Dag: 08/12/2016

Werkboek Veilig Toetsen op #t2d2016

Ik bezoek vandaag en morgen de Tweedaagse over Digitaal Toetsen. Surf organiseert het, waarvoor dank, in Eindhoven Kennispoort. Jenny de Werk introduceert het Werkboek Veilig Toetsen. Reden voor dit werkboek is de steeds grotere aandacht voor toetsveiligheid en de complexiteit ervan. Overigens de belangrijkste vraag blijft: Wie gaat er over toetsveiligheid?

Als uitgangspunt voor veilig toetsen geldt in ieder geval dat je ‘baseline informatiebeveiliging’ op orde moet zijn (zie MBO Normenkader).

Grofweg bestaat de ‘methodiek’ uit 5 stappen:

  • Benoem opdrachtgever en -nemer.
  • Analyser je toetsbeleid, proces en informatiebeveiliging.
  • Voer een gap-analyse uit.
  • Maak en voer een actieplan uit.
  • Laat tot slot een assesment uitvoeren.

surf-2016-werkboek-veilig-toetsen-webversie_13b

De presentatie is hier te downloaden.

Hans Frederik van de Hogeschool van Amsterdam vervolgt met zijn ervaringen met het werkboek Veilig Toetsen. Intrinsiek is hij voorstander van digitaal toetsen, alhoewel de problematiek wordt onderschat volgens hem. Het uit de grond stampen van grote centrale toetszalen gaat volgend hem in tegen alle huidige ontwikkelingen. Een greep uit z’n verhaal:

  • Examencommissies: zo mogen veel zeggen maar gaan uiteindelijk ‘nergens’ over.
  • Het CVB stimuleert digitalisering, maar de opleidingsmanager bepaalt zijn eigen ambitieniveau.

Overigens ben ik zelf niet principieel tegen grote toetszalen, maar ergens voelt het vreemd als je je onderwijs vormgeeft in individuele trajecten met kleine groepen en flexibiliteit zoekt en tegelijkertijd een ‘toetsfabriek’ uit de grond stampt. Qua kosten kan het denk ik soms niet anders.

Ludo van Meeuwen van TU/e herhaalt zijn motto: “Beveiliging is voorkomen, detecteren en reageren”. Hij toont de RACI tabel van hun examenproces. Het beantwoord dan wie er (eind)verantwoordelijk is, geraadpleegd en geïnformeerd wordt. Voorbeelden hiervan zijn in de Surf publicatie terug te vinden op bladzijde 38. Ook Ludo hamert op opdrachtgeverschap. Overigens gebruikten ze de gelegenheid om het analoge proces ook kritisch te bekijken op veiligheid. Het verplaatsen, vermenigvuldigen en overdragen van papier kent ook veel beveiligingsaspecten.

Monica Buijinck van Saxion vertelt over haar ervaringen met het project “Beveiligen van Toetsen”. Wat ik daar uit meeneem is dat er iemand moet zijn met het mandaat om in de hele keten zaken te controleren en mensen aan te spreken. Met (digitaal) toetsen loop je zo’n keten van examencommissies, ondersteunende diensten en ICT in, dat iemand een algeheel overzicht en regie moet hebben. In de ‘awareness’ campagne hebben ze overigens leuke filmpjes gemaakt.

Haar leerpunten:

  • Vertaal het werkboek naar je eigen situatie!
  • Zoek balans tussen veiligheid en tijdsinvestering!
  • Zoek de grootste risico’s en pak die aan!

Chromebooks voor Digitaal Toetsen op #T2D2016

Ik bezoek vandaag en morgen de Tweedaagse over Digitaal Toetsen. Surf organiseert het, waarvoor dank, in Eindhoven KennispoortGerdine Slot praat ons bij over 20 maanden ervaring met Chromebooks op de UU.

Even wat getallen om de schaal te illustreren: 24.000 individuele toetsafnames, 198 digitale toetsen, 480 centrale en 80 decentrale toetsplekken. De keus voor Chromebooks heeft vooral met accuduur (13 uur) en kosten te maken.

Ze hebben de volgende veiligheidsmaatregelen: een separaat wifi-netwerk, gebruik van “Chromebook Management Console” en een zelf ontwikkelde kiosk app voor beveiligde afname. De ruimte met de ‘karren’ (20x) is ook beveiligd.

Organisatorisch: De aanvraag en roostering sluit gewoon aan bij het reguliere roosterproces. Ze hebben een e-surveillantenpool van circa 25 studenten. Zij helpen bij op- en afbouw en assisteren bij technische problemen.

Lessons Learned

  • Van project naar lijnorganisatie is een uitdaging.
  • Geef aandacht aan lifecyle van Chromebooks. Na anderhalf jaar begaven ongeveer gelijktijdig 50 accu’s het. Dus ze worden nu proactief vervangen. Afschrijvingstermijn is nu ingekort.
  • De inzet van een e-surveillantenpool plannen en aansturen is veel werk, maar ontkom je bijna niet aan.
  • Ze willen nog voorzieningen doorontwikkelen voor blinden/slechtzienden en verder het aantal toetsplekken opschalen.

Overigens, goes without saying, Chromebooks werkt alleen voor webbased toetsafnames, niet voor andere toetssoftware.

Kosten

Wat kengetallen, gerekend per device: aanschaf Chromebook €280, €23 voor de management console, opslag €45. Dit schrijft af in 3 jaar.

De presentatie hier te vinden.

Open vragen sessie op #T2D2016

Ik bezoek vandaag en morgen de Tweedaagse over Digitaal Toetsen. Surf organiseert het, waarvoor dank, in Eindhoven Kennispoort. Er was apart ruimte voor vragen:

  • Wie is verantwoordelijk voor Digitaal Toetsen? Grofweg is steeds de IT afdeling verantwoordelijk voor de ondersteuning, maar anderen natuurlijk voor de inhoud. Lijkt me oud verhaal: IT kan alleen goed ondersteunen als andere stakeholders precies weten wat ze willen.
  • Zijn er ook oplossingen die werken met VDI in plaats van USB? Tot nu toe weinig, wel op instellings-PC’s maar niet in BYOD.
  • Kunnen er tablets gebruikt worden? Android en iOS doorgaands niet, Surface Pro met Windows en USB wel.
  • Kun je lock-down browsers gebruiken? Daar zijn wisselende ervaringen mee. Daarnaast is een lock-down browser alhoewel goed, nooit alleen voldoende.
  • Zijn er initiatieven om toetszalen in verbouwingen mee te nemen? Of juist het tegenovergestelde? Het inrichten van grote zalen met PC’s voor piektijden druist eigenlijk in tegen de ontwikkelingen met BYOD die zijn ingezet. Vaak stuurt men juist op een afname van het aantal PC’s.

 

BYOD, kan het veilig? op #T2D2016

Ik bezoek vandaag en morgen de Tweedaagse over Digitaal Toetsen. Surf organiseert het, waarvoor dank, in Eindhoven Kennispoort. Mike Baarslag (Fontys), Ludo van Meeuwen en Kees Goossens (TU/e), Martijn Meefout (Unteso) geven de presentaties over het toetsen met eigen devices. Inhoudelijk duikt het de techniek in.

Fontys: USB + Windows to Go = Digitale Toetsinfrastructuur

Het borgen van veiligheid gebeurt op verschillende niveaus: de computer moet een bekende zijn (authenticatie apparaat), de internetverbinding is beperkt (whitelist proxy), een monitorfunctie (virtueel opstarten vanaf USB stick met encryptie) en met policies worden zaken uitgeschakeld. Het daadwerkelijk inleveren is natuurlijk vanaf een inlog met juiste gebruikersnaam en wachtwoord (SSO). Het voorkomen van afkijken wordt o.a. gedaan door steeds in U-vorm de tafels op te stellen (in verder regulier lokaal).

Ze zijn voornemens om het gebruik van “Windows to Go” verder door te ontwikkelen, security audits te doen (interne ethical hacks bijv.)

Vragen uit de zaal:

  • Je mag overigens niet een student verplichten zijn eigen laptop te gebruiken voor een toets. Ze hebben voor die studenten die dat niet willen ‘leen-laptops’.
  • Als de student zijn gebruikersnaam en inlog kwijt is: Dan kan hij niet meedoen aan het examen.

TU/e

BYOD heeft een slechte reputatie voor het gebruik tijdens digitale examens. Ludo geeft aan dat 100% veiligheid een illusie is en dat je op drie niveaus maatregelen moet treffen: Prevent, Monitor en React.
Kees vertelt over de implementatie van een “Examinator Stick”. Een speciale USB stick met daarop, jawel, Ubuntu. Op eigen laptops worden deze gebruikt om een speciale omgeving op te starten, specifiek voor bepaalde examens. De toegang tot netwerk, andere computers, bluetooth etc wordt geblokkeerd. Daarnaast draait het een speciale browser.

Student-tevredenheid varieert: sommigen zijn er blij mee want er kan minder fout gaan. Of dat je per ongeluk programma’s op de achtergrond aan hebt staan, die als frauduleus gezien worden. Studenten die de stick niet willen gebruiken krijgen extra surveillance.

TU/e ‘trackt’ het gebruik, wie-heeft-welke-stick etc. Ze verliezen 1% van de sticks en ze worden door nieuwsgierige studenten ook gekopieerd om te proberen ze te hacken. 😉

Unteso

Martijn toont hun oplossing, die bestaat uit een combinatie van een USB stick (linux) en BYOD. De stick is geen toetssoftware maar maakt van alle machines een ‘managed werkplek’.

  • In de toetszaal wordt bij de start en aan het einde de sticks gescand, zodat ze weten wie-welke-heeft of had. En dat dezelfde student dezelfde stick weer inlevert.
  • Toegang tot overige USB, bluetooth en het netwerk wordt geblokkeerd. Al het verkeer gaat door een centrale proxy die bronnen whitelist in een gesloten subnet. Mocht er iets doorheen komen, dan is het in ieder geval gemonitord en achteraf is fraude aan te tonen.
  • Voorsprong wordt voorkomen door bij elke toets een verse image op de stick te zetten. Praktisch: hier zit een bureaublad achtergrond in die wisselt per toets. Als je de zaal rondkijkt zie je direct wie er een stick zou hebben van een ‘vorige’ toets.
  • Toegang tot specifieke zaken is beperkt in de tijd.
  • Ze monitoren voortdurend dat het aantal laptops dat ‘meedoet’ klopt met de aanwezigen in de zaal.
  • Er is een apart traject voor de surveillanten om ze in dit alles wegwijs te maken.
  • Het ‘securitytheater’ element is ook nuttig om iedereen een veilig gevoel te geven en fraude te ontmoedigen.

Toetsafnamerevue op #t2d2016

Ik bezoek vandaag en morgen de Tweedaagse over Digitaal Toetsen. Surf organiseert het, waarvoor dank, in Eindhoven Kennispoort. Michiel van Geloven opent met een overzicht van verschillende manieren om digitale toetsafname te organiseren. Overigens meer vragen dan antwoorden. Doet recht aan de diversiteit denk ik en de afwezigheid van één ei van Columbus voor digitaal toetsen.

Het aantal vragen over “Hoe kunnen we grootschalig digitaal toetsen” neemt nog niet af. Vaak wordt de oplossing gezocht in grote digitale toetszalen. Het aantal instellingen dat grootschalige digitale toetszalen heeft ingericht is niet meer aan het groeien. Het aantal plekken wat deze in totaal aanbieden wel. Daarnaast is er nergens één ideale oplossing. Grofweg zijn er de volgende varianten:

  • Oplossingen in meubels: Standaardtafels met desktop-pc’s, varianten van meubels die PC’s verzinkt of opgeborgen kunnen bewaren. Soms vaste toetszalen maar ook tijdelijk aangelegde zalen met overal kabelgoten enzo.
  • Laptops op laptopkarren of Chromebooks (zie verderop in het programma).
  • BYOD in combinatie met een speciale USB stick.
  • Surveillance op afstand (online proctoring).

Wat te kiezen?

Er zijn allerlei afwegingen, Michiel neemt ons er in mee:

  • Is er binnen je school überhaupt een grote tentamenzaal? Is er toevallig een verbouwing waarin je dit kunt meenemen? Ga je over een paar jaar verbouwen en moet je ‘even’ improviseren? Is het erg als studenten moeten reisen voor een toets? Of is het niet bespreekbaar dat ze naar een andere plek in de stad gaan?
  • Organiseer je afname op 4 piekmomenten? Of wil je voortdurend afnemen? Hoeveel studenten tegelijk doen de afname?
  • Wil je naast digitaal ook schriftelijke afnames in dezelfde ruimte?
  • Welke toetsvormen moeten mogelijk zijn? Zijn er daardoor hoge resolutie schermen nodig of andere speciale hardware? Te denken valt aan technische tekeningen of simulaties.

Samengevat: Er zijn 2 uitersten aan flexibiliteit. Wil je op elk moment overal kunnen toetsen met elk apparaat… of wil je specifieke inrichtingen hebben voor bepaalde examenvormen?

Hoe zit het met de kosten?

Afhankelijk van de examenvorm kan dit ontzettend uiteenlopen. Bouwkundige kosten, hardware en beheerslast kun ontzettend divers zijn. Overigens los van de kosten van de examenorganisatie die je toch al hebt.

Michiel sluit met wat adviezen:

  • Regel ondersteuning goed in!
  • Test alles goed door!
  • Blijft alert op veiligheidsissues.
  • Denk na over fallback-scenario’s.

De presentatie is hier te downloaden.