Tag Archives: SURF

Plan van aanpak cyberveiligheid mbo en ho

Ik ben vandaag online te gast bij RijnIJssel voor de 45ste MBO Digitaal Conferentie (voorheen saMBO-ICT). Op vrijdag nemen in de 3de workshopronde Albert Hankel en Martijn Bijleveld ons mee in het plan van aanpak voor cyberveiligheid.

Om hier concreet invulling aan te geven is vanuit SURF de “Innovatiezone State of the Art Cyberveiligheid” gestart. Dit plan vormt in februari de basis voor de gesprekken met OCW over wat nodig is om de cyberveiligheid in het mbo te verbeteren.

Hierin zitten 4 roadmaps:

Komende maanden worden er 2 uitgewerkt, met de volgende doelen/resultaten:

Samen in Control

  • Werken met een gelijk normenkader (NBA)
  • Onderling verantwoording afleggen met peer-review
  • Verantwoordelijk voelen voor elkaar en kennis delen
  • Faciliteren door netwerken
  • Afspraken over crisismanagement en crisisplannen.

Techniek, Bewustzijn en Vaardigheden

  • Awareness: gezamenlijke acties.
  • SOC: alle MBO’s kunnen zich gaan aansluiten
  • Dreigingsinformatie: alle MBO’s hebben toegang tot actuele dreigingsinformatie.
  • Crisisoefeningen via OZON.

Daarna volgde een uitvraag, wat we graag in het plan terug willen zien. Voor nu dus vooral even afwachten dus, maar gezien onze eigen alertheid op dit onderwerp kijk ik er wel naar uit.

Innovatie bij NPO – Keynote door Martijn van Dam op #owd19

Ik ben vandaag op de Surf Onderwijsdagen en Martijn van Dam neemt ons mee in het veranderende medialandschap en de impact van technologische veranderingen. We hopen natuurlijk ook op parallellen met de onderwijswereld.

Dat begint voor mij al doordat hij vertrekt vanuit ‘publieke waarde’. Martijn schetst de geschiedenis van de verzuiling, de omroepen die er bij hoorden, tot aan de nieuwe merkuitstraling van NPO. Het ‘ concurrentieveld’  van NPO is drastisch veranderd. Televisie is geen verzameling televisiezenders meer. “Live-TV” is verworden tot een app (1 van de velen) op je smart-tv. Eentje waar je niet zelf kunt beslissen wat je kijkt. Alle andere streaming services nemen een prominentere plek in. TV was een verbinder voor (beeld)cultuur, maar verdwijnt nu tussen andere aanbieders. Het maatschappelijk effect van een verbindend omroepstelsel is aan het verminderen. Wat weer bijdraagt aan fake-nieuws etc.

Om dit tegen te gaan zoeken ze naar hun eigen kracht, met moderne technologie. Noem het algoritmes:

  • Met slimme spraak-naar-tekst algoritmen alles ondertitelen. Voor mensen die hier afhankelijk van zijn handig, maar het trekt ook kijkers aan omdat ze dit elders niet krijgen. Bleek dus strategisch te zijn.
  • Het geven van aanbevelingen op basis van kijkgedrag: om mensen uit hun filter-bubble te halen.
  • Ze meten voortdurend met een panel van 8000 mensen de publieke waarde van hun programma’s.

Zelf stond ik even te kijken van de schaalgrootte van hun content-bibliotheek: 100.000 afzonderlijke afleveringen of programma’s. Hiervoor was het wel nodig dat hun organisatie veranderde, aangezien hun ontwikkel-tak voor technologische ondersteuning zo groot is. Terwijl de concurrenten hier vele malen meer geld in steken. De consument eist echter wel dezelfde kwaliteit, van apps etc. Wie de schoen past … gold dus voor mijn kritische houding ook.

Om de hele transitie te sturen hebben ze een innovatieagenda en werken samen met start-ups.

Martijn schetst een beeld van de underdog, die met beperkte middelen probeert een tegenwicht te bieden aan commerciële doelen. Hij sloot af met prikkelende vragen voor onderwijs, die bij de NPO ook spelen:

  • Hoe blijft je content aantrekkelijk voor een generatie die 100% digitaal is?
  • Hoe versterken we het publieke domein in een digitale omgeving die door marktpartijen wordt gedomineerd?
  • Hoe dragen we bij aan de ontwikkeling van technologie met maatschappelijke waarde in plaats van individuele en commerciële?

Martijn benadrukt dat ze niet hoeven ‘te winnen’ van commerciële partijen, aangezien het doel anders is: cultuur verbinden. Zijn verhaal zit vol met aanknopingspunten voor het onderwijs. Zijn aanmoediging is ook om samen te werken, aangezien de publieke omroep en publiek onderwijs elkaar niet structureel opzoekt. Complicerende factor is daarbij dat onderwijs (op hoger niveau lijkt me) steeds internationaler is georiënteerd, dus wat is zo uniek aan onze eigen toegevoegde waarde?

Bibliotheken, cultuurinstellingen, scholen, omroepen zijn allemaal zelf bezig met hun eigen digitale weg naar de burger. Meer samenwerking dus!

Even bijpraten op #samboict

Vandaag ben ik te gast bij het KW1C voor de 39ste saMBO-ICT Conferentie. Jan Bartling (saMBO-ICT), Martine Kramer (Kennisnet) en Remco Rutten (SURF) geven de stand van zaken.

  1. Strategische Agenda:
    De publicatie is hier te vinden en agendeert “Leven lang ontwikkelen”, digitaal burgerschap, onderwijslogistiek, leermiddelen, je-eigen-dossier, ontwikkeling van docenten en data-gestuurd-onderwijs.
    Zelf ben ik vooral nieuwsgierig naar ‘je-eigen-dossier’ omdat het qua gegevens de student centraal zet doordat deze er zelf over beschikt, in zijn eigen systeem. Op naar een sterke informatiepositie voor de student dus.
  2. Bruggen Bouwen: 
    Richt zich op de ontwikkeling van docenten door de zogenaamde “i-coach” een brug te laten vormen tussen onderwijs en ICT. Samen vormen deze coaches een community voor de uitwisseling van ervaring en het werken in pilots.
    Verder werken ze met iXperium aan een community of practice.
  3. Onderwijslogistiek:
    Het programma ontwikkelt zich steeds verder en biedt praktisch aanknopingspunten om zowel de organisatorische kant als onderwijskant klaar te maken om de student zo goed mogelijk te helpen met zijn vraag.
  4. Projecten Surf:
    Firewall-as-a-service: Dit project onderzoekt de gezamenlijke behoefte van MBO/HO/WO sector op het gebied van firewalls. Dit varieert van ‘alles-zelf-doen’ of ‘gezamenlijke-basis’ of helemaal ‘extern-beheerd’. Tegelijkertijd lopen er al vernieuwingen op netwerkgebied zelf.
    Application-delivery-as-a-service: de toepassing ligt in het brengen van ‘managed software’ op ‘unmanaged-devices’ (BYOD). Dit zou inhouden dat we niet zelf het wiel hoeven uit te vinden voor het packagen/virtualiseren van applicaties.
  5. Leermiddelen:
    Er is een servicedocument schoolkosten opgeleverd, met vlak er achter aan een update van het “Juridisch Kader Onderwijsbenodigdheden MBO”. Super nuttig voor de duidelijkheid, tegelijk blijft het taaie kost. De principes hier achter proberen we namelijk al sinds MBO-Cloud te realiseren. Illustratief hiervoor is dat leermiddelenlijsten in een openbaar koppelpunt moeten zitten, zodat de student keuzevrijheid heeft welke distributeur hij/zij kiest. Geen sinecure.
  6. Technologiekompas: 
    Deze wijst “Artificial Intelligence” aan als de grootste komende technologische vernieuwing voor onderwijs.
  7. Centraal Aanmelden: Vijf argumenten voor centrale aanmelding.
    Omdat de aanmelding een juridische status is geworden, met toelatingsrecht etc., is een centralisering hiervan handig. Verder wordt het proces uniformer, handig in voorlichting. Identificatie netjes doen is niet makkelijk, gezamenlijk organiseren bespaart dan. Ook de bedrijfsvoering wordt geholpen door inzicht in meervoudige aanmeldingen. Zelf willen we als instelling inzicht bij maximum aantal aanmeldingen.

IDM bij het KW1C

Vandaag ben ik te gast bij Surf voor de bijeenkomst “IAA in het MBO”.  Jef van den Hurk presenteerde daar hun IDM (Identiteiten Management) oplossing.

Tot voor kort had men zelf een “Software Autorisatie Systeem”. Daar wilde men vanaf gezien de risico’s van zelfbouw. Tegelijkertijd liep er een meer fundamentele discussie over de keten voor medewerker-identiteiten. Als je toegang wilt geven op basis van rollen, moeten deze dan worden geadministreerd door HR?

De stappen die men onderneemt zijn dan praktisch:

  • Er is een Visie op Toegang geformuleerd.
  • Een Projectstartarchitectuur is gemaakt.
  • Use Cases zijn uitgewerkt.
  • Aanbestedingstraject loopt (is bijna klaar)
  • Implementatie: hiervoor trekken ze 2 jaar uit.

IDM bij de Onderwijsgroep Tilburg

Vandaag ben ik te gast bij Surf voor de bijeenkomst “IAA in het MBO”.  Mijn collega Merijn van der Schoot presenteerde daar onze IDM (Identiteiten Management) oplossing. Deze regelt accounts en toegang voor ‘joiners’, “movers” en “leavers”. Anderen noemen dat in-, door- en uitstroom. 😉

Hij start vanuit trots, terecht natuurlijk. 😉

Hij schetst de performance: In 15 minuten kan je alles, de pas van een student is in 1 seconde actief, de pasfoto wordt in 1 minuut doorgezet en onze administratie sluit er 100% op aan.

We kwamen niet zomaar op dit punt. IT voorzieningen geven aan personen, kent veel hobbels. Dat uitte zich in veel “Ja maar …”: Wij zijn bijzonder, wij hebben externen, wij hebben mensen niet geadministreerd, wij hebben gasten etc.

Behalve sleutelen aan het IDM is er ook twee jaar gewerkt aan een goed HR-proces. Om vragen op te lossen zoals “Waarom staan mensen onverwacht op de stoep zonder account?”, “Waarom is HR langzaam”, “Wie zijn onze gasten” etc.

Beleidsmatig hadden we natuurlijk onderleggers nodig voor gebruikersnamen, gastaccounts, test- en beheeraccounts etc. Spin-off was verder dat HR ook ontlast werd met ‘gedoe’, aangezien we self-service invoerden.

Voorbeeld van een foutje: Stel een directeur vergeet een contractverlenging te accorderen, vervolgens gaat een account dicht. De medewerker ontdekt dat omdat hij niet kan inloggen en belt de servicedesk. Daar krijgt hij te horen dat z’n contract nog niet verlengd is … Nu wil je dat niet structureel natuurlijk, dus voortaan gaan we aan de voorkant rappelleren. We gaan dan overigens niet handmatig accounts open zetten etc. Maar in de keten wordt in het HR systeem de knop omgezet en een kwartier later werkt alles weer.

Merijn schetst net als hier de visie van een ‘sectorvoorziening’, wat zich uit in een standaard aansluiting.

Algemene ontwikkelingen IAA bij SURF & Kennisnet

Vandaag ben ik te gast bij Surf voor de bijeenkomst “IAA in het MBO”.  In de tweede sessie lopen we de ontwikkelingen langs, HP Köhler neemt ons mee.

MBO is een beetje een aparte sector omdat iedereen aangesloten is op 2 federaties. Entree voor digitale leermiddelen en SurfConext voor identiteiten. Beiden hebben een federatief centraal hub model waarbij de school de identity provider is. Technisch is het een implementatie van de SAML standaard.

Het IAA proces zoals HP dat ziet:

  • Identificatie: Juridische vaststellen van de identiteit.
  • Registratie: Administratie van de functie.
  • Authenticatie: Is hij/zij wie hij zegt te zijn?
  • Autorisatie: toegang krijgen tot gegevens of functionaliteiten.
  • Gebruik

De uitgangspunten voor IAA zijn:

  • Gebruiker centraal en privacy-vriendelijk, met consent.
  • Gemakkelijk in gebruik en beheer.
  • Veilig, schaalbaar en betaalbaar.

In het tweede deel praten we door over eduID. Zijn we net ECK-Id aan het doen met nummervoorziening, moeten we al weer nadenken over de opvolger of doorontwikkeling. 😉

Dat lokte dan ook veel vragen uit. Het eerste is slechts een pseudoniem in mijn ogen, dat als attribuut aan een identiteit hangt zodat leveranciers niet weten welke leerling/student het betreft. Het tweede is meer een leven-lang-leren oplossing. Zit dan ook nog in de verkennende fase. De verkenning uit zich bijvoorbeeld in:

  • Praktische pilot is die van de Edubadge en micro-credentials. Hierin zitten vooral HO/WO instellingen en één MBO. Top van Deltion.
  • Het eduMij concept: een persoonlijk en levenslang educatie en ontwikkeldossier. Naar analogie van MedMij. Opdrachtgever van eduMij is de ‘informatiekamer’ (MinOCW en de onderwijssectoren).

Zelf ben ik het meest nieuwsgierig naar eduMij, mits de gegevens zich bij de lerende zelf bevinden en niet in één centrale silo.

Wet Digitale Overheid

Vandaag ben ik te gast bij Surf voor de bijeenkomst “IAA in het MBO”. Aangezien ik onlangs wel eens wat geschreven heb over IAA (Identificeren, Authenticeren, Autoriseren) was ik benieuwd naar deze dag.

Barbera Veltkamp opent met de lezing over de Wet Digitale Overheid (WDO) en de betekenis voor dienstverleners in het onderwijs. In deze context praten we dan over ‘inloggen’ bij de overheid. Normaliter horen we het vaakst van MinOCW, maar deze wet loopt natuurlijk langs alles, vandaar vanuit BZK.

Het WDO regelt op hoofdlijnen de toegang tot elektronische dienstverlening middels elektronische identificatie (eID). Voor de overheid zelf natuurlijk maar ook voor publieke dienstverleners. Inloggen bij de overheid met een nieuwe versie van DigiD dus.

Als we inzoomen op WDO:

  • Uitgangspunten: Veilig, betrouwbaar, gebruiksvriendelijk, eenduidig en beschikbaar.
  • Dienstverleners moeten dit eID accepteren en daarnaast moet het andere sectorale middelen om in te loggen overbodig maken.
  • De wet gaat NIET over: interne IT en identificatieprocessen.

De reikwijdte van WDO voor onderwijs is nu beperkt tot hoger onderwijs. Op termijn gaat het echter ook voor MBO gelden. ‘Tegenprestatie’ is dan wel dat scholen gaan betalen als ze meedoen.

Het resultaat is dat dienstverleners, scholen dus, verplicht moeten aansluiten op meer middelen. Het rijtje is dan:

  • eHerkenning voor rechtspersonen (organisaties/bedrijven).
  • eIDAS voor EU identificatiemiddelen
  • DigiD voor de eigen overheid en publieke taken
  • Private middelen

Alle technische voorzieningen moeten overigens klaar zijn als de wet ingaat. In 2019 behandelt het parlement deze. Op 1 juli gaat de wet in, maar nog niet voor MBO. OCW voert gesprekken over de vertaling naar het onderwijs (saMBO/MBO-Raad). BZK rolt de ICT voorzieningen uit.

Eigen bedenkingen:

  • Ik ben blij dat voor de MBO sector de invoering gefaseerd gaat. Ben benieuwd naar de komende ervaringen van HO/WO. De wet biedt ruimte uit te breiden naar andere typen organisaties, als iedereen daar aan toe is. Klinkt redelijk, Barbara.
  • IRMA werd vermeld, maar de veiligheid van deze systemen op nationale schaal vereist een hoger volwassenheidsniveau ‘ondanks wat sommige hoogleraren zeggen’. Ik snap dat iets parallel kan lopen: echt innoveren aan de ene kant en iets implementeren, in productie brengen aan de andere kant.
  • Allemaal nuttige voorzieningen, maar wat ik nog niet kan inschatten is hoe deze ontwikkeling zich verhoudt tot meer ‘decentrale’ oplossingsrichtingen.
  • Ik hoop dat we met 60 MBO instellingen niet allemaal per stuk het wiel moeten uitvinden om hier op aan te sluiten. Iedereen met z’n historisch gegroeide applicatie-landschapje, dat ook voor mijn eigen organisatie geldt.

 

 

 

Technologieverkenning: Blockchain voor SURFnet

Het ene rapport is nog maar net uit en de volgende komt al weer. Zeker geen klacht hoor, alleen mijn leeslijst groeit sneller dan ik kan verwerken. 😉
Daarnaast denk ik dat veel mensen al een tijd dachten, wat zou SURFnet nou van BlockChain vinden? Juist omdat we nog in de ‘infrastructuur’ fase van het fenomeen zitten en SURF zich richt op fundamentele technologieën of basisvoorzieningen die breed inzetbaar zijn voor zijn leden. Vandaar dat ik erg nieuwsgierig was naar de technologieverkenning die gisteren verscheen. (Kleine disclaimer: mijn werkgever is tevreden lid van de stichting en we gebruiken een aantal SURF diensten.)

Ik merk dat ik berichtgeving over BlockChain niet onbevangen lees, wat verdacht is natuurlijk. Maar ja, het besef is al de helft dacht ik zo. Andere fenomenen die vroeg in de hypecycle zitten trekken mijn aandacht minder, dus als een rapport daarover enthousiasme tempert, stoort het me niet.
Bij het bericht over BlockChain lees ik: “Conclusie is dat blockchain nog weinig concrete gebruiksredenen heeft.” Veel lauwer dan dit kun je het niet krijgen. Hype is heet, ik weet het en overspannen broeierig doen stoort mij ook, maar het rapport ademt onderkoeling.  Wellicht aan te raden als je een reality-check nodig hebt.
Overigens is onderstaand slechts ingegeven door mijn eigen kennis natuurlijk.

Over de vraag wanneer BlockChain geschikt is:

  • Wantrouwen: Een uitgangspunt van blockchains is dat er sprake is van wantrouwen tussen partijen over de informatie opgeslagen in een gezamelijke database en de veranderingen daarvan.
    Ja en nee: betrokkenen bij een transactie moeten elkaar nog steeds vertrouwen dat de transactie inhoudelijk klopt. Alleen: je hebt later de betrokkenen niet meer nodig om aan te tonen dat de informatie klopt en onveranderd is. De verificatie hoeft ook niet ‘uit de database’ te komen van de belanghebbenden.
  • Geen Trusted Third Party: Specifiek is blockchain geschikt als de TTP niet wordt vertrouwd met het correct uitvoeren van databasemutaties. Ja, maar dat is toch meestal niet het punt? Je hebt geen derde partij nodig die je de sleutels geeft voor versleuteling. Zoals dat nu gebeurt bij digitaal ondertekenen, maar dan met een digitale natte handtekening. Vanwege het decentrale karakter en de gebruikte protocollen worden sleutels aan de lopende band gegenereerd toch?
  • Transparantie en onmuteerbaarheid: dat is inderdaad een probleem voor privacy-gevoelige informatie en het ‘recht vergeten te worden’. Eric Verhelst heeft dit ook uitgebreid toegelicht. Wat ik echter mis is hoe het scheiden van inhoud en waarmerk toch nuttig kan zijn. Ik zou echt meer willen weten over hoe een openbaar waarmerk waarvan de inhoud op traditionele manieren wordt uitgewisseld voor problemen zorgt.
  • Meerdere schrijvers en business model voor miners:  Om een blockchain meerwaarde te laten bieden boven een TTP, is het noodzakelijk dat er meerdere onafhankelijke partijen zijn die de blokken maken (miners) en het moet aantrekkelijk zijn dat te doen. Eens, vandaar dat ik de Proof-of-Work niet zo ethisch verantwoord vindt.

Verder ben ik het met hun conclusie een heel eind eens. Ik denk alleen dat zin 1 de stap in zin 2 erg ontmoedigt:

Voor een concrete roadmap, of een beslissing hier zwaar op in te zetten, is het ons inziens te vroeg, de technologie is te onvolwassen en de toepassingen zijn nog niet concreet genoeg. Het is echter wel te overwegen om de technologie verder te leren kennen door Proof-of-Concepts te doen, en om samen met de achterban verder op zoek gaan naar toepassingen. 

Wie gaat nog iets overwegen als je je vingers gaat branden aan een onvolwassen technologie? Welke school loopt er vaak zo langs het innovatierandje dat ze er niet bang voor zijn? Zo klinkt het vooral als een aanmoediging om niets te doen.

De use-cases in het rapport begeven zich begrijpelijkerwijs op het terrein waar Surf diensten biedt:

  • Het vastleggen van attributen of kenmerken van identiteiten. Dit zou de werking van SURFconext beïnvloeden. In deze ‘federatie’ worden gegevens van personen, zo minimaal mogelijk, uitgewisseld. Zodat al onze kernsystemen en digitaal lesmateriaal deze niet apart hoeven te administreren. Het vastleggen hiervan op een BlockChain heeft potentieel. Zelf ben ik voor identiteiten met hun kenmerken nieuwsgierig naar de ontwikkelingen van “Decentralized Identifiers (DIDs)”.
  • Het uitdelen van certificaten (bekend van het slotje in de browser en https etc.) zodat transparant is welke partij welk certificaat heeft aangevraagd.
  • Het vastleggen van DNS gegevens op de BlockChain, oftwel welk domeinnaam is van wie.
  • Studievoortgang op de BlockChain. Velen en ik ook zien deze natuurlijk als killer-applicatie. De nadelen die de huidige technologie heeft onderschrijf ik wel en komen neer op dat je zowel weet van ontvanger als uitgever dat ze zijn wie ze zeggen te zijn. Zonder dat alles openbaar is.

Het rapport eindigt:

Voor een concrete roadmap voor SURFnet rond de toepassing van blockchains, of een beslissing hier zwaar op in te zetten, is het ons inziens nog te vroeg. Verder de technologie leren kennen door Proof-of-Concepts uit te voeren, aangevuld met samen met de achterban verder op zoek gaan naar toepassingen, is echter zeker wel te overwegen.

Waar ik eigenlijk op hoopte is dat het rapport concreter zou zijn in wat Surf nu zelf op dit gebied gaat doen. Wellicht hangt dat samen met hun opdracht en laat het geen ruimte over voor experimenteren met jonge technologie.

Zoals het er nu staat lijkt het alsof onderwijsinstellingen zelfstandig moeten experimenteren en dat Surf geen rol heeft in de ondersteuning hierop. Al is het maar om expertise te delen, iets dat ik normaal gesproken op andere terreinen heel erg waardeer van ze.

Samengevat: voor een technologieverkenning is het rapport precies dat, niet meer en niet minder. Maar ik heb wel een paar oprechte vragen:

  • Als onderwijsinstellingen Proof-of-Concepts uitvoeren, volgt SURF deze dan? Passief of actief? Met inbreng van expertise of op andere manieren faciliterend?
  • Ligt de focus van SURF op die BlockChain toepassingen die ze zelf erna voor de leden als voorziening kan aanbieden?
  • Of doet SURF komende 2 à 3 jaar gewoon even niets? Dat zou voor de verwachting in ieder geval duidelijk zijn. 😉