Eind 2006 en begin 2007 heeft Stichting Kennisnet een ethische hack laten uitvoeren op vier basisscholen en tien scholen voor voortgezet onderwijs. Bij deze gesimuleerde aanval op de beveiliging van de automatisering bleek dat op bijna iedere school iets was aan te merken, net als drie jaar geleden bij een eerdere test-hack al was vastgesteld.

Standaard wachtwoorden

Bij vijf scholen was sprake van een situatie waar misbruik mogelijk kan leiden tot ongeautoriseerde toegang van zowel binnenuit als van buitenaf. Onderdeel van de ethische aanval was het testen van zwakke wachtwoorden. Evenals drie jaar geleden troffen de nep-hackers redelijk zorgvuldig gekozen wachtwoorden aan.

Hardware, met name netwerkcomponenten en printers, bleken echter herhaaldelijk voorzien van standaard meegeleverde wachtwoorden. Deze moeten vervangen worden omdat hackers met voldoende tijd en geduld anders toegang tot de systemen kunnen verkrijgen.

Knoeien met de cijfers

Vanwege de lekke systemen slagen scholieren er regelmatig in om het computersysteem van hun school te kraken, zo bericht AD. Ze krijgen dan toegang tot de leerlingenadministratie, cijferlijsten en antwoorden van proefwerken. Opgaven voor de landelijke examens lopen geen gevaar, omdat die nooit via de computer maar in verzegelde enveloppen worden verspreid.

Daarnaast vreest Kennisnet wel dat kwaadwilligen virussen of spam gaan verspreiden, systemen platleggen of e-mailadressen en wachtwoorden misbruiken. In dat geval zullen de kosten van herstel veel hoger zijn dan het updaten van de beveiliging.

Aanbevelingen

Uit het onderzoek bleek verder dat een gestructureerd beleid en het voortdurend onder de aandacht brengen van ict-beveiliging scholen helpt bij het beschermen van hun systemen. Daarnaast adviseert Kennisnet dat regelmatig onderzoek wordt uitgevoerd naar de stand van zaken van de beveiliging, waarbij ook 'de menselijke factor' een rol speelt.