Deelproject 3.4 Opsporen en beperken van kwetsbaarheden
Cyberaanvallen richten zich vaak op bekende kwetsbaarheden in verouderde software. Daarom is het belangrijk om aan de hand van duidelijke processen en met de inzet van de juiste tools kwetsbaarheden in je informatiebeveiliging, software en systemen tijdig te ontdekken.
Resultaat van dit deelproject
- Vulnerabilitymanagementproces is opgesteld.
- Frequentie en vorm van securitytesten is vastgesteld.
Let op
- Bij norm SM.05 uit dit deelproject werk je aan het eerste en derde punt van volwassenheidsniveau 3.
ICT uitbesteed?
Beheer je een systeem niet zelf? Dan maak je afspraken over vulnerability en pentesting binnen het deelproject 2.9 Managen van leveranciersrisico’s.
Structureel inzicht in kwetsbaarheden
Om kwetsbaarheden in de ICT-omgeving van je school tijdig op te sporen, kun je gebruikmaken van een zogeheten kwetsbaarhedenscan. Dit kan een externe scan zijn – waarbij kwetsbaarheden die van buitenaf zichtbaar zijn worden gevonden – of een interne scan, die zicht geeft op kwetsbaarheden binnen de eigen systemen. Hoe vaak je scant, bepaal je op basis van de risico’s die je organisatie loopt. Het is belangrijk dat het pachtmanagementproces goed aansluit bij de frequentie van het scannen, zodat gevonden kwetsbaarheden ook worden verholpen. Om een scan effectief te kunnen uitvoeren, is het belangrijk dat je goed zicht hebt op je ICT-omgeving en welke systemen, applicaties en software zich daarin bevinden. Naast het scannen op kwetsbaarheden, kun je ook gebruikmaken van de beveiligingsadviezen van School-CERT en het NCSC.
Let op
Binnen het programma Digitaal Veilig Onderwijs wordt op dit moment een verkenning uitgevoerd naar een oplossing om scholen te ondersteunen bij het opsporen van kwetsbaarheden. Daarbij wordt onderzocht hoe het digitale aanvalsoppervlak van scholen – alle systemen en diensten die vanaf internet bereikbaar zijn – structureel in beeld kan worden gebracht. De oplossing moet zorgen voor een efficiëntere manier om kwetsbaarheden inzichtelijk te maken en geeft School-CERT de mogelijkheid om adequater te handelen bij kwetsbaarheden in de sector.
Deze dienst is naar verwachting in 2026 beschikbaar. Het is een aanvulling op wat je zelf al doet. Het blijft belangrijk dat je zelf kwetsbaarheden opspoort en aanpakt. Gebruik daarvoor de scans en adviezen die al beschikbaar zijn, zoals kwetsbaarhedenscans en de informatie van School-CERT. Op die manier combineer je je eigen inspanningen met de extra ondersteuning die vanuit het programma wordt ontwikkeld.
Wie doet wat
- De IBP’er en ICT-beheerder richten de kwetsbaarhedenscan zo in dat deze aansluit op het patchmanagementproces.
- De ICT-beheerder gebruikt informatie over kwetsbaarheden voor het patchmanagementproces.
- School-CERT informeert over kwetsbaarheden met een hoge prioriteit.
Aan de slag
Met onderstaande stappen richt je processen voor het opsporen van kwetsbaarheden in.
1 Bepaal hoe je informatie over kwetsbaarheden verzamelt
Je kunt op verschillende manieren informatie over kwetsbaarheden verzamelen. Dit kan door het gebruik van kwetsbaarhedenscanners, door je te abonneren op openbare bronnen voor kwetsbaarhedeninformatie, of door deze per asset of systeem handmatig te verzamelen. Maak een keuze voor een werkwijze die past bij de capaciteiten van je organisatie en gebruik hierbij een combinatie van verschillende bronnen.
2 Zorg voor een aansluiting op je patchmanagementproces
Om te zorgen dat je de juiste maatregelen neemt tegen bekende kwetsbaarheden, maak je gebruik van het al eerder ingerichte patchmanagementproces. Vul het proces waar nodig aan om de informatie uit je kwetsbaarhedenscanner of andere bronnen te integreren.
3 Richt een proces in om periodiek je informatiebeveiliging en weerbaarheid te toetsen
Naast het structureel scannen van je ICT-omgeving op kwetsbaarheden, is het ook nodig dat je je informatiebeveiliging en weerbaarheid periodiek toetst om vast te stellen of de genomen maatregelen nog op orde zijn. Hiervoor kun je verschillende soorten securitytesten gebruiken. Maak gebruik van de keuzekaart securitytesten om te bepalen welke aansluit bij het niveau, de capaciteiten en behoeften van jouw organisatie. Voer bijvoorbeeld een keer in de twee jaar een penetratietestEen penetratietest of pentest is het toetsen van een systeem op kwetsbaarheden door daadwerkelijk te pogen in te breken op een systeem, zodat duidelijk wordt op welke punten de beveiliging aangescherpt moet worden. uit op een kritiek systeem of bij grote wijzigingen in de ICT-omgeving. Bijvoorbeeld als je schoolorganisatie fuseert.