De ICT-veiligheid van scholen laat nog te wensen over. Dat blijkt uit
een beperkte 'ethical hack' - een inbraakpoging met toestemming - die
in opdracht van Stichting Ict op School werd uitgevoerd. In een brief
naar alle scholen voor basis- en voortgezet onderwijs vestigt Ict op
School de aandacht op de risico's die scholen hierdoor lopen en de
mogelijkheden om de beveiliging te verbeteren.
Stichting Ict op School liet eind 2004 op vier basisscholen en twee
scholen voor voortgezet onderwijs een zogenaamde 'ethical hack'
uitvoeren; dit is een inbraakpoging waarbij de systemen benaderd worden
alsof het door een computerkraker gebeurt. Na toestemming van de
directeur of de bovenschools ICT-coà¶rdinator, en in principe zonder
medeweten van de lokale ICT-coà¶rdinator, voerden specialisten op gebied
van computerbeveiliging een beperkt aantal testen uit.
Bij de uitgevoerde testen is getracht via internet ('van buitenaf') het
interne netwerk te benaderen, eventueel aanwezige draadloze netwerken
te gebruiken en toegang te krijgen tot administratieve systemen. Vanuit
kostenoverwegingen is geen grootschalige test uitgevoerd. De
uitgevoerde tests geven dus slechts een indicatie van de mate waarin de
betreffende scholen beveiligd zijn.
Resultaten
Op alle zes scholen was op gebied van beveiliging in principe wel wat
aan te merken; bij drie scholen was sprake van een situatie waar
kwaadwillende personen te eenvoudig ongeautoriseerde toegang van
binnenuit en van buitenaf konden verkrijgen.
Aandachtspunten
Punten waar de hackers tegenaan liepen waren o.a:
-Op twee locaties zijn draadloze netwerken aangetroffen. In beide
gevallen waren de netwerken onbeveiligd en van buiten het schoolterrein
benaderbaar.
-Er werden enkele accounts aangetroffen zonder wachtwoord of met een standaard wachtwoord.
-Tijdens de test werden ondermeer printers, cd-rom-servers,
printerswitches, switches, een videoserver en een kopieermachine
aangetroffen die een mogelijke toegang bieden voor hackers.
-Op diverse scholen was toegang tot systemen mogelijk doordat niet de laatste versie van de software was toegepast.
-Rechten. Rechten op systemen worden niet altijd zorgvuldig toegekend en beheerd.
Meer informatie over de 'ethical hack' en wat scholen kunnen doen om
hun ICT-omgeving te beveiligen vindt u op:
www.ictopschool.net/snel/veilig.
Bron: STICHTING ICT OP SCHOOL