Report meeting Commissie voor Onderwijs

– Wegens de coronamaatregelen werd deze vraag om uitleg via videoconferentie behandeld.

De heer Brouns heeft het woord.

Voorzitter, minister, collega's, Neustar, een bedrijf dat zich wereldwijd met dataverwerking en IT-beveiliging bezighoudt, heeft recent zijn bevindingen uitgebracht over het stijgende aantal cyberaanvallen. De cijfers doen de wenkbrauwen fronsen. Zowel de frequentie, als de grootte van cyberaanvallen is in 2020 exponentieel gestegen. Daarin zagen zij wereldwijd een stijging van 151 procent over de hoeveelheid Distributed Denial of Service-aanvallen (DDoS) ten aanzien van het jaar ervoor.

Ook het globale IT-beveiligingsbedrijf Kaspersky bracht een rapport uit met soortgelijke bevindingen, specifiek voor het onderwijs. Internationaal merken zij een stijging op van maar liefst 350 procent van netwerkaanvallen, specifiek op onderwijsgerelateerde platformen.

Hoewel de link met corona en het afstandsonderwijs hier heel vlot kan gemaakt worden, merkt het desbetreffende bedrijf in zijn rapport ‘Digital Education: the cyberrisks of the online classroom’ op dat deze significante stijging reeds in januari 2020 van start is gegaan en niet lijkt te stoppen. Hoewel de coronacrisis deze vorm van criminaliteit mogelijk in een stroomversnelling heeft geduwd, mogen we er niet van uitgaan dat het einde van het afstandsonderwijs en het hervatten van het normale schoolleven deze golf van cyberaanvallen zal doen stoppen.

Een van de grote problemen bij DDoS-aanvallen is het gemak waarmee zij kunnen worden uitgevoerd. Het is niet de bedoeling dat ik jullie hier op ideeën breng, maar het concept is heel simpel: stuur zoveel mogelijk input naar bepaalde servers van een bepaalde organisatie, in casu een school, zodat deze servers de input niet meer verwerkt krijgen en vervolgens ook de echte gebruikers geen toegang meer hebben.

De wereld van de cyberbeveiliging verandert razendsnel en nieuwe manieren om DDoS-aanvallen uit te voeren volgen elkaar kort op. Dat is een kat-en-muisspel. Tegenwoordig kun je zelfs op enkele minuten tijd apps downloaden om dergelijke DDoS-aanvallen uit te voeren.

Veel van deze aanvallen zijn onschuldig en onschadelijk – maar wel zeer inefficiënt. Dat hebben we in het onderwijs al meerdere malen mogen ervaren. Maar we zien ook dat scholen gegijzeld kunnen worden door cyberaanvallen en dat er losgeld gevraagd wordt om opnieuw toegang te kunnen krijgen tot de eigen data of servers.

In uw antwoord op mijn schriftelijke vraag vermeldt u het aanbod dat vandaag reeds voor scholen in Vlaanderen bestaat. KlasCement en het eSafety Label bieden informatie aan scholen en schooldirecteurs en er werd ook een werkgroep Privacy Onderwijs opgericht in het kader van de algemene verordening Gegevensbescherming voor gebruikers en verstrekkers van digitale onderwijsmiddelen.

Minister, bent u bereid om samen te zitten met de betrokken onderwijsverstrekkers enerzijds en de onderwijspartners die zich professionaliseren rond digitale veiligheid anderzijds om een visie uit te werken, om te bekijken hoe de digitale noden van scholen het best vereenzelvigd kunnen worden met de digitale veiligheidsnoden van vandaag en in de toekomst?

Minister Weyts heeft het woord.

Afgelopen weken heb ik met het kabinet van eerste minister Alexander De Croo en het Centrum voor Cybersecurity België (CCB) nauw overleg gehad over deze problemen.

Het CCB is de nationale autoriteit voor cyberveiligheid in België. Het CCB staat rechtstreeks onder het gezag van de eerste minister. Vanuit zijn wettelijke opdracht tracht het scholen te informeren en te adviseren inzake bescherming tegen DDoS-aanvallen. Dat is een cyberaanval waarbij ongelooflijk veel dataverkeer naar computernetwerken en servers wordt gestuurd, waardoor die, in het ergste geval, onbruikbaar of in veel gevallen vertraagd toegankelijk worden voor de normale gebruiker. Je kunt het een beetje vergelijken met een file, maar dan op het internet.

Tijdens dit overleg werd een adviesdocument met aanbevelingen voor scholen ontwikkeld om zich beter te beschermen en om netwerkaanvallen te voorkomen. Dit document is bedoeld als gids voor ICT-verantwoordelijken in scholen om hen te informeren en te adviseren. Inmiddels werd dit gepubliceerd op de site van KlasCement, waar trouwens ook nu al heel wat nuttige documenten en tips over cybersecurity gedeeld worden.

Daarnaast hebben we contact opgenomen met de Vlaamse ICT-coördinatieliga (VICLI), zodat ook zij deze uitgewerkte aanbevelingen kunnen delen met hun leden.

Ook in Digisprong gaat er veel aandacht naar veilig ICT-gebruik en cybersecurity ter ondersteuning van de scholen. Binnen de nieuwe telecomraamovereenkomst zal er bijzondere aandacht zijn voor extra beveiligingsdiensten.

Binnen het speerpunt ‘Vorming’ zal er ook aandacht zijn voor opleidingen met betrekking tot cybersecurity. Via het kennis- en adviescentrum Digisprong dat we voorzien, gaan ook schoolleiders, ICT-coördinatoren en leerkrachten ondersteund en gesensibiliseerd worden omtrent allerlei aspecten van een veilig ICT-gebruik. Ook de meer technische component zal daarbij aan bod komen. Dat kennis- en adviescentrum zal ook via zijn netwerkcomponent voorzien in een samenwerking met dat CCB. Tot slot blijven natuurlijk mijn diensten in nauw contact en overleg met het CCB over deze problematiek. Ik moet zeggen: toen ik het kabinet van de premier daarover heb gecontacteerd, werd het CCB onmiddellijk ingeschakeld.

De heer Brouns heeft het woord.

Minister, ik denk inderdaad dat we het belang niet kunnen overschatten. Dit is absoluut een cruciale randvoorwaarde. We hebben vrij recent de Digisprong besproken, de vele miljoenen euro’s die we van Vlaanderen veil hebben om te investeren in de duurzame integratie van digitalisering in ons onderwijs. De cyberveiligheid is natuurlijk een heel cruciale randvoorwaarde om dat proces te laten slagen. Ik denk inderdaad dat het goed is dat u meteen daarover met het CCB heeft samengezeten. Het kader om scholen daarbij te ondersteunen is natuurlijk cruciaal.

Specifiek wat de gegevensbescherming betreft, zijn er initiatieven in die werkgroep om een gemeenschappelijke intentieverklaring te maken. Ze hebben die gemaakt: een modelovereenkomst, specifiek over de privacy van leerlingen en leerkrachten. Daar is een brochure rond gemaakt. Maar specifiek rond die privacy, zijn er ook nog andere initiatieven vanuit die werkgroep gepland? Spoort u hen aan om specifiek rond dat thema nog verdere initiatieven te nemen?

Minister Weyts heeft het woord.

Privacy is natuurlijk de resultante, dat is net een van de elementen waarom we veilig ICT-gebruik moeten garanderen. Dat maakt er inherent deel van uit.

Ik verwijs ook even naar zo’n document – ik heb het bij me – dat ter beschikking is gesteld. Het is vrij gedetailleerd en er wordt een beetje naar verwezen naar aanleiding van adviezen om scholen te beschermen tegen DDoS-aanvallen. Men noemt het ook wel volumetrische aanvallen, wat een heel mooi woord is: een ongelofelijk volume creëren vanuit verschillende hoeken en kanten om uiteindelijk de werking van servers en allerhande te gaan blokkeren.

Specifiek de thematiek van privacy, inherent aan elke ICT, is dus een taak voor het kenniscentrum.

De heer Brouns heeft het woord.

Ik noteer inderdaad dat u via het kenniscentrum, wat het aspect privacy betreft, gaat kijken naar bijkomende mogelijkheden, naast de intentieverklaring en de modelovereenkomst die er vandaag bestaat. Ik denk dat het inderdaad cruciaal is dat de data geanonimiseerd worden voor de bedrijven waar scholen mee werken. Zij hebben die data wel nodig om hun eigen applicaties permanent te verbeteren, maar de persoonsgegevens van leerlingen mogen natuurlijk enkel ter beschikking zijn van de school. Dat is een belangrijke component wat die privacy betreft.

Wat cyberveiligheid in de ruimere zin betreft, denk ik dat we inderdaad ook eens naar de raamcontracten kunnen kijken die bij de onderwijskoepels zitten en naar de andere contracten die scholen aangaan, zodat die permanent up-to-date zijn en dat het principe van ‘as a service’ beter is op het vlak van veiligheid, om er zo voor te zorgen dat we altijd met de actualiteit mee zijn. Inderdaad, die cyberaanvallen, die DDoS-aanallen zijn ook permanent in evolutie. Op die manier garanderen we dat die bedrijven op het vlak van veiligheid meteen ‘à jour’ zijn. Dat moet zeer dynamisch zijn om de hackers bij te blijven. Minister, dat is inderdaad een thema dat we aan de koepels kunnen meegeven in verband met de pakketten die ze aanbieden in de raamcontracten, zodat daar aandacht voor is.