De opdracht was tweeledig. In de eerste plaats moest er een ketenbrede risicoanalyse worden gedaan naar de dreigingen en kwetsbaarheden binnen de aanmeld- en inschrijfketen. Een risicoanalyse is een beproefd instrument om op een gestructureerde wijze risicoscenario’s te beschrijven, analyseren en waar nodig te mitigeren. Onderwijsinstellingen voeren regelmatig risicoanalyses voor hun eigen systemen en processen uit, maar voor de keten was dit nog nooit eerder gedaan. Het tweede gedeelte van de opdracht betrof het organiseren van een bestuurlijke tafel. Tijdens een bijeenkomst met bestuurders is gepraat over de rol- en verantwoordelijkheidsverdeling voor cybersecurity binnen een keten. En hoe er beter kan worden samengewerkt om de collectieve veiligheid te versterken.
Voor de risicoanalyse is een projectteam samengesteld met vertegenwoordigers van alle organisaties binnen de aanmeld- en inschrijfketen: het ministerie van OCW, DUO, SURF, Studielink, twee hogescholen en twee universiteiten. Het projectteam is versterkt met expertise van het NCSC. PBLQ leverde de capaciteit en expertise om met het projectteam tot effectieve resultaten te komen. Uiteindelijk zijn in vijf opvolgende bijeenkomsten risicoscenario’s voor de keten geschreven. Deze risicoscenario’s zijn gescoord op impact: wat zijn de gevolgen als de risico’s uitkomen? En op waarschijnlijkheid: welke kans bestaat er dat de risico’s uitkomen? Op deze manier zijn de risicoscenario’s gestructureerd in kaart gebracht. De risicoscenario’s zijn vervolgens aan bestuurders voorgelegd. Ze vormden de aanleiding voor het bredere gesprek over de noodzakelijkheid en wenselijkheid van verdere samenwerking binnen de keten. De bestuurlijke tafel is door PBLQ inhoudelijk en logistiek van begin tot eind voorbereid. Het gesprek tijdens de bestuurlijke tafel werd geleid door de CISO van OCW.
Beide trajecten hebben het bewustzijn over de risico’s van het werken binnen ketens vergroot. De risicoanalyse laat zien dat een eventueel beveiligingsincident bij een van de ketenpartijen directe gevolgen heeft voor de continuïteit van dienstverlening bij andere ketenpartijen. Studenten en medewerkers van de instellingen ondervinden daar direct hinder van. Voor bijvoorbeeld het proces van aanmelden en inschrijven zijn er geen terugvalscenario’s bij onderwijsinstellingen. Vanwege de onderlinge afhankelijkheid is het cruciaal dat organisaties binnen de keten weten wat ze aan elkaar hebben bij cybersecurity. En dat er afspraken worden gemaakt over samenwerking en de mogelijkheden om vertrouwelijk kwetsbaarheden te delen. Dit idee is door bestuurders ondersteund, zo volgde uit de bestuurlijke tafel. Om hier invulling aan te geven moet een samenwerkingsmodel worden opgezet waarin dit soort vraagstukken worden besproken.
Studielink zegt over ons: “PBLQ heeft ons goed geholpen in het structureren en organiseren van de ketenbrede risicoanalyse en de bestuurlijke tafel, waarbij het vooral een uitdaging was om de juiste partijen en de juiste kennis tijdig bij elkaar te brengen. Vanuit Studielink hebben we het initiatief genomen maar de verantwoordelijkheid voor zo’n urgent onderwerp ligt natuurlijk bij de hele keten. Die urgentie is dankzij de goede voorbereiding helder verwoord en erkend, ook op strategisch niveau.”