Uit een onderzoek van het Cbp is gebleken hoe slecht sommige Nederlandse hogescholen hun studentgegevens beveiligen. Denk aan gegevens als studieresultaten, foto's, informatie over leningen of notities van decanen, maar ook bijzondere persoonsgegevens zoals ras. Al deze gegevens bleken onvoldoende beveiligd!
Het College Bescherming Persoonsgegevens (Cbp) publiceerde donderdag 7 februari een persmededeling naar aanleiding van een onderzoek uitgevoerd bij de Hogeschool Utrecht (HU) en de Hogeschool Arnhem en Nijmegen (HAN). Aanleiding voor het onderzoek waren berichten over datalekken die in de media waren verschenen.
Het Cbp heeft de hogescholen gevraagd naar de manier waarop ze hun gegevensverwerking beveiligen en is ter plaatse gegaan om de organisatorische en technische maatregelen te testen. Het Cbp houdt daarbij de Code voor Informatiebeveiliging (NEN-ISO/IEC 27002:2007) aan als standaard. Zowel overheidsorganisaties, als semi-overheidsorganisaties, waaronder onderwijsinstellingen, moeten de Code voor Informatiebeveiliging toepassen of uitleggen waarom ze dat niet doen.
Uit het rapport van het Cbp blijkt dat bij de HU wel degelijk een beveiligingsbeleid bestond, maar dat dit uit 2001 dateerde! Ook de voorgeschreven jaarlijkse controle op de rechten van gebruikers in een informatiesysteem werd niet meer elk jaar uitgevoerd. De hogeschool maakte wel gebruik van beveiligde verbindingen en ook op de cryptografische maatregelen viel gelukkig niets op te merken maar volgende risico`s waren onbelet:
- toegang voor onbevoegden
- mogelijke hacks door SQL injecties en XXS
Het informatiebeveiligingsbeleid van de HAN recenter is - het dateert van december 2011 : ieha! - en omhelst ook bewustwordingscampagne omtrent informatiebeveiliging. Toch ontbrak in dat beleid een procedure omtrent wijziging en beëindiging van autorisaties en subrollen. Bijvoorbeeld in het geval dat bijvoorbeeld omdat een student zijn opleiding had afgerond of omdat een docent of ander personeelslid uit dienst was getreden. De toelichting van de HAN over de manier waarop toegangsmogelijkheden voor studenten automatisch ophouden bij beëindiging van de studie leek het Cbp trouwens wel te overtuigen, wat echter niet het geval was voor de logfiles volgens het Cbp.
Het belangrijkste risico van slechte beveiliging is dat studentgegevens ook toegankelijk zijn voor personen die niets met de opleiding te maken hebben. Er rust ook het gevaar dat een sessie van een gebruiker (student/docent) wordt overgenomen, de functionaliteit van een website wordt verrijkt of acties voor een gebruiker worden uitgevoerd. In dat geval wordt het mogelijk een cijferlijst te wijzigen of criteria zo aan te passen dat een student niet langer in aanmerking zou komen voor studiefinanciering. En dat is niet best.
Wat kunnen onderwijsinstellingen doen om ervoor te zorgen dat hun informatiebeveiliging op orde is?
Eerst en vooral de Code voor Informatiebeveiliging implementeren. In de procedures dienen alle fasen in de levenscyclus van gebruikerstoegang te worden vastgelegd, van de eerste registratie van nieuwe gebruikers tot de afmelding van gebruikers. Vervolgens moet de procedure ook worden gecontroleerd, liefst jaarlijks en door een externe partij.
Om er zeker van te zijn dat ook de partijen die hun IT diensten (zoals hosting of onderhoud SAAS dienst) leveren aan de onderwijsinstellingen hun beveiligingsmaatregelen scherp houden, raden wij deze organisaties aan een bewerkersovereenkomst te sluiten. Daarover lees je hier meer.
