Verslag van onze presentatie tijdens de Onderwijsdag
Tijdens de recente Onderwijsdag verzorgden wij een sessie over een onderwerp dat vaak technisch wordt benaderd, maar in werkelijkheid bestuurlijk van aard is: pentesten.
De centrale vraag waarmee we de zaal meenamen was eenvoudig, maar confronterend:
Als morgen iemand probeert binnen te dringen in uw digitale leeromgeving, hoe ver komt die persoon dan?
Het bleef opvallend stil.
Digitalisering is het onderwijsproces
We startten met een gezamenlijke constatering. Digitalisering is geen ondersteunend proces meer. Het is integraal onderdeel van het onderwijs.
Leerlingvolgsystemen, digitale leermiddelen, toetsomgevingen en communicatieplatforms vormen samen het hart van de organisatie.
Wanneer systemen uitvallen, ligt het onderwijs stil.
Wanneer gegevens uitlekken, raakt dat direct het vertrouwen van ouders en leerlingen.
Digitale weerbaarheid is daarmee geen IT-vraagstuk. Het is een vraagstuk van continuïteit en bestuurlijke verantwoordelijkheid.
De schijnzekerheid van maatregelen
Veel organisaties hebben inmiddels belangrijke stappen gezet:
firewalls, multifactor-authenticatie, beleid, mogelijk zelfs certificering.
Tijdens de sessie bespraken we echter het verschil tussen maatregelen hebben en weten of ze effectief zijn.
Beleid beschrijft hoe het zou moeten zijn.
Techniek laat zien hoe het is ingericht.
Maar alleen een pentest laat zien wat daadwerkelijk mogelijk is.
Een penetratietest simuleert een realistische aanval. Niet om schade te veroorzaken, maar om aannames te toetsen.
Wat we in de praktijk tegenkomen
In het gesprek met deelnemers herkenden veel scholen de volgende voorbeelden:
– accounts van oud-medewerkers die nog actief zijn
– interne systemen die te breed toegankelijk zijn
– verouderde software die ongemerkt is blijven draaien
– onvoldoende segmentatie binnen het netwerk
– cloudinstellingen die niet optimaal zijn geconfigureerd
Geen spectaculaire kwetsbaarheden.
Maar wel realistische aanvalspaden.
Compliance is geen garantie
Een belangrijk punt tijdens de presentatie was het onderscheid tussen compliance en daadwerkelijke weerbaarheid.
Voldoen aan wet- en regelgeving is noodzakelijk. Maar een aanvaller kijkt niet naar uw beleidsdocumenten of certificaten.
Een pentest maakt zichtbaar wat er in de praktijk mogelijk is. Daarmee verschuift de focus van “we denken dat het goed zit” naar “we weten waar de risico’s liggen”.
Pentesten als onderdeel van governance
We benadrukten dat een pentest geen technisch experiment is, maar een governance-instrument.
Besturen moeten kunnen aantonen dat:
– risico’s inzichtelijk zijn
– maatregelen effectief zijn
– verbeteracties worden opgevolgd
– toezicht daadwerkelijk plaatsvindt
Een periodieke pentest, met bestuurlijke bespreking van de uitkomsten en opvolging van bevindingen, hoort thuis in de reguliere planning- en controlcyclus.
De ongemakkelijke maar noodzakelijke stap
Een goede pentest kan confronterend zijn.
Kwetsbaarheden worden zichtbaar.
Aannames blijken soms niet te kloppen.
Risico’s worden concreet.
Maar juist die transparantie geeft rust. Het is beter om kwetsbaarheden in een gecontroleerde test te ontdekken dan via een daadwerkelijke aanval.
Afsluitende reflectie
We sloten de sessie af met dezelfde vraag waarmee we begonnen:
Weet u daadwerkelijk hoe weerbaar uw organisatie is?
Digitale veiligheid vraagt om open ogen. Niet vertrouwen op aannames. Maar sturen op inzicht.
Pentesten helpen om zonder oogkleppen te kijken. En dat is in het huidige digitale landschap geen luxe, maar een bestuurlijke noodzaak.