Ook hoger onderwijs nog digitaal kwetsbaar

Besturen in het hoger onderwijs zijn zich ervan bewust dat zij, net als andere organisaties en bedrijven, doelwit kunnen zijn van digitale aanvallen en kwetsbaar zijn voor datalekken. Toch hebben nog niet alle onderwijsinstellingen genoeg kennis, actuele informatie of voldoende beschermingsmogelijkheden om zulke dreigingen het hoofd te kunnen bieden. Dat blijkt uit onderzoek door de Inspectie van het Onderwijs. De universiteiten en hogescholen kunnen hun digitale veiligheid vergroten door beter samen te werken. Ook de overheid kan bijdragen door regie te nemen op digitale veiligheid en de beschikbare kennis samen te brengen.

Aandacht en maatregelen, maar grote verschillen

Uit het onderzoek ‘Binnen zonder kloppen – Digitale weerbaarheid in het hoger onderwijs’ blijkt dat digitale veiligheid mede door de incidenten onderwerp van gesprek is geworden bij besturen in het hoger onderwijs. Ook hebben hogescholen en universiteiten meer maatregelen genomen. Maar die aandacht en de (basis)maatregelen zijn nog niet altijd voldoende, en het verschilt sterk per instelling. Een deel van de hogescholen en universiteiten heeft nog niet genoeg kennis en beschermingsmogelijkheden. Daarnaast krijgt niet iedere onderwijsinstelling evenveel actuele informatie om dreigingen het hoofd te kunnen bieden. Ook hebben grote onderwijsinstellingen - denk aan een universiteit met vele faculteiten - niet altijd zicht op de digitale veiligheid bij hun verschillende organisatieonderdelen.

Verbeterkansen door betere samenwerking

Onderwijsbesturen zijn zelf verantwoordelijk voor de veiligheid van hun universiteit of hogeschool. Allereerst, stelt de inspectie, zou ieder individueel bestuur digitale veiligheid voortaan een vast onderdeel moeten maken van het risicomanagement, en het niet alleen aan de specialisten overlaten. Hoe onwennig het onderwerp soms ook is.

Daarnaast zouden besturen de krachten moeten bundelen om de digitale weerbaarheid te vergroten: beter samenwerken, informatie delen en gezamenlijk actief blijven leren en vernieuwen. Er bestaan binnen het hoger onderwijs al gezamenlijke initiatieven om monitoring te versterken en de informatie over actuele dreiging te delen, maar daar zijn niet alle instellingen bij betrokken.

Regie op digitale veiligheid

Op het gebied van ict en onderwijs is er overigens veel kennis en kunde. Doordat geen partij verantwoordelijkheid draagt voor de digitale weerbaarheid van het hoger onderwijs als geheel, ontbreekt het aan sturing. Zo is er ook geen duidelijkheid of een gezamenlijk beeld welk beschermingsniveau voor een onderwijsinstelling voldoende is. De bundeling van krachten in het hoger onderwijs moet minder vrijblijvend om blinde vlekken te voorkomen. De inspectie ziet een rol voor de overheid om daarin regie te nemen. De overheid speelt tot nu toe een beperkte rol in beleid en toezicht op het gebied van digitale veiligheid.

Mogelijk risico voor voortgang van onderwijs en onderzoek

Het onderzoek onder besturen in het hoger onderwijs werd uitgevoerd naar aanleiding van de digitale aanval op de universiteit van Maastricht in december 2019. Sindsdien hebben zich vaker incidenten voorgedaan bij universiteiten en hogescholen, maar ook bij een wetenschapsfinancier en in het mbo en voortgezet onderwijs. Een cyberaanval kan de voortgang van onderwijs en onderzoek in gevaar brengen. Bovendien hebben onderwijsinstellingen een bijzondere verantwoordelijkheid voor databescherming vanwege de persoonsgegevens van studenten en leerlingen die zij beheren.

Studenten aan het studeren via laptop
©Rijksoverheid