Digitaal Veilig Onderwijs
Binnen het onderwijs is digitalisering niet meer weg te denken. Het biedt prachtige kansen, zoals meer flexibiliteit en maatwerk. Digitalisering betekent ook dat gevoelige informatie en gegevens digitaal worden verwerkt....
Phishingpoging SVOK succesvol verijdeld: ‘Ik had er geen goed gevoel over’
Daniëlle Smit en Jeroen Kuijk wisten vorig jaar een poging tot financiële fraude via phishing bij hun bestuur SVOK te verhinderen. Samen vertellen ze over het belang van alertheid en bewustwording in de hele organisatie – niet alleen bij de ICT-afdeling.
“Ik vond het meteen een raar bericht”, vertelt Daniëlle. “Het was net na de herfstvakantie en ik zag dat ik drie mailtjes had ontvangen van het administratiekantoor dat factureert voor een bedrijf waar wij diensten afnemen. Facturen komen bij ons meteen in het digitale systeem voor inkoopfacturen, maar we hebben ook nog een mailbox. In de mails werd gevraagd of ik wilde aangeven of ik de factuur goed had ontvangen en of deze akkoord was om te betalen. Er stond ook keurig een factuurnummer en een bedrag in.”
Vreemd
Daniëlle werkt al bijna twintig jaar op de financiële administratie van Stichting Voortgezet Onderwijs Kennemerland (SVOK) in Castricum. “Ik zie zo’n tienduizend facturen per jaar en heb in de loop der jaren een bepaald gevoel ontwikkeld voor dingen die niet kloppen.” Ze was geïrriteerd door de mails: “Ik kreeg drie mails achter elkaar, met uitroeptekens. In een van de mails werd gevraagd of ik het bedrag wilde overmaken op een IBAN-nummer van ING. Omdat ik het vreemd vond dat ik drie mailtjes kreeg, heb ik het rekeningnummer gecontroleerd. Ik zag dat ik facturen voor dat bedrijf altijd overmaak naar een Rabobank-rekening. Dat klopte dus niet.”
Maar toen Daniëlle de namen van de afzenders van de mails ging googelen, zag ze dat die mensen wel echt bij het administratiekantoor werkten. Ze besloot te bellen naar de organisatie die de diensten levert. “Die wisten van niks. Toen ben ik naar Jeroen gelopen om te vragen of hij even mee wilde kijken. Ik had er geen goed gevoel over.”
Specifieke data
Jeroen Kuijk is ICT-adviseur en privacy officer bij SVOK. “Ik ben meteen gaan kijken op onze mailserver waar de mails vandaan kwamen. Ik zag toen dat in de domeinnaam een streepje stond dat er niet hoorde. Nader onderzoek leerde dat de domeinnaam pas enkele dagen voor het eerste mailtje was geregistreerd. Met die gegevens heb ik het administratiekantoor gebeld. ‘Jij bent volgens mij flink de klos’, zei ik. ‘Er wordt zogenaamd vanuit jouw organisatie gemaild met hele specifieke data, zoals namen en facturatiegegevens.’ Ik heb geadviseerd er meteen cybersecurity-experts bij te halen.”
Jeroen heeft daarna het rekeningnummer gecheckt bij de ING, waarbij hij erachter kwam dat het om een privérekening ging. “Vervolgens heb ik de ING op de hoogte gesteld dat het rekeningnummer werd gebruikt voor phishing. Binnen twee uur had ik een reactie dat ze meteen actie hadden ondernomen. Het ging dan ook om een factuur van ongeveer een ton. Dat is serieus geld.” Jeroen deed ook een melding bij School-CERT. “Volgens mij doet het administratiekantoor waar het om ging zaken met veel meer scholen, dus dat leek me goed om te doen.”
Meld je aan voor School-CERT
School-CERT is het Computer Emergency Response Team voor het primair en voortgezet onderwijs. Het helpt scholen om snel en deskundig te reageren bij cyberincidenten, en deelt kennis om nieuwe incidenten te voorkomen. Meld je als schoolbestuur gratis aan bij School-CERT Zo blijf je op de hoogte van actuele dreigingen en ontvang je praktische ondersteuning als er iets misgaat.
Scherp opgelet
“Als zoiets gebeurt, ga je wel even nadenken over wat er had kunnen gebeuren. Wat als Daniëlle niet zo scherp had opgelet?”, vervolgt Jeroen. “Dan ben je dus een ton aan onderwijsgeld kwijt. Want het bedrijf dat de dienst heeft geleverd, moet je natuurlijk ook nog gewoon betalen. Zij moeten ook aan hun verplichtingen voldoen.”
Intern is inmiddels afgesproken dat bij een wijziging van het IBAN de vaste contactpersoon van de crediteur wordt gebeld. “En we hebben nog extra controles”, zegt Daniëlle. “Als medewerker kan ik ook niet zomaar een IBAN wijzigen, dit wordt door een externe organisatie gedaan. Deze wijzigingen worden vervolgens weer gecontroleerd een collega van mij. Dat voorkomt fouten. Bovendien controleer ik nieuwe relaties altijd bij de Kamer van Koophandel.”
Bewustzijn creëren
“Phishing is een groot probleem”, vertelt Jeroen. Hij houdt zich binnen SVOK bezig met het Normenkader IBP. “Dat zie je maar weer aan deze casus. Natuurlijk doen we er in onze IT-systemen alles aan om valse mails eruit te halen, maar bewustzijn creëren bij medewerkers is echt het allerbelangrijkst. Een foutje is zo gemaakt.”
Er worden daarom binnenkort awareness-trainingen voor medewerkers aangeboden binnen SVOK: “Dat was in het verleden best lastig om van de grond te krijgen, maar inmiddels wordt het in een e-learning van de academie van onze Onderwijsregio Hollands Noorden aangeboden. Ook hebben we aan het begin van het schooljaar het gevaar van phishing nog eens extra benadrukt op alle scholen.”
Bij elkaar in de keuken kijken
Werken met het Normenkader IBP is bij SVOK inmiddels gemeengoed. Jeroen: “We hebben het laatste jaar grote stappen gezet. Ik werk samen met de bestuurder, de FG en de directeur van het servicebureau in een kernteam. We hebben strategie en beleid opgesteld, maken kwartaal- en jaarrapportages, we gaan een brede nulmeting doen en aan de slag met een cyber awareness-programma.”
SVOK gaat ook samen met een ander bestuur uit de onderwijsregio een training bij Kennisnet doen. “Daarna kunnen we een cyberoefening bij elkaars bestuur doen. Sowieso kunnen we hier in de regio elkaar steeds beter vinden. De ICT’ers kijken bij elkaar in de keuken en ik deel graag good practices met collega’s.”
Afgelopen zomer kreeg Jeroen een mail van School-CERT met een checklist op het gebied van informatiebeveiliging en privacy. “Veel daarvan deden we al. Maar één ding niet: communiceren wat we doen. Vanaf dat moment maak ik daarom een kwartaalrapportage voor het bestuur. Die werd goed ontvangen en dat blijf ik nu dus doen.”
Een crisisoefening organiseren op school
Organiseer met het oefenpakket van Kennisnet eenvoudig zelf een (jaarlijkse) crisisoefening met jouw schoolbestuur. Je oefent met je crisisteam en ervaart wat een cybercrisis in de praktijk voor impact kan hebben.
Samenwerking
Terugkijkend benadrukken Daniëlle en Jeroen het belang van een nauwe onderlinge samenwerking. “We kennen elkaar goed, we hebben veel contact over verwerkersovereenkomsten bijvoorbeeld. Het is overigens niet zo dat ik het geld gewoon had overgemaakt als Jeroen niet achter zijn bureau had gezeten toen ik die mails niet vertrouwde”, zegt Daniëlle. “We hebben immers ook nog andere controles in onze systemen en manier van werken. Maar we konden nu wel snel actie ondernemen. Hopelijk hebben we daarmee voorkomen dat andere organisaties geld hebben overgemaakt naar criminelen.”
Hun tips voor andere onderwijsorganisaties? Jeroen: “Check en dubbelcheck. En altijd even bellen met je contactpersoon van de organisatie als je het niet vertrouwt, met het nummer dat je kent! Niet het nummer uit de mail of van een – mogelijk – valse factuur.”
Eerste hulp bij cybercrises - Gratis ondersteuning voor schoolbesturen
Weet jij wat je moet doen als jouw school of bestuur wordt getroffen door ransomware, een phishingaanval, datalek of een andere cybercrisis? Vanaf 15 oktober kun je in zo’n geval…
Nu beschikbaar: belangrijke tool voor zelfevaluatie van Normenkader IBP
Het ministerie van OCW verwacht van schoolbesturen dat zij vanaf 2026 inzicht hebben in de digitale veiligheid van hun schoolomgeving. Daarom roepen OCW, Kennisnet, SIVON, de PO-Raad en VO-raad schoolbesturen…
Nieuw! Handreikingen digitale veiligheid voor bestuurders en RvT
Digitale veiligheid is een steeds belangrijker thema voor organisaties en dus ook in het onderwijs. Scholen lopen het risico om gehackt te worden of kunnen te maken krijgen met andere…
