Kennisnet: schoolcomputers eenvoudig te kraken

Om te zien hoe het met de beveiliging van computers en netwerken op scholen gesteld is, liet Stichting Kennisnet in 2006/2007 een zogenaamde ethical hack uitvoeren: een gesimuleerde aanval op de beveiliging van de automatisering. Het blijkt dat op bijna iedere school iets aan te merken is.

De ethical hack is uitgevoerd op vier basisscholen en tien scholen voor voortgezet onderwijs. Een ethical hack is een gesimuleerde inbraak waarbij de testsystemen worden benaderd alsof het door een computerkraker (hacker) gebeurt. Het verschil is dat het uitvoeren van een dergelijke test gelimiteerd in tijd is en dat er duidelijk grenzen zijn tot hoever de test mag en kan gaan. Bij vijf scholen was sprake van een situatie waar misbruik mogelijk kan leiden tot ongeautoriseerde toegang van binnenuit en van buitenaf. Bij het benaderen van scholen van buitenaf is het niet gelukt het administratieve netwerk te bereiken. Met de kennis opgedaan vanuit het interne netwerk was dat bij genoemde vijf scholen zeer waarschijnlijk wel mogelijk. Ook het gebruik van wachtwoorden is getest. Hieruit blijkt dat wachtwoorden over het algemeen zorgvuldig worden gekozen. Hardware, vooral netwerkcomponenten en printers bleken wel herhaaldelijk te zijn voorzien van standaard meegeleverde wachtwoorden. Deze dienen vervangen te worden. Een gestructureerd beveiligingsbeleid en het continue onder de aandacht brengen van ict-beveiliging helpt scholen bij het beveiligen van hun computers en netwerken. Daarnaast is het belangrijk dat regelmatig onderzoek wordt uitgevoerd naar de stand van zaken van de beveiliging, ook de menselijke factor bij de beveiliging speelt hierbij een rol. In 2004 liet Ict op school (nu Kennisnet) ook al een dergelijk onderzoek uitvoeren. Ten opzichte van het onderzoek van 2004 is het opvallend dat bijna alle scholen uit het basisonderwijs en voortgezet onderwijs momenteel professionele netwerkcomponenten in gebruik hebben genomen.