De afgelopen jaren zijn er verschillende incidenten geweest met het wijzigen van cijfers en absentie door leerlingen. Vorig jaar was het incident op het Barleaus Gymnasium waarbij leerlingen het wachtwoord van de conrector hebben afgekeken en vervolgens een jaar lang cijfers en absentie hebben bewerkt. Fraude met cijfers is niet iets van de laatste tijd.
Studenten en leerlingen die cijfers en absentie wijzigen is niet iets van de laatste tijd. Vroeger raakten de klassenboeken waar de absentie in werd bijgehouden nog wel eens kwijt en de schriften van de leraar met cijfers erin waren ook niet veilig. Met de introductie van computers en local area netwerken is dit minder toegankelijk geworden voor studenten, maar ook minder zichtbaar voor docenten wanneer er iets gewijzigd wordt zonder dat zij dat weten.
Zestien jaar geleden zat ik op de middelbare school en kwam ik erachter dat ik bij de netwerkmap waar de cijfers in stonden kon komen. Dit heb ik aangegeven bij de docent, maar hij vond het niet nodig om hier iets mee te doen. Na een paar weken heb ik toen alsnog mijn cijfers veranderd in tienen. De docent wilde het toen aangeven als fraude, maar dit is uiteindelijk niet gebeurd omdat ik vooraf had aangegeven dat dit kon.
Wachtwoordbeleid
Met een paar eenvoudige stappen wordt het al een stuk moeilijker voor leerlingen om fraude te plegen. Stap één is een sterk wachtwoordbeleid. Zorg er voor dat het wachtwoord voldoet aan de veiligheidseisen. Denk hierbij aan: minstens zeven tekens, stel een maximale levensduur in (dertig tot negentig dagen), gebruik vreemde tekens, hoofdletters, kleine letters en cijfers door elkaar.
Een grote valkuil hierbij is dat het lastig is voor de eindgebruikers om te weten wanneer ze voldoen aan de eisen van het wachtwoord. Met een wachtwoord complexiteit tool ziet de eindgebruiker tijdens het intypen van het nieuwe wachtwoord of het voldoet aan de eisen.
Daarnaast hebben eindgebruikers vaak moeite met het onthouden van moeilijke wachtwoorden, waardoor de kans bestaat dat zij wachtwoorden opschrijven op bijvoorbeeld post-its. Door single logon en wachtwoordsynchronisatie toe te passen kan dit worden voorkomen. Hierbij worden wachtwoorden tussen verschillende applicaties gesynchroniseerd en daarnaast kan de eindgebruiker met één enkele keer inloggen direct bij alle applicaties. Hierdoor hoeft er nog maar één moeilijk wachtwoord onthouden te worden.
Met een sterke wachtwoordpolicy en het toepassen van single logon en synchroniseren van wachtwoorden is de eerste stap naar een minder fraude gevoelige omgeving al gezet. Dit kan versterkt worden door eindgebruikers in te laten loggen met hun toegangspas of een token, ook wel strong authentication genoemd. Two-factor authentication gaat nog een stap verder. Hierbij log je in met iets wat je hebt (bijvoorbeeld een toegangspas of een token) en iets wat je weet (een pincode of wachtwoord).
Gevaar van dat ene moeilijke wachtwoord is dat het een single point of risk wordt. Als dat gekraakt wordt, kun je meteen overal bij …
In je stukje over je middelbare schooltijd geef je echter een heel ander probleem aan, namelijk dat jij als scholier bij de spullen kunt komen van docenten.
Waarom niet 2 expliciet gescheiden netwerksegmenten maken, zodat jij nooit vanuit het scholieren (of studenten-) netwerk bij het docentennetwerk kunt komen (tenzij je bewust de netwerk-kabel van de docentPC pakt, of via zijn systeem probeert te hacken uiteraard).
Wat is het probleem van leerlingen die absent zijn ?
Gaat het er nu om jongeren een dag lang in een onaangenaam hok te concentreren. of is het belangrijker dat leerlingen kennis opdoen en vervolgens hun examens weten te behalen (for what that’s word anyhow).
Mij lijkt dat docent en leerlingen meer gebaat zijn bij een klasje met tien gemotiveerde leerlingen dan aan een klas met veertig dropouts.
@Pascal: Het lijkt mij dat de maatschappij meer gebaat is bij onderwijs dat aansluit bij de aanleg en kwaliteiten van het kind, dan dat iedereen over een kam wordt geschoren en ongemotiveerd raakt.
Wat een ongelovelijk ‘lulverhaal’ als ik overweeg dat 90% van de fraude niets te maken heeft met wachtwoorden maar simpele principe van controle, voor wie het vergeten is misschien een goed idee om eens te kijken naar de case van Jérôme Kerviel of anders schandaal met Libor rente.
Chapeau dat je 16 jaar geleden een zwakheid constateerde in de autorisaties maar we zijn dus ondertussen meer dan 20 jaar verder en RBAC knelt ondertussen net zo zeer als het idee van de integriteit van VVD politici, meer dan 25 jaar geleden toonde ik arrogantie van bestuurders al aan door het hele systeem op school te hacken.
SSO is leuk maar lost dus niets op als je autorisatiemodel zo lek als een mandje is, meeste organisaties hebben RBAC model wat geen rekening houdt met de organisatorische veranderingen. Bij 9 van de 10 organisaties zorgt dit voor een ‘elevation’ van rechten terwijl dit meestal niet strookt met de functionele rol met allerlei interne fraudes tot gevolg.
Euh… wijzigen van records door geautoriseerde of ongeautoriseerde entiteit heeft toch meer met audit dan de autorisatie te maken?
Tools4Ever of Fools4Ever is dus de vraag waarover ik nu struikel als ik overweeg dat de fraude vaak simpel aan te tonen is door te zoeken naar de anomalie, van een mager vijfje naar een tien is een opmerkelijk grote stap.
Beste Pa Va Ke,
Dank je voor je reactie. Je stipt inderdaad goede punten aan. Om te beginnen met het scheiden van netwerken. In het verleden was het scheiden van netwerken zeker een oplossing. In de afgelopen 5 jaar hebben cloud applicatie een sterk deel van IT landschap in de educatie overgenomen. 84% van de scholen gebruikte in 2014 cloud applicaties, terwijl dat in 2010 nog 25% was (bron: Computable 29 december 2014). Hierdoor is de manier waarop geauthentiseerd wordt steeds belangrijker geworden.
Single point of risk is inderdaad een issue. Een sterk wachtwoord en wachtwoordbeleid is belangrijk. Daarnaast kan two-factor authenticatie een goede toevoeging zijn.
Mocht je meer willen weten over de verschillende opties: https://www.tools4ever.nl/blog/identity-fraude-met-cloud-applicaties/
Beste Ewout Dekkinga,
Er zijn inderdaad veel verschillende vormen van fraude. Bij de case van Jérôme Kerviel (Sociéte Générale) was de beslissingsbevoegdheid (RBAC) één van de onderdelen van het probleem. Daarnaast heeft het beloningssystemen samen met de prestatie evaluatie geleid tot de catastrofale fraude. Maar terug naar dit blog.
Het voorbeeld illustreert dat leerlingen zeer nieuwsgierig zijn en nieuwe manieren zullen bedenken om bij gegevens te kunnen. Door geautomatiseerde user beheer (identity management) systemen vormt de uitgifte van rechten op mappen en shares geen probleem meer.
Echter de beveiliging van het netwerk is zo sterk als de zwakste schakel en vandaag de dag is dat vaak het wachtwoord. De bewustwording hiervan en het voorkomen van fraude is van belang.
Ik vind het zeer interessant dat je de uitdagingen aanhaalt omtrent RBAC. Wellicht kunnen we hier eens van gedachten over wisselen. Ik heb mijn ideeën hierover, zie https://www.tools4ever.nl/blog/3-natuurlijke-bronnen-om-rbac-in-te-voeren-in-je-organisatie/
Micheal,
Voordat we het vergeten, het idee van RBAC is vooral bedoeld om administratieve kosten van beveiliging te verlagen en het is waarschijnlijk hierdoor dat het meestal plat ingevoerd wordt waardoor complementaire rollen in een proces niet goed gescheiden worden. Dat hierdoor vaak de situatie ontstaat waarin de slager zijn eigen vlees keurt zal hopelijk niemand verbazen en een minder fraude gevoelige omgeving verkrijg je dan ook niet door meer techniek toe te voegen als ik kijk naar ISMA model.