Mobiele telefoons zijn niet langer toegestaan in de klas. Dat roept heel veel vragen op, maar hier ontstaan volgen ons ook heel veel kansen. De overheid verbiedt mobile telefoons in de klas. Tegelijkertijd gebiedt de overheid dat we een hoop nieuwe basismaatregelen rondom cybersecurity moeten gaan nemen die we in de school moeten implementeren.
Deze twee werelden komen nu bij elkaar. We kunnen niet wachten tot normenkader 2027. We moeten vandaag de dag aan de slag in de school. Aan het einde van het schooljaar 2024 moet in het financiële jaarverslag al een passage opgenomen zijn over hoe we omgaan met cybersecurity én hoe dat is geïmplementeerd.
De bestuurder van de school moet daar verantwoording over afleggen. Dus het is ontzettend belangrijk dat je voor je accountant de boel voor elkaar hebt. En dat betekent dat we cybersecurity echt in een hogere versnelling moeten zetten, anders gaan we het niet redden. Als we dit bij elkaar brengen zien wij hele mooie kansen…
Even voorstellen
Met ons team van zo’n 35 man zitten we volledig in het voortgezet onderwijs. Daar zijn we in gespecialiseerd. Bijna alle scholen kennen ons wel van het draadloze netwerk. We zijn vooral de ’techneuten in Spijkerbroek’. Wij zijn niet even de snelle boys die even voorbijkomen en een veranderd procesje doorvoeren. Nee, we zijn de techneuten waar je écht wat aan hebt en waar je ook de komende tien jaar gewoon echt mee verder kunt.
Wat doen wij binnen het onderwijs?
Binnen het onderwijs omvangen we de hele keten van infrastructuur. Dus alles wat je in een moderne school nodig hebt, wifi, networking, firewall, EduLinQ identity management, wat super actueel is op dit moment. Alles wat je nodig hebt in de school, regelen wij voor je.
Wij zijn steeds vaker de achtervang voor de ICT-afdeling. Dat betekent, wij regelen de techniek. We doen ook de 2e-lijns support. We zijn de sparringpartner voor de ICT-afdeling en we zorgen ook dat we eigenlijk collega’s op afstand zijn. Dus we hebben geen leveranciers-klantenrelatie. Bijna alle onze klanten zijn echt nagenoeg naast de collega’s. En zo werken we. De school wordt ook steeds meer een regieafdeling. De ICT-techniek wordt steeds meer uitbesteed en die rol pakken wij met elkaar op.
Geen mobieltjes in de klas met het ‘zakkie’
Wij zien het verdwijnen van mobieltjes in de les als een zege.
Dit betekent dat we eindelijk weer ’toegang’ krijgen tot die laptops van de leerling. Dat we daar echt zicht op hebben en grip op krijgen. Zolang er mobieltjes zijn, kan er van alles buiten die laptops om gebeuren. Sterker nog, je kunt zelfs een mobieltje als draadloze-internet-router gebruiken…
Als die niet meer werken, door een ‘zakkie‘ of doordat ze in de kluis zitten, dan kunnen we eindelijk grip uitoefenen op die laptops van de leerlingen.
Het ‘Zakkie’ is een inventief signaal blokkerend telefoonzakje waar de leerling zijn telefoon tijdens de les in kan opbergen.
Zodra de telefoon in ’t Zakkie zit gaat deze offline, waardoor inkomende berichten, oproepen en/of meldingen niet meer binnenkomen. De docent krijgt de controle terug in de les: de leerlingen en de docent worden niet meer gestoord.
Netwerk Access Control met EduGuard®
Hoe doen we dat? Wij kunnen onze wifi-netwerken extra beveiligen met EduGuard®. EduGuard® is de moderne politieagent die we voor je netwerk zetten.
Dat doen we vanuit het wireless-netwerk. Dat kunnen we vanuit het vaste netwerk. Dat noemen we NAC, Netwerk Access Control, een heel hot item. En we kunnen uiteindelijk al die sessies die binnenkomen op het netwerk reguleren, autoriseren en doorzetten naar de firewall. Die firewall hoort echt in de school. Dus met online diensten en veilig internet en alles wat je op dit moment ziet, ben je gewoon niet klaar.
Er hoort een goede firewall in de school
En dan kunnen we die inlog sessie van het netwerk doorzetten naar de firewall. En dat betekent dat we exact kunnen bepalen van wie ben jij op dat moment en wat mag je in die klas? Wat wil ik als docent, als school, dat jij op dat moment in de les kunt? Dat is de enige manier om dit voor elkaar te krijgen. En die kans dient zich nu aan.
Met EduGuard® kunnen wij dus de poortwachter zijn van je netwerk en dus een laag bouwen dat je weer grip krijgt. De leerkracht weer in zijn kracht zetten, dat krijg je hiermee voor elkaar. We kregen net ook de vraag: ja, ik wil 2-factor-authenticatie, maar geen mobiel in de les betekent dus geen MFA, geen multi-factor-authenticatie. Hoe erg is dat?
Het is eigenlijk een ander item waar je niemand over hoort, maar wat een veel groter uitdaging is en waar de overheid ons eigenlijk door elkaar schudt. De inlognaam van je Microsoft-diensten in de cloud zijn bijna altijd ook de inlognaam van je wifi-netwerk. Je schoolaccount, dat is je office-account, dat is ook je inlognaam voor het draadloze netwerk. Hier waarschuwt de overheid, hier gaat het fout.
Er zijn nieuwe hackpakketjes in de markt die eenvoudig in staat zijn om je inlogsessie van je wifi-netwerk af te luisteren. Iets wat 20 jaar super robuust en veilig was, is niet meer veilig. Evil Twin is een simpel pakketje. Je installeert het op een laptop, je zet hem in de aula of in de lerarenkamer en voor je het weet heb je honderden accounts te pakken. Heb je dat account? Ja, dan is het super simpel, want met die gebruikersnaam wachtwoord kun je gewoon inleggen op je webmail, op SharePoint. Dus je kunt heel vervelende foto’s posten namens iemand.
Digitaal pesten wordt zo wel heel erg eenvoudig.
En dit moeten we aanpakken. De overheid verplicht het ons, maar je hoort er bijna niemand over. Dit is een veel groter probleem, wel of geen MFA in de klas. Dit is iets wat wij oplossen met de EduGuard® NAC oplossing. Deze gaat ervoor zorgen dat voordat jij een verbinding krijgt met je netwerk, waarbij we eerst nadrukkelijk kijken van wie ben je en wat mag je in het netwerk.
We gaan je niet meer laten inloggen met een gebruikersnaam wachtwoord, we gaan je in laten loggen met een beveiligingscertificaat.
We zetten als het ware een handtekening op jouw laptop. En alleen als die handtekening erop staat, dan krijg je toegang tot je netwerk. We hebben dat in eerste instantie gedaan voor beheerde apparaten.
Dat betekent dat EduGuard® kijkt of de laptop waar je mee inlogt, of die als beheerd laptop bekend is in het systeem van school. Meestal Microsoft Intune, het meest gebruikt op dit moment. Het kan ook met Google, maar Intune gaat op dit moment heel hard. En is die machine er legitiem, dan kunnen we een wifi-certificaat pushen naar die client. Dus dan krijgt die laptop die handtekening.
Elke keer als die laptop zich weer opstelt, aanmeldt, kunnen we controleren of die handtekening nog aanwezig is, dan wel of die machine ook in het schoolsysteem nog bestaat. Je logt dus met het apparaat in vanaf nu, met het certificaat, en niet meer met de gebruikersnaam wachtwoord. En omdat die gebruikersnaam wachtwoord niet meer door de lucht gaat, kun je hem dus ook niet meer afluisteren.
Bring Your Own Device-apparaten veilig ontsluiten
Niet elke school heeft elk device al in Intune staan. En dat betekent dat er een hele grote vraag ontstaat naar, hoe kunnen we dan bring your own device-apparaten veilig ontsluiten? We hebben een systeem gemaakt dat we een self-service portal hebben geïntroduceerd, waarbij je een eigen meegebracht apparaat met je schoolaccount, kunt toevoegen aan je schoolaccount en die we volgens als een vertrouwd apparaat beschikbaar kunnen stellen in het netwerk. Dus dat bring your own device-apparaat, wat je in de les gebruikt, kunnen we dan ook voorzien van een certificaat. En vanaf dat moment is dat een trusted apparaat, maar wat wel bij jou hoort.
Op die manier kunnen we dus ervoor zorgen dat je veilig inlogt, en dat alleen je met het apparaat dat je bij je hebt kunt inloggen in het netwerk. Dat betekent, het radiocertificaat op je laptop die bepaalt of je toegang krijgt.
En dat betekent dus, het hardware dat je bij je draagt, dat is je wifi-token, je wifi-sleutel, je toegangssleutel tot je netwerk van de school. Dus daarmee hebben we eigenlijk geen two-factor-authenticatie nodig om veilig in te loggen op het netwerk.
We zorgen ervoor dat het apparaat dat je bij je draagt de sleutel is van je netwerk. Ben je buiten de school? Dan kun je overwegen om wel iets met multi-factor te doen, want dan heb je wel een mobieltje. We hebben dus geen extra MFA nodig binnen de school, buiten de school kun je het optioneel doen.
Nieuwe wetgeving: herleiden van de gebruiker
Het mooie is dat het hele inlogproces herleidbaar is tot de gebruiker. Dus gaat er in de school iets fout, worden er onbedoeld te vervelende dingen gedaan, dan kun je altijd herleiden wie het is geweest. Ook de overheid stelt dat verplicht. Het staat een beetje haaks op de wet op de privacy van wat mag je nu wel, wat mag je nu niet.
De overheid vereist in de nieuwe wetgeving dat logging herleidbaar moet zijn tot de gebruiker, dan wel het device, die onheil probeert aan te richten in de school.
Het mooie is, we krijgen contentcontrole en dat is de winst. We krijgen nu toegang tot een laptop van de leerling, waarin we tot in detail kunnen bepalen van wie ben jij, wat mag jij en wat heb je op dit moment nodig in de les. Dat betekent dat de ICT-afdeling is eindelijk in controle. Jij bepaalt op dat moment welke content wel is toegestaan en wat is niet is toegestaan. Dat kan op basis van of je leerling bent of leraar. Maar ook op basis van bepaalde tijdseenheden wanneer bepaalde dingen wel of niet mogelijk zijn, maar je hebt die invloed. Ook kunnen we loggen wat er gebeurt, dus mocht er onverhoopt nieuwe applicaties ontstaan waarvan je zegt, wow, dat vind ik toch niet zo prettig in de school dan kunnen we dat heel snel in de rapportage terugzien en policies bijstellen.
Zo blijf je dus continu de regie houden wat er met die laptop in die les mogelijk is. Alles wat je niet wilt, dat kun je weghalen. Geen social media, geen appfuncties en dus ook geen afleiding, alleen onderwijscontent. En met loggen en reporting kun je dus altijd ongewenste gebruikers in je school opsporen. Dit is wat EduGuard doet.
EduGuard® zetten we dus in het hart van je netwerk, tussen je wifi en je vaste netwerk, en we kunnen alle mogelijke soorten apparaten en gebruikers op een veilige manier toegeven tot het netwerk.
Educatieve Firewall
Uiteindelijk koppelen we dat aan de educatieve firewall die je in het netwerk nodig hebt en met die combinatie kunnen we dus zorgen dat we altijd controle houden wie er op welk moment welke content te gebruiken heeft. Hiermee voldoen we volledig aan de nieuwe wet- en regelgeving die het onderwijs nodig heeft. We hebben toegang tot de content en met loggen en reporting kunnen we er helemaal voldoen aan de nieuwe wetgeving die de overheid op ons positioneert.
Alle andere vormen van toegang tot je schoolnetwerk kunnen we ook regelen, gasten toegang, het vaste netwerk,
Maar wat heel erg belangrijk is, is dat we op deze manier kunnen helpen voldoen aan de nieuwe normen waar je eind volgend jaar in je jaarverslag verantwoording over moet afleggen.
Dus wil je compliant zijn, wil je voldoen aan de nieuwe wetgeving?
Neem contact met ons op, wij kunnen je hierin helpen. Geen mobieltjes in de klas biedt een ongekend nieuwe era waar we mee aan de slag kunnen.
