"Ik wil dat studenten en collega’s onbezorgd kunnen leren, onderzoeken en experimenteren."

De vereniging hogescholen schreef er een manifest over, met het oog op de aankomende verkiezingen. Het doel van het manifest is aandacht voor het hoger beroepsonderwijs. En dan met name voor de noodzaak om erin te investeren in plaats van erop te bezuinigingen. Goed onderwijs is immers hét vehikel naar het Nederland van morgen. Matijs van Hilst reflecteert op punt 4 uit het manifest, dat gaat over investeren in kennisveiligheid en cybersecurity.

‘Als onderwijsinstelling staan we de komende jaren voor grote uitdagingen op het gebied van kennisveiligheid en cybersecurity. Enerzijds profiteren we van de enorme voordelen die ICT biedt, anderzijds vinden we het nog best lastig om de bijbehorende risico’s goed te adresseren. In het nieuws zien we wat de gevolgen kunnen zijn van onzorgvuldige omgang met gegevens: het datalek bij Bevolkingsonderzoek Nederland, de hack bij TU Eindhoven, de rechtszaak tegen OpenAI over de zelfdoding van een jongere… 

Om onze studenten en collega’s cyberveiligheid te bieden, zijn er investeringen nodig. In geld, tijd, energie, mankracht en kennis. De afgelopen jaren hebben we al veel stappen gezet: we hebben onze netwerkbeveiliging versterkt, we werken gestructureerd aan de implementatie van een beveiligingskader, we laten ons auditen en we hebben productieve samenwerkingsverbanden opgezet met andere instellingen. De puzzelstukjes beginnen op hun plek te vallen.  

In hetkader van veiligheid ben ik blij met de Cyberbeveiligingswet. Die wet eist namelijk dat we risico gebaseerd gaan werken. Dit betekent dat we onze inspanningen gaan richten op de plekken waar dat het hardst nodig is. Ook gaan we toetsen of de inspanningen het gewenste effect hebben. Dat klinkt logisch en is makkelijk gezegd, maar het betekent nogal wat voor onze instelling. Op dit moment zijn we druk met het op orde krijgen van de basis, met name binnen de Dienst FZ/IT.  

De volgende fase is een verdere uitrol van beveiliging richting de instelling. Denk aan docenten die incidenten beter gaan herkennen en melden. Studenten die leren wat veilig gedrag is en daarnaar kunnen handelen. Managers die zorgen dat hun applicaties veilig zijn ingericht en dat hun medewerkers alleen toegang krijgen tot gegevens die ze nodig hebben. De stap naar risico gebaseerd werken komt daar nog bovenop. Best een uitdaging!

Vanuit het HBO-CISO beraad zijn we voor de sector in kaart aan het brengen welke stappen instellingen kunnen doorlopen om te voldoen aan de Cyberbeveiligingswet. Praktisch gezien verwacht ik dat de Chief Information Security Officers (CISO’s) binnen instellingen een managementsysteem voor informatiebeveiliging gaan opzetten. Hiermee kunnen we bijvoorbeeld risicobeoordelingen uitvoeren op nieuwe gebruikersapplicaties. Ook voorziet zo’n systeem in de monitoring op beveiligingsmaatregelen en risicorapportages.  

Maar er is meer nodig: van proceseigenaren gaan we meer inzicht vragen in hun processen. Eigenaren van applicaties en systemen moeten straks vastleggen hoe zij beveiligingsmaatregelen hebben geïmplementeerd. Vervolgens evalueren we samen of onze inspanningen het juiste effect hebben en komen we met verbeterplannen. Die moeten natuurlijk worden begeleid. Daarvoor moeten verantwoordelijkheden goed zijn belegd, zijn hulpmiddelen nodig om processen vast te leggen, is training nodig en ga zo maar door … ook is het cruciaal dat het management de ondersteuning krijgt die zij nodig heeft om deze cultuuromslag te begeleiden.  

Kortom: we zijn op weg, maar om te voldoen aan de eisen van de Cyberbeveiligingswet moet er nog veel gebeuren. Ik ben blij dat we deze stappen zetten: ik wil dat studenten en collega’s zich kunnen concentreren op goed onderwijs en onderzoek. Dat kan niet zonder IT, maar ook niet zonder het vertrouwen dat De Haagse ieders gegevens goed beveiligt. En daar hebben we meer budget voor nodig.’

Kennisveiligheid en cybersecurity is een belangrijk thema in het manifest. De wens die er wordt uitgesproken is dat er meer in wordt geïnvesteerd. Matijs van Hilst is Chief Information Security Officer (CISO) op De Haagse Hogeschool.