Cyberaanvallen: ze worden steeds geavanceerder én ze komen steeds vaker voor. Daarmee is de beveiliging van online platforms steeds belangrijker. In dit tweeluik over Cyber Security, kijken we met IJsbrand van Prattenburg, Information Security Officer én Software Developer bij Procademy, naar de maatregelen die nodig zijn om online leren veilig te laten verlopen. Naar waarom dat nodig is. In dit eerste deel zoomen we in op de mens achter de systemen. Wat kan jij doen en wat kan jouw organisatie doen om online leren veiliger te maken én te houden?
Meer dan techniek alleen
IJsbrand opent het gesprek: “Bij informatiebeveiliging denk je natuurlijk al snel aan de technische kant van het verhaal. Dat je dingen afschermt met wachtwoorden, DDoS-aanvallen probeert te voorkomen en de versleuteling van je bestanden goed regelt. Maar de menselijke factor heeft óók heel veel invloed op je beveiliging. De manier waarop je met elkaar de kwaliteit van de beveiliging bewaakt is zo belangrijk. Dus: wie gaat een nieuwe functionaliteit uitdenken? Wie is uiteindelijk verantwoordelijk voor het onderhoud? Wie kan dat controleren? Hoe toets je dat met elkaar? Door daarover na te denken en de uitkomsten toe te passen, voorkom je kwetsbaarheden in je systemen.” Met twee verschillende petten op, als Information Security Officer en als Software Developer bij Procademy, kijkt IJsbrand dagelijks vanuit zowel de techniek als vanuit de eindgebruiker naar security vraagstukken.
Want naast het bewaken van kwaliteit, is het menselijk handelen überhaupt een belangrijke schakel in de informatiebeveiliging. Critici beweren dan ook wel dat het de belangrijkste én zwakste schakel tegelijk is: “Je kunt technisch alles helemaal dichtzetten, maar als jij als admin-gebruiker je inloggegevens deelt, dan maak je het een stuk lastiger voor ons om de veiligheid en integriteit van het systeem te kunnen waarborgen.” schetst IJsbrand nuchter een veelvoorkomend probleem. Mooie aanleiding om in dit artikel allereerst maar eens een paar concrete beveiligingstips te delen om online leren veiliger te maken.
Tip 1: Jouw account is jouw account
“Mensen hebben weleens de indruk dat het wel meevalt met de gevoeligheid van de data op een leerplatform. Daardoor zijn ze geneigd om wat makkelijker te gaan met hun inloggegevens.” schetst IJsbrand een bekend risico. “Eén van de hoofdpunten van databeveiliging is dat wijzigingen altijd herleidbaar zijn naar een bepaalde beheerder of een specifiek gekoppeld systeem. Dat is enorm belangrijk, want dan kunnen wij ook afwijkende patronen waarnemen, die mogelijk wijzen op misbruik van inloggegevens. Het even onderling delen van inloggegevens lijkt voor de beheerder misschien onschuldig. Of vooral handig, tijdens een verlof. Maar voor ons gaat daarmee belangrijke informatie over de herleidbaarheid verloren. Dat betekent dat wij onze taak - het beveiligen van de persoonsgegevens van al die duizenden eindgebruikers - minder goed kunnen uitvoeren.”
En de risico’s gaan nog verder dan een vertroebelde herleidbaarheid, zo licht IJsbrand toe: “Het wordt wel eens vergeten, maar informatie over de kennis waarover een persoon beschikt, dat valt ook onder persoonsgegevens. Iemand met toegang tot Learning Management Software, kan zien welke certificaten of diploma’s een gebruiker heeft of zelfs welke competenties. Dat is gewoon vertrouwelijke informatie.”
Daar komt bij dat kwaadwillende hackers zich blijven ontwikkelen. “Hackers worden steeds slimmer in het bundelen van verkregen informatie. Zo kan het zijn dat jouw verkregen wachtwoord van je e-learning module uiteindelijk ook kan leiden tot het hacken van je X-account, als je te weinig variatie in je wachtwoorden hanteert. Die ene hack zet dan een domino-effect met grote gevolgen in gang.”
Tip 2: Gebruik een wachtwoordmanager
Dat brengt IJsbrand op zijn tweede concrete aanbeveling: “Investeer nou die paar euro per maand in een applicatie om je wachtwoorden te beheren. Daarmee kun je gemakkelijk voor elke applicatie een eigen, ijzersterk en zo goed als onkraakbaar wachtwoord kiezen, zonder dat je dat zelf allemaal hoeft te onthouden. Als je persoonlijke wachtwoorden namelijk worden buitgemaakt, dan is echt het einde zoek. Dan ligt al je informatie voor de rest van je leven op het internet. Dat is een onomkeerbaar proces en staat echt niet in verhouding tot de euro’s voor een goede password manager." Goede suggesties voor tools om je wachtwoorden mee te beheren, zijn bijvoorbeeld 1Password, LastPass of Keeper.
Tip 3: Monitor je rechten
“Veel van een goede beveiliging start bij het bewustzijn. Je bewust zijn van het feit dat er mensen bestaan die kwaad willen doen. Dan ga je ook handelen naar dat inzicht. Door dus geen accounts te delen, of onzorgvuldig met wachtwoorden om te gaan, maar ook door in je organisatie periodiek te checken hoe de rechten zijn verdeeld. Wie mag waarbij? Klopt dat nog? En, we zien het echt gebeuren: medewerker gaat naar de concurrent, heeft de oude inloggegevens nog en probeert nog even het oude lesmateriaal mee te nemen. Daar moet je scherp op zijn.” Dat betekent dus dat je rollen en bijpassende rechten vast moet leggen. IJsbrand licht toe: “Wij gaan ook altijd uit van het ‘principle of least privilege’, waarbij gebruikers alleen de rechten krijgen die nodig zijn om een functie uit te oefenen. En dus niet méér rechten, omdat dat toevallig handig zou zijn.”
Tip 4: Dataminimalisatie
In het artikel over de technische maatregelen zullen we nog ontdekken dat bij de softwareontwikkeling rekening gehouden kan worden met het minimaliseren en anonimiseren van de data in een platform. Maar de beheerder heeft daarin ook een belangrijke rol: ”Als beheerder voed je het platform. Dat betekent dat je moet nadenken over wat je erin stopt. Welke gegevens in een e-learning bevatten vertrouwelijke bedrijfsinformatie? Welke persoonsgegevens sla je op van je cursisten? Als daar bepaalde gegevens noodzakelijk zijn, bijvoorbeeld om bij het slagen goede certificaten te kunnen opstellen, hoe lang mag die data dan blijven bestaan in het platform? Wat zijn mogelijke triggers om die informatie te herzien?” Allemaal vragen die je jezelf kunt stellen over de data in je SaaS tool.
Maar dataminimalisatie pas je het liefst ook toe buiten de opslag van je tool, zo schetst IJsbrand: “Stel je hebt een supportvraag over je leeromgeving, wat stuur je dan allemaal mee naar je leverancier? Wij zijn er bij Procademy heel duidelijk over: communiceer met ons een gebruikers-id. Dan zoeken we de relevante informatie erbij. Op die manier hoeven we geen mails met persoonsgegevens of attachments met vertrouwelijke gegevens te ontvangen. Andersom willen we natuurlijk ook dat onze medewerkers dat soort mails niet uitsturen. Daar trainen we op. En als de situatie het vereist, dan kiezen we een beveiligde mailoplossing waarbij het bericht na gebruik automatisch wordt verwijderd. Zo leeft zo’n mail niet voor onbepaalde tijd voort in de mailbox van onze klant. Nieuwe klanten moeten daar soms even aan wennen, maar als we dit samen goed onder de knie hebben, kunnen we mooi wél weer een beveiligingsrisico afstrepen.”
Organisatorische maatregelen bij Procademy
Van de praktische aanbevelingen dan naar de concrete organisatorische maatregelen bij Procademy. IJsbrand, glimlachend: “Ik geloof in practice what you preach. Dat is waarom we bij Procademy bijvoorbeeld volgens het Privacy by Design principe werken. En naast dat we dus alleen gebruikers-ID’s hanteren, werken onze collega’s óók met Multi Factor Authenticatie en regelen we toegang tot systemen op basis van een strikte IP whitelist.”
Ook voor de niet-dagelijkse praktijk, heeft Procademy informatiebeveiliging hoog in het vaandel staan: “We brengen vaak nieuwe updates uit voor onze software. Dat is fijn voor onze klanten, maar die snelheid kan ook wat risico's met zich meebrengen. Daarom testen we natuurlijk elke update grondig, voordat we overgaan tot de release. Zo laten we bijvoorbeeld altijd minstens twee mensen naar de code kijken voordat het live gaat. En gaat er toch iets fout? Dan kunnen we heel snel ingrijpen met een security patch."
Daar komt bij: “Om te voorkomen dat we alleen maar ons eigen vlees keuren, laten we ook jaarlijks een uitgebreide pentest uitvoeren om kwetsbaarheden boven tafel te krijgen.”
Procademy beschikt, mede door bovenstaande activiteiten, over een ISO 27001 (internationale norm voor informatiebeveiliging), ISO 9001 (internationale norm voor kwaliteitsmanagement) en NEN 7510 (Nederlandse norm voor informatiebeveiliging in de zorg). “Daarmee oordelen onafhankelijke auditoren ook dat we bij Procademy op een juiste manier aandacht schenken aan onze Cyber Security én de processen die daarbij horen.” besluit IJsbrand tevreden.
Meer weten wat veilige Learning Management Software kan betekenen voor het behalen van de leerdoelen in jouw organisatie? Neem dan een vrijblijvend contact op voor een demo.
