niet alleen te doen: maak gebruik van de kennis en expertise in uw eigen schoolomgeving.