Cybersecuritycultuur in onderwijs ontbreekt ondanks goede wil
Cybersecuritycultuur in onderwijs ontbreekt ondanks goede wil
Binnen de sector onderwijs en onderzoek ontbreekt het aan breed gedeelde ideeën, gedragingen en gewoontes om (digitale) informatie veilig te beschermen. Dat blijkt uit de Security- en privacy-awarenessmeting onderwijs en onderzoek 2023. Hoewel medewerkers zich volgens het rapport meer gemotiveerd voelen en beter gefaciliteerd worden om informatieveilig te werken dan in voorgaande jaren, blijft een sterke cybersecuritycultuur binnen onderwijsinstellingen een zorgelijk knelpunt.
Lees overkoepelend rapport
Rol leidinggevenden
Uit het onderzoek, voor het derde jaar op rij uitgevoerd door BDO Cybersecurity in opdracht van SURF (de coöperatieve vereniging van Nederlandse onderwijs- en onderzoeksinstellingen), blijkt dat er onder onderwijsmedewerkers een toenemende motivatie en bekwaamheid is om informatieveilig te werken. Gemiddeld scoren de instellingen een 6.5. De meeste instellingen blijven echter nog achter bij het streefdoel, waarvoor een score van 7.5 geldt. Er is bovendien één zorgwekkende trend zichtbaar: de voorbeeldrol van leidinggevenden wordt steeds minder positief beoordeeld.Betrokkenheid
Onderzoeker Marijke Stokkel (BDO Cybersecurity): “Als medewerkers worden aangesproken op informatieveilig werken, komt de boodschap meestal van een centrale afdeling. Daar hebben medewerkers geen of minder binding mee. Uit het onderzoek blijkt dat zij liever door hun eigen leidinggevende geïnformeerd worden. Bij voorkeur over zaken die direct te maken hebben met hun werkzaamheden.” Hoewel 94 procent van de respondenten zegt dat ze informatieveilig werken belangrijk vinden, hebben zij de indruk dat collega’s er minder waarde aan hechten. “Hieruit blijkt dat informatieveiligheid geen thema’ is dat breed leeft binnen instellingen”, aldus Stokkel.Securitycultuur
Het onderzoek benadrukt de dringende noodzaak om een sterke cybersecuritycultuur in het onderwijs te bevorderen. Volgens opdrachtgever Rosanne Pouw (SURF) spelen leidinggevenden hier een centrale rol in: “Als het management het thema niet serieus neemt, kun je niet van medewerkers verwachten dat zij er wél actief mee aan de slag gaan. Door het juiste voorbeeld te geven en het onderwerp bespreekbaar te maken, kunnen leidinggevenden een grote impuls geven aan de vorming van een sterke securitycultuur.” Net als in de afgelopen jaren scoort het ondersteunend personeel hoger op alle componenten van informatieveiligheid dan docenten en onderzoekers. De IT-ondersteuningsgroep behaalt de hoogste resultaten.Gedragsmeting
Aan de awarenessmeting is dit jaar voor het eerst ook een gedragsmeting toegevoegd. De meting is uitgevoerd door onderzoekers van het lectoraat Cybercrime en Cybersecurity van de Haagse Hogeschool. Alle respondenten werden daarbij op twee onderwerpen getest: of ze een veilig wachtwoord aanmaakten en of ze ongewenst persoonsgegevens deelden. Het doel was om te onderzoeken hoe informatieveilig respondenten zich daadwerkelijk gedragen en om te kijken of er een relatie is tussen de awarenessmeting en daadwerkelijk informatieveilig gedrag. Deze relatie bleek aanwezig, maar in zeer beperkte mate.Download de rapportages
In opdracht van MBO Digitaal heeft BDO nagenoeg hetzelfde onderzoek ook uitgevoerd bij MBO-instellingen. Deelnemende instellingen hebben hiervoor vragenlijsten zelf binnen een deel van hun organisatie verspreid. Ook zijn er een aantal diepte-interviews gehouden. De deelnemende instellingen hebben ieder een op maat gemaakt rapport ontvangen. Op basis van de bevindingen in de rapporten zijn er twee sectorrapportage opgesteld: één apart voor de MBO-instellingen en één overkoepelende voor onderwijs- en onderzoeksinstellingen, waarin de MBO-instellingen ook in zijn meegenomen.Lees overkoepelend rapport