'Digitaal kattenkwaad' door scholieren, is de grens bereikt?

Hollandse Hoogte

De docent staat voor de klas, klaar om les te geven. Hij moet wel nog wel inloggen op het digibord, waar leerlingen op mee kunnen kijken. Hij voert zijn gebruikersnaam in en precies op dat moment hoor je drie leerlingen driftig tikken op een toetsenbord. Ze proberen in te loggen op de gebruikersnaam van de docent, maar doen dat expres verkeerd. Het gevolg: een geblokkeerd account, een leraar die er niets van snapt en een les die zeker tien minuten uitloopt.

Deze vorm van 'hacken' is relatief onschuldig en valt eerder onder het kopje 'leraartje treiteren'. Maar het kan veel heftigere gevolgen hebben als scholieren hun best gaan doen: denk aan cijfers van toetsen die worden aangepast of netwerken die plat worden gelegd. 

Tientallen middelbare scholen zijn het afgelopen jaar de dupe geworden van hackende scholieren, schrijft het AD. En volgens Surfnet, de ict-organisatie van het onderwijs, worden er dagelijks meerdere DDoS-aanvallen op scholen uitgevoerd.

Blijkt het toch weer een leerling te zijn die zich op zondagmiddag verveelde.

Job Vos

De scholen zitten ermee in hun maag. Ze willen de leerlingen niet te hard aanpakken, omdat die vaak de ernst van de zaak niet goed kunnen inschatten, zegt Job Vos, adviseur van onderwijsorganisatie Kennisnet. Toch hoopt de politie dat scholen vaker aangifte gaan doen om een beter beeld van het probleem te krijgen.

Ligt er weer eens een netwerk uit, dan zijn scholen soms dagen bezig om te achterhalen wat de oorzaak ervan is, stelt Vos. "De school zit met de handen in het haar, maar dan blijkt het achteraf toch weer een leerling te zijn die zich op een zondagmiddag verveelde. Vroeger gingen jongeren ergens een fikkie stoken. Nu doen ze dat digitaal."

Veel leerlingen hebben niet door welke gevolgen hun daden kunnen hebben. Maar heel streng straffen is volgens hem ook niet de oplossing. "Je wilt als school ook een veilige omgeving om te kunnen experimenteren en kunnen leren van je fouten."

Hij noemt een voorbeeld van een middelbare school die in zijn ogen goed handelde. Het Picasso Lyceum in Zoetermeer had dagelijks te maken met DDoS-aanvallen. "Ze hebben daar de 'wizzkids' bij elkaar gezet en gevraagd hoe ze het netwerk beter konden begeleiden. Als je zegt: het mag niet, dan gebeurt het juist."

Voor 5 euro kun je al een DDoS-aanval uitvoeren. Een enorm pakket aan informatie wordt dan naar een website gestuurd, waardoor het netwerk plat wordt gelegd.

NOS/Lars Boogaard

En natuurlijk, zegt Vos, als er echt gegevens zijn gestolen, dan moet je altijd aangifte doen. "Als je een brandende krant in een vuilnisbak gooit en daardoor fikt een heel huis af, dan is het ook geen kattenkwaad meer."

Bij Kennisnet denken ze dat de beveiliging op een derde van de middelbare scholen onvoldoende is. De scholen moeten beseffen dat ze werken met gevoelige gegevens, waarschuwt Vos. "De administratie van scholen staat vol met gevoelige informatie. Je kunt er niet alleen een cijfer wijzigen, maar ook zien welke leerling een allergie heeft of gedragsproblemen. Maak daarom goede afspraken met leveranciers van leerlingvolgsystemen."

Maar aan die leveranciers schort nog wel het een en ander, zegt Michel van Eeten. Veel ict-beleid wordt bij scholen volgens de hoogleraar internetveiligheid uitbesteed. De kwaliteit daarvan is vaak ondermaats, zegt hij. "Het niveau is vrij beroerd. Het zijn meestal MKB-leveranciers die ooit begonnen zijn met standaard kantoor-ict. Ze komen nu steeds meer in een beveiligingsrol terecht, maar ze hebben nooit echt de expertise daarvoor verworven."

Hollandse Hoogte

"Goede kans dat zij niet genoeg weten van firewalls, welke instellingen veilig zijn en hoe je die uitrolt over de organisatie. Daar is uiteindelijk professionaliteit voor nodig die voor kleine leveranciers niet te bieden is."

Fabian van den Broek, veiligheidsonderzoeker aan de Radboud universiteit, noemt een andere optie: docenten minder rechten geven. "Op die manier hebben hackende leerlingen ook minder toegang."

Dat een derde van de scholen mogelijk slecht beveiligd is, verbaast hem niet. "Je ziet het niet alleen bij scholen. Ook in de gezondheidszorg of energiebedrijven wordt te weinig rekening gehouden met het feit dat mensen op afstand actief aanvallen."

De toekomst?

Van Eeten verwacht dat de automatisering op scholen uiteindelijk zal worden gedaan door grote bedrijven met de juiste expertise. Ze zullen vooral als nutsbedrijven opereren, denkt hij. "Vergelijk het met een waterbedrijf. Je gaat niet zelf met een filter bij de kraan de kwaliteit van het water meten. Je verwacht dat het goed zit. Met automatisering gaat het daar ook naartoe. Nu is het heel veel knip- en plakwerk."

Een leerling die er wat meer kaas van heeft gegeten, komt al snel binnen op je netwerk.

Michel van Eeten

"De scholen hebben regelmatig te kampen met dezelfde soort incidenten. Malware bijvoorbeeld, dat computersystemen verstoort. Dat is te overleven. Het is wat anders als iemand gericht op zoek gaat naar kwetsbaarheden in je netwerk. Een beetje nieuwsgierige scholier plukt een standaardaanval zo van het internet."

Van Eeten denkt dat scholen een lastige tijd tegemoet gaan. "Veel scholen gaan hier nog gelazer mee krijgen. Ik kan me als netwerkbeheerder van een school voorstellen dat je daar wakker van ligt."