Blockchain en het mbo – saMBO-ICT Whitepaper

Afgelopen maandag is de whitepaper “BlockChain en het MBO” gepubliceerd, die ik schreef voor saMBO-ICT. Lezers van mijn blog of aanwezigen bij mijn presentaties zullen veel ervan herkennen natuurlijk.

Gezien de fase van deze technologie (jong, net na de piek van ‘overdreven verwachting’) was er vooral ‘duiding’ nodig. Hoe nu verder?

Mijn zoektocht zal verder gaan langs de volgende lijnen:

  • Zelfsoevereiniteit en identiteit: Hoe kunnen we onze online identiteiten laten ontwikkelen van gecentraliseerd, naar federatief, naar decentraal en zelfsoeverein? Met een sterke informatiepositie voor onze studenten als doel.
  • Cryptografie: Hoe draagt het digitaal waarmerken en ondertekenen bij aan de ‘digitalisering van waarde’, als opvolger van louter ‘digitaliseren van informatie’.
  • Applicatielandschap: Met de huidige systemen maken we van onze scholen grote dataverzamelaars en daar komt maatschappelijk steeds meer kritiek op. Ik denk alleen niet dat we teveel of verkeerde informatie vergaren. Wel zoek ik naar mogelijkheden om de gegevens dichterbij de student te houden.

Genoeg voor een vervolg dus …

Studybits: Europese infrastructuur voor leerprestaties

In het artikel op ScienceGuide “Maak ruimte voor deelcertificaten in de WHW”  houdt Robert Bouwhuis een pleidooi voor de wettelijke erkenning van deelcertificaten. Met de OpenBadge standaard als manier om deze te beschrijven.

De context van zijn opmerkingen is die van het hoger en wetenschappelijk onderwijs. Vandaar dat ik hier graag aan wil toevoegen dat dit voor het MBO onderwijs net zo relevant is. Het aanbieden van keuzedelen bijvoorbeeld en publiek-private samenwerking voor korte cursussen die regionaal relevant zijn, maken dat het tonen van leerprestaties niet meer een kwestie is van ‘met je diploma wapperen’ na 3 of 4 jaar studie.

Interessanter nog is de verwijzing naar het onderzoek van de technische haalbaarheid van Studybits. Het project dat gelanceerd werd met het Fieldlab tijdens de BlockChain in Education conferentie afgelopen september. Relevant omdat allerlei BlockChain initiatieven kritisch bekeken worden, gezien de openheid en privacybezwaren die aan de meeste varianten kleven. Vandaar dat sommigen zeggen “BlockChain … op ramkoers met GDPR” en ik in de sessie op de CVI Conferentie dit aspect vermelde bij de het overzicht met Kansen/Bedreigingen.

Het (concept)rapport geeft na een introductie over onder andere zelfsoevereine identiteiten een vergelijking tussen twee standaarden: BlockCerts en Sovrin. De eerste is een standaard die OpenBadges combineert met het vastleggen van een waarmerk op een BlockChain. BlockCerts wordt gebruikt door MIT om diploma’s uit te geven en door scholen in Malta om certificaten vast te leggen. De tweede is meer een platform, waarbij de ‘BlockChain’ zelf alleen gebruikt wordt om de zogenaamde ‘schema’s’ vast te leggen voor de credentials die een organisatie uitgeeft. De credentials zelf komen in de ‘wallet’ van de ontvanger.

Ik zie het als een generieke infrastructuur: elke instantie, verzekeraar, school, overheid of zorginstelling kan een uitspraak doen over zijn medewerker, klant, student, burger of patiënt. De manier waarop deze vastgelegd worden, de standaarden, zijn openbaar op een blockchain te vinden. De uitspraken of claims zelf zijn dat niet. In het geval van een school kan het gaan om de uitspraak dat iemand een diploma of certificaat bezit of een leerprestatie behaald heeft.

Waar privacy-puristen nou zo blij van gaan worden, verwacht ik, is de manier waarop dit technisch uitgewerkt is. Er is namelijk geen profiel op te bouwen van een individu, doordat partijen die ‘claims’ uitgeven samenwerken met partijen aan wie je die toont. Ook kun je selectief informatie geven, bijvoorbeeld dat je meerderjarig bent, zonder dat je je identiteitsbewijs met geboortedatum afgeeft.

Wat ik er tot nu toe van begrijp is dat dit kan door de combinatie van:

  • DID’s (Decentralized Identifiers): een jonge standaard die bedoelt is om centrale registers van identiteiten/sleutels te voorkomen of aanvullen.
  • Identy Mixer: een techniek waarmee anoniem ‘credentials’ uitgegeven en gecontroleerd kunnen worden. Deze is al op kleine schaal in Nederland toegepast in het IRMA project.

Het rapport geeft als advies:

Uit bovenstaande vergelijking blijkt dat Sovrin vele voordelen biedt ten opzichte van Blockcerts om als basis te dienen voor een oplossing voor een complete selfsovereign digitale identiteit. Het heeft zeer sterke privacy-vriendelijke eigenschappen en beschikt over een infrastructuur en protocollen voor het veilig en betrouwbaar uitgeven en delen van digitale credentials. Hiermee lijkt het een robuustere technologie voor toepassing in de Studybits Proof of Concept.

Ik vat het samen met een eigen interpretatie:

BlockChain is niet het punt waar het om draait, belangrijker is dat de student zelfstandig zijn leerprestaties kan aantonen. Het middel hiervoor is en blijft de cryptografie van waarmerken. Het resultaat daarvan echter bevindt zich bij hem/haar zelf en niet op een BlockChain. Het concrete advies zegt eigenlijk ook … doe even niet wat Malta deed …

CVI Conferentie 2018 #cviov

Vorige week was ik te gast in Leeuwarden voor de CVI Onderwijsvernieuwing en ICT Conferentie. Het waren twee nuttige conferentiedagen met een goede mix van inspiratie en inhoud. Op uitnodiging van saMBO-ICT verzorgde ik zelf een sessie met het thema “BlockChain – De Student Centraal”. Daar kom ik nog uitgebreider op terug in aparte blogs. We waren met een fijne groep edubloggers, hun verslagen kan ik aanraden en zijn hier te vinden.

Wat mij opviel door de sessies heen: meer aandacht voor persoonlijke leertrajecten en veel samenwerking met bedrijven om je beroepsopleiding vorm te geven. Of het nu om Open Badges gaat, om cross-over kwalificaties maken of praktijkgestuurd onderwijs, uiteindelijk dragen ze allemaal bij aan leerroutes die persoonlijk en relevant zijn. Het kan ook zijn dat ik juist die sessies uitkoos die hier over gingen, maar ik denk dat het thema Mienskip (mooi Fries woord voor ‘gemeenschap’ of ‘samen’) hier aan bijdroeg. Je kunt het ook co-creatie noemen maar zeg nou zelf, we hebben al genoeg jeukwoorden in het onderwijs. 😉

Mijn eigen verslagen:

De Citadel: Verantwoordelijkheid voor je applicatielandschap regelen

Vandaag ben ik bij het Netwerk IM en het thema is de “De Citadel”. Een aanleiding om naar dit model te kijken was de term “verantwoordelijke”. Het blijkt een praktisch middel om antwoorden te krijgen op de vraag wie er verantwoordelijk is voor het applicatielandschap van een onderwijsinstelling. Leo Bakker, Wilmar de Lange en Willem Karssenberg nemen ons mee. Bij Surf is meer te vinden over het Burcht-model.

Het bestaat uit 3 lagen:

  • De versterkte burcht: hierin zitten de kernsystemen voor HR, Financiën en de studenten-informatiesystemen. Hier regeren meervoudige authenticatie en geautoriseerde rollen etc. De beheersprocessen zijn formeel en er wordt steeds meer gewerkt onder architectuur. Meer te vinden in de Ict-Monitor van 2017.
  • De ommuurde stad: hierin zitten de ELO, samenwerkingsomgevingen en digitaal lesmateriaal. De diversiteit en vrijheid is hier groter.
  • De open buitenwereld: hierin zitten alle systemen die iedereen zelf kiest en gebruikt, de bekende shadow-IT. Hier regeren allerlei tooltjes en veelal social media. Sommige zijn te vergelijken met ‘struikrovers’, anderen zien hier juist de kansen. 😉
    Waarschijnlijk zouden we er van staan te kijken als we onder onze docenten nagaan hoeveel eigen IT ze hebben. Dan is de vraag: Moet je dat verbieden? Gedogen, ondersteunen, stimuleren, tolereren, reguleren?

Helder is dat de verantwoordelijkheid van een school steeds verder afneemt naar buiten. Tegelijkertijd blijft een werkgever verantwoordelijk voor wat docenten zelf doen in hun onderwijs. Vandaar dat we er wel over moeten nadenken als informatiemanagers.

Aan de hand van het model gingen we in groepjes casussen langs. Ze illustreren in ieder geval de complexiteit en de hoge verwachtingen van eindgebruikers, vooral als samenwerking de grenzen van je organisatie overstijgt. Onze casus:

Onderwijs in de praktijk: in dit voorbeeld vindt 100% van het onderwijs in een zorginstelling plaats. De docenten lopen dus op een externe locatie rond samen met praktijkopleiders van die zorginstelling. Beiden nemen deel aan het proces van begeleiden, het registreren van aanwezigheid en leerresultaten. De aangewezen systemen hiervoor zitten in de burcht (SIS).
Informeel wordt er echter veel informatie uitgewisseld op papier en mail.
Theoretische oplossing: Personen uit andere organisaties trek je de burcht in door op basis van een formele relatie ze netjes een account te geven en bijbehorende autorisatie.
Praktisch: Niet alle SIS-en van nu ondersteunen heel makkelijk het beheer hierop. Het betreft grote aantallen externe partijen en personen (leerbedrijven en praktijkopleiders). Dus zowel de in- als uitstroom hiervan lijkt me een grote administratieve last. Op langere termijn zou ik zelf meer zien overigens in bedrijfsaccounts via eHerkenning.

Datagestuurd onderwijs op #samboict

Ik ben vandaag te gast bij het Zadkine voor de 37ste saMBO-ICT conferentie. In de laatste ronde nemen Jacob Poortstra (Noorderpoort), Nynke de Boer (SURF) en Marius Zandwijk
(Kennisnet) ons mee in de ontwikkelingen.

Marius opent met de kennissessies “Met en van elkaar leren” en “Van inspiratie naar doen” van vorig jaar. De focus lag op data uit de intake- en begeleidingsprocessen, analyses, ethiek en IBP. In 2018 staat een bootcamp gepland, ontwikkelen ze een praktisch instrument voor het bespreken van ethische vragen, worden use cases beschreven en komt er een werkconferentie in juni. Meer gegevens zijn bij Marius op te vragen.

Jacob vervolgt met hun ervaringen bij Noorderpoort. De motieven op een rij:

  • Steeds meer e-learning modules.
  • Online leren verschilt van klassikaal leren. Een deel van het inzicht dat je terloops opdoet valt weg vermoed ik.
  • Inzicht nodig in gebruik van leermateriaal.
  • Betere begeleiding van de student en zijn voortgang.

Hij stemde dit af met zijn studenten waarbij hij oprecht vroeg of ze kunnen presteren als er online ergens een les staat met af en toe een Skype gesprek. Frappant was dat studenten daar niet zomaar blij van werden. 😉

Ze zijn gestart met zowel lessen in de klas als online voor 17 studenten van MBO 3/4. Wat ik zelf echt heel goed vind: niet zomaar denken dat je dit big-bang kunt doen met honderden studenten. Realistisch klein beginnen en ervan leren dus. Ook geeft Jacob aan het onverantwoordelijk te vinden om studenten voor een examen de dupe te laten worden van iets dat experimenteel is. Eens!

De voortgang wordt technisch gemeten door ‘trackers’. Die vanuit de advertentiewereld natuurlijk een slechte naam hebben. De studenten (ouder dan 16) die meededen waren wel akkoord gegaan op het verzamelen van de data. Ze hadden ook altijd een knop om ‘uit te stappen’. Intern werd de data niet verder gedeeld met collega’s van Jacob.

Hij ziet wie er gebruik maakten van het materiaal, hoe ver ze zijn en hoe ze scoren op een zelftoets. Jacob gebruikt deze informatie voor de begeleiding van zijn studenten. Om metingen wat concreter te maken verzon hij een “inspanningscoëfficiënt”, een soort kpi die aangaf hoeveel online acties een student deed. Vervolgens spiegelde hij dit aan toetsresultaten. De student zelf ziet zijn eigen activiteit t.o.v. de andere studenten en een vergelijking van eigen uitgevoerde activiteiten.

De stand van de technologie is wel dusdanig dat het niet zomaar plug-and-play is. Niet erg, want anders kom je nooit verder maar je moet daar wel tegen kunnen.

Eerste verkenning naar centraal aanmelden in het MBO – #samboict

Ik ben vandaag te gast bij het Zadkine voor de 37ste saMBO-ICT conferentie. Eric Jongepier neemt ons in de derde sessies mee:

Aanmelden en inschrijven is erg in beweging. De nieuwe wet als die van kracht wordt, geeft de aanmelding een wettelijke status. Het betreft “aanmelddatum en toelatingsrecht mbo“. Uiteindelijk is de bedoeling tot een centrale informatievoorziening te komen, waarvan de sector intellectueel eigenaar is. Lijkt me goed omdat het anders gewoon een monopolie positie geeft voor één aanbieder. Tot nu toe doen 47 instellingen mee aan het schrijven van het Programma van Eisen.

De hoofddoelstellingen van Centraal Aanmelden zijn:

  • Regelen van het aanmeldproces voor studenten.
  • Uniformeren van de aanmeldprocessen zelf.
  • Inzicht krijgen in meervoudige aanmeldingen op landelijk niveau.

Intake zit expliciet niet in de scope van dit traject.

Concreet hoopt men de doelstellingen te realiseren doordat basisinformatie (GBA, DUO) niet dubbel hoeft te worden geregistreerd, de uitwisseling tussen partijen technisch werkt en er afspraken komen over meervoudige inschrijvingen. Bijvangst zou ook kunnen zijn dat er harmonisatie ontstaat naar de informatievoorziening van afnemende systemen.

Er is natuurlijk een link met “Vroegtijdig Aanmelden”. Technisch komen er 3 knooppunten: voor VO, Gemeentes en MBO. De meervoudige aanmeldingen worden hier uitgefilterd. In later stadium is de bedoeling dat er voor centraal aanmelden een studentportaal is.

Eric duidt goed welke afhankelijkheden er zijn: cruciaal is dat het onderwijsaanbod van elke instelling centraal bekend is. Zelf had ik de vraag of er een uitgewerkte architectuur komt. Zou ik voor mijn eigen instelling deze beweging willen vertalen dan heb ik een referentiemodel nodig, al is het maar om onze huidige manier van werven en aanmelden te ontvlechten. De student maakt namelijk na het werven een uitstapje naar een formele aanmelding. Die technisch in een andere omgeving zit. Jan Bartling vergelijkt het met bestellen bij BOL, afrekenen in de bankomgeving (iDeal) en dan weer terugkomen bij BOL. Vond ik een goeie analogie. iDeal-niveau van gemak en performance stellen wel hoge eisen. 😉

Jan vervolgt met de Governance, aangezien het eigenaarschap van het systeem zelf niet bij de leverancier mag komen te liggen. Er zou een entiteit “MBO-link” kunnen komen waarin ‘het veld’ vertegenwoordigt is.

Drukke planning trouwens: Tot aan de zomer wordt het PvE verder uitgewerkt, de business-case opgesteld, een Privacy Impact Assessment gedaan en een aanbesteding gerealiseerd.

De effecten van de Blockchain op ons onderwijs – #samboict

Ik ben vandaag te gast bij het Zadkine voor de 37ste saMBO-ICT conferentie. De tweede keynote gaat over de effecten van BlockChain op ons onderwijs. Raymond ter Horst en Etienne van ’t Kruys nemen ons mee.

Waar denk je aan als je aan BlockChain denkt? Gangbaar is “geld”, “crypto”, “decentraal”, “energie” en “consensus” etc. Ze beginnen met het fenomeen zelf. Het ontstijgt het ‘niveau zolderkamertje’ al een tijdje, aangezien het bijvoorbeeld ook als dienst wordt aangeboden, partijen als KvK er mee bezig zijn en de EU er een groot programma over heeft.

De bedenker van Bitcoin, digitaal geld, noemde de administratie erover geen BlockChain maar zo zijn we het gaan noemen. Vervolgens is Vitalik Buterin hier op door gaan denken en verzon, samen met anderen, een manier om programmacode op een BlockChain te laten werken. Door velen wordt het gezien als de volgende stap in automatisering. Deze stukjes code worden “Smartcontracts” genoemd.

De belangrijkste principes zijn:

  • Een decentraal register of kasboek, in plaats van opslaan op één centraal punt.
  • Alle transacties krijgen een tijdstempel.
  • Als partijen het eens moeten worden over de data dan moet er consensus bereikt worden.
  • De gegevens worden gewaarmerkt.
  • Transacties worden frequent verzameld tot een blok en het waarmerk ervan wordt gebruikt in het volgende blok. Deze gekoppelde datablokken vormen zo een  ketting.

Er zijn wat varianten van Blockchain: alles open (lezen+schrijven), beperkt open (iedereen lezen, enkele schrijven) of privé (enkele lezen + enkele schrijven). De voordelen die gezien worden:

  • Verdere automatisering doordat je alles in één administratie hebt.
  • Kostenbesparing omdat zaken efficiënter georganiseerd kunnen worden.

Ze noemen, terecht denk ik, ook de GDPR/AVG ontwikkelingen, aangezien dit bij transparante blockchains direct tot problemen leidt. Als je althans de inhoud opslaat en niet alleen het waarmerk, volgens mij. Daarnaast weet je niet precies wie de bewerker is als het decentraal opgeslagen is en kun je niet gegevens aanpassen (recht van betrokkene).

Raymond stelt daarom ook vragen:

  • Haalt de technologie ons in? Die holt maar vooruit en de wetgeving er achteraan?
  • Kunnen we de macht aan de burger teruggeven? Wat zijn data betreft? Dus zelfsoevereiniteit van de burger door een sterkere informatiepositie van de burger en student lijkt me.

Ze moedigen ons aan direct een consortium te starten en bij het EU blockchain programma aan te sluiten. De toepassingen voor het onderwijs die ze zien zijn: Het waarmerken van leerresultaten en diploma’s. Bijvoorbeeld met BitDegree en andere startups met zogenaamde ICO‘s.

Ze hebben ook een pas op de plaats: de technologie staat in de kinderschoenen en het vergt investeringen om er nu in te stappen.

Tikkie persoonlijk: ik vond het wel een uitdaging om mijn eigen interpretatie niet mee te schrijven in dit verslag. Mijn eigen blogs over BlockChain in onderwijs zijn hier te vinden. Wat ik ook merk is dat het moeilijk blijft een abstract fenomeen helder uit te leggen. 😉

Ook mis ik de reeds bestaande initiatieven binnen onderwijs, zoals het Fieldlab en het project Studybits.

De onderwijslogistieke uitdagingen m.b.t. keuzedelen en examenplanning op #samboict

Ik ben vandaag te gast bij het Zadkine voor de 37ste saMBO-ICT conferentie. In de tweede workshop ronde presenteren Jolanda Hilgen (Advitrae) en Niels Leijssenaar (Iddink) hun oplossing voor keuzedelen voor Zadkine met EduArte en Xedule. Ik vermoed dat veel instellingen hiermee worstelen gezien de volle zaal.

Grofweg zitten ze op deze plekken in de keten: keuzes accorderen en verwerken, plannen en arrangeren, roosteren, publiceren en individueel AAR. Niels stelt dat het uitgangspunt dan wel is: de student krijgt keuzes! De groep staat niet meer centraal! De uitdaging met keuzedelen is om de automatisering vanaf keus helemaal door te laten lopen tot in planning, roosteren en communicatie. Op een rij:

  • Voorbereidingen: de onderwijsbeheerder richt de keuzeregels in, die bepalen en sturen wat studenten mogen kiezen. Je kunt nu eenmaal niet alle 360 keuzedelen van Nederland aanbieden. Praktisch is wel dat een onderwijsproduct bij het Zadkine ook een roosterbaar vak is. Lijkt vanzelfsprekend maar toch.
  • Kiezen: de student heeft een tijdsvenster om te kiezen en de mentor om te accorderen. Hiervoor is wel ‘aanmoediging’ nodig ….
  • Administratieve verwerking: Het hele proces omtrent keuzedelen heeft statussen die als ‘ankers’ werken. De vastgestelde keuzes gaan automatisch naar het examineringsproces en naar Xedule voor roostering. Verder worden automatisch emails gestuurd naar de student om hem/haar op de hoogte te houden en zijn dossier aangevuld met een addendum op de onderwijsovereenkomst.

Overigens kan Niels heel levendig vertellen zonder dat dat ten koste gaat van de inhoud.

Jolanda vervolgt met Xedule met op hoofdlijnen: vraaggestuurd plannen, prognose, analyse, werkverdeling, clustering, roostering en publiceren. Er zit dus, terecht denk ik, een stap tussen keuzes en roostering, de analyse door het team of het organiseerbaar is. Het kan zijn dat je voor verrassingen komt te staan en er is dus ruimte voor bijstellen. De analyse functionaliteiten helpen inzicht geven hiervoor.

Dit werk is overigens niet belegd bij roosteraars maar bij ‘planners’. In bemensing en competenties vergt dit veel aandacht gedurende de implementatie.

Conceptueel maken ze gebruik van het ‘clustermodel’: het start met de groepssamenstelling, kijkt dan naar beschikbaarheid van student, medewerker en onderwijsproduct. Vervolgens worden studenten uit meerdere opleidingen ingedeeld bij onderwijsproducten. Behalve concept is het ook functionaliteit waarop deze zaken geregistreerd kunnen worden. Daarna kan de roostermachine starten.

Hun ervaringen tot nu toe:

  • Voordelen: Alleen gevraagde keuzes worden gepland, het helpt het budget optimaler verdelen. Er wordt klantgericht gepland en je kunt beter sturen op de expertise van medewerkers.
  • Nadelen: Inschrijvingen zijn vroeg nodig, soms is de belangstelling heel groot en je moet tijdig alle interne processen bepalen.

We krijgen nog een toetje: de combinatie EduArte en Xedule kan de afname van examens plannen en roosteren.

  • EduArte levert de voorwaarden en afhankelijkheden voor het examen. De checks of studenten op mogen voor examens.
  • Xedule gebruikt deze informatie om de afnamemomenten te plannen. Deze informatie komt weer terug in de EduArte agenda van de student en surveillant.

Onderwijslogistiek in het hoger onderwijs, wat kunnen we van elkaar leren? #samboict

Ik ben vandaag te gast bij het Zadkine voor de 37ste saMBO-ICT conferentie. In de eerste workshop ronde presenteren Marjon van Kuijk (Avans Hogeschool), Edith Hofstede (saMBO-ICT) en Susanne Zuurendonk (OSIRIS) hun ervaringen. Mijn vorige verslag over het traject Onderwijslogistiek van saMBO-ICT is hier te lezen. We krijgen vanuit MBO een inkijkje in het HBO.

Edith haakt eerst aan bij de achterliggende bewegingen die aandacht voor onderwijslogistiek vragen:

  • Toenemende flexibilisering en maatwerk.
  • Differentiatie naar vorm en inhoud.
  • Belang van de kleine kwaliteit en organisatorische hygiëne (mijn woorden).

Daarnaast hebben ze een referentiemodel ontwikkeld, in concept nog, met de fases: besturen, expliciteren, ontwerpen en realiseren.

Welke verschillen met hoger onderwijs ontdekten ze?

In het beroepsonderwijs:

  • is er door de bank genomen meer sprake van versnipperde standaarden, processen en afspraken.
  • start onderwijslogistiek veelal bij planning en roosteren en niet bij onderwijsontwerp.

Aan de ene kant is MBO iets complexer denk ik, vanwege het aanbieden van niveau 1 tot en met 4, in plaats van één niveau (5). Tegelijkertijd is versnippering tegengaan natuurlijk goed.

Marjon opent met een filmpje van Avans:

Concreet is het intakeproces per opleiding vastgesteld en dan start ook het digitale intakeproces. Eventuele meeloopdagen, gesprekken en bijzonderheden voor extra begeleiding zitten in deze stap. Ze hebben een PlanApp (van Osiris) waarbij de student zelf allerlei zaken kan kiezen.

Susanne demonstreert de kernregistratie van Osiris, dat gebruik maakt van het concept ‘zaakgericht’ werken. Mijn eerste indruk is natuurlijk de gedeeltelijke overeenkomst met de bekendere studentinformatiesystemen zoals we die in MBO kennen. Ook hier zag ik overigens het belang van direct registreren van gesprekken en afspraken door begeleiders. Geen tweedehands informatie vanuit papieren kladblokjes lijkt me.

Het zaakgericht werken overigens vond ik wel inspirerend. Mijn indruk is dat je processen niet tot in hoogste detail dichttimmert, maar in de zaak kan zowel de medewerker als de student mijlpalen aftikken. Dit laat ruimte over om op meer detailniveau recht te doen aan verschillen. Het versterkt in mijn ogen ook de informatiepositie van de student.

De ambitie van Avans is overigens om “docentloos” te roosteren. Daarmee bedoelt ze eerst het onderwijs plannen en roosteren met de student als uitgangspunt, om vervolgens daar docenten aan te hangen en niet andersom dus.

De presentatie [pdf ]is hier te vinden.

Hoe makkelijk is hacken? – Keynote op #samboict

Ik ben vandaag te gast bij het Zadkine voor de 37ste saMBO-ICT conferentie. Op vrijdag start Rickey Gevers deze met de keynote “Hoe makkelijk is hacken?”. Actueel gezien de recente DDOS aanvallen op banken, al dan niet door Jelle S. Rickey geeft aan dat hij misschien bij ons op school zat en in ieder geval de volgende Jelle nu al in onze scholen rondloopt. Rickey zijn achtergrond ligt in pentesting, digital forensics, malware analysis, incident response en is developer.

Volgens hem zijn cyberaanvallen ‘heel eenvoudig’ te voorkomen door 2 problemen op te lossen: mensen en techniek. Dus zolang mensen fouten maken in gedrag en in het ontwerp van de techniek, blijf je werk houden. 😉

Een voorbeeld hiervan is onze keus in wachtwoorden: we besteden er het liefst zo weinig mogelijke mentale energie aan, we geven ze volgnummers en vervangen karakters op voorspelbare manier. Zijn advies, paradoxaal, is dan ook er ‘niet te ingewikkeld over na te denken’, zie hieronder. De gelekte LinkedIn wachtwoorden database is vaak z’n startpunt voor onderzoek, een goudmijn tot op de dag van vandaag. Sinds 2012 blijkt nu de helft nog hetzelfde te zijn.

Advies voor de Jelles in onze school: het lijkt leuk maar kijk even naar dit voorbeeld.

Gewetensvraag van Ricky aan ons: is de aanval op banken door een 18-jarige een zware misdaad of zijn banken eigenlijk veel te kwetsbaar? Nergens blijkt uit dat dit een geavanceerde aanval is, het volume van de aanval was natuurlijk wel hoog. Hier is wel discussie over maar anders moeten banken gewoon toegeven dat ze af en toe een uurtje platliggen.

Zijn advies:

  • Gebruik extra beveiliging, two-factor authentication.
  • Zo lang mogelijke wachtwoorden: gebruik een zin ipv één woord of term. Het is makkelijk te onthouden en moeilijk te raden.
  • Update Update Update
  • Backup Backup Backup
  • Segmenteer je netwerk, geen hergebruik dus.

Er gaat een dag komen DAT je gehackt wordt, dus ga er niet vanuit dat je dat niet overkomt. Bereid je er op voor hoe je de schade beperkt en de kans ervan verkleint. Indirect illustreerde het voorbeeld van Jelle ook dat “We hoeven als school niet zo veilig te zijn als een bank” roepen niet handig is. Aangezien de bancaire diensten met een kleine inspanning verstoord kunnen worden. Hoe erg vindt je het als een student even ontevreden is en dit botviert met een DDOS aanval?

Vragen uit de zaal:

  • Is SMS als extra beveiliging nog wel goed? SMS code onderscheppen is niet makkelijk, dus de kans dat je ‘gericht aangevallen’ wordt is heel klein. Voor de doorsnee mens althans, lijkt me. Voor sleutelfiguren is SMS niet meer voldoende voor 2FA vind ik.
  • Over de nieuwe privacy-wetgeving: dat bedrijven niet ongebreideld alles mogen verzamelen is natuurlijk goed. Camera’s overal in het straatbeeld lijkt hem onomkeerbaar.