Wanneer er een datalek op Moodle binnenkomt, dan baal ik hier altijd van. Elke organisatie verwacht namelijk toch van je dat jij degene bent die dit kan / gaat voorkomen. Een van de dingen die ik inmiddels heb geleerd, is om vooral rustig te blijven en het probleem goed te analyseren voordat ik conclusies ga trekken.
In de meeste gevallen blijkt het namelijk te gaan om instellingen in de Moodle leeromgeving. Dit kan zijn in het rollen en rechten, maar ook in jouw Moodle cursus. Een goede analyse helpt mij erbij om niet alleen de datalek te achterhalen, maar ook om eventuele processen te herzien of verbeteren. Kortweg: van elke datalek leren we weer.
Een van de dingen die ik ondervond in de laatste tijd, is dat een Moodle datalek in de meeste gevallen wordt veroorzaakt door een menselijke fouten. Dit wordt voor mij ook bevestigt in het rapport van 2020 dat op 1 maart jl. door Autoriteit Persoonsgegevens werd uitgebracht.
Omdat voorkomen altijd beter is dan genezen, schrijf ik deze blog vandaag over mijn aandachtspunten als beheerder.
Beperk je sitebeheerders, beperk je je risico op een datalek
Vanuit mijn rol als Functioneel Beheerder werk ik met name als Sitebeheerder een Moodle site. Een mijn streven is om maar twee sitebeheerders op 1 Moodle site te hebben. 1 Beheerder is de hostingspartij en ik ben de andere.
De meeste vinden dit prima, een enkeling vind het vervelend. Zeker wanneer ze al jaren Moodle sitebeheerder zijn geweest. Het is in zo’n geval goed om te weten waarom ze dit graag willen. En het gesprek aan te gaan.
Vanuit mijn rol heb ik twee redenen:
- Een sitebeheerder (admin) kan een site om zeep helpen of belangrijke instellingen aanpassen met grote gevolgen voor de organisatie.
- Maar een sitebeheerder heeft ook alle middelen in handen om data uit jouw omgeving te exporteren en te analyseren. Data die vallen onder de kenmerk gevoelige/bijzondere persoonsgegevens.
Met het beperken van sitebeheerders, beperk je dus automatisch het risico van een datalek in Moodle.
Verwijder of schors iemand die niet meer in dienst is…
Dit is met name belangrijk voor organisaties die hun Moodle leeromgeving niet gekoppeld hebben aan andere systemen zoals een Active Directory.
Werkt er iemand in jouw organisatie die niet meer in dienst is of vanwege een andere situatie je niet langer wilt dat ze bij persoonsgegevens kunnen? Informeer dan direct je beheerder, zodat zij het account van deze persoon kunnen schorsen. Op deze manier behoud je nog steeds de data, maar beperk je het risico op een datalek in Moodle.
Note: Let wel op je AVG richtlijnen. Je bewaart namelijk van deze persoon ook bijzondere persoonsgegevens.
Voorkom een Moodle datalek met een wachtwoordbeleid
Het wachtwoordbeleid in Moodle is een struikelblok voor vele. Standaard staat deze ingesteld op een x aantal tekens, hoofd -en kleine letters, bijzonder tekens en getallen. Het is vaak een de eerste vragen die ik krijg: kun je dit wachtwoord beleid aanpassen?
Uiteraard is dat mogelijk, de vraag alleen is of dit verstandig is. Want met een sterk en goed wachtwoordbeleid, voorkom je een Moodle datalek door eventuele hackers. Want wat jij kan onthouden, kan een hacker zeker hacken.
Een veel gekozen oplossing hiervoor is het werken met een SSO koppeling. Zo hoeven gebruikers in ieder geval voor organisatie applicaties niet steeds een nieuw wachtwoord te bedenken. Daarnaast hebben beheerders meer controle over de accounts, waarmee ze de veiligheid beter kunnen garanderen.
Is voor jouw organisatie niet mogelijk om met SSO koppelingen te werken. Informeer dan je gebruikers over de mogelijkheid van een wachtwoord manager. Een wachtwoord manager draagt bij het voorkomen van Moodle datalekken. Een wachtwoord manager helpt je niet alleen bij het onthouden van wachtwoorden, maar hebben vaak ook de mogelijkheid om sterke wachtwoorden voor je te maken.
Zelf werk ik graag met een wachtwoord manager dat niet gekoppeld is aan mijn webbrowser. Het was een tip van een andere beheerder: KeePass . En ja het was even wennen, maar nu weet ik niet beter.
Upgrades en updates helpen bij aan een veiligere Moodle en voorkomen van een datalek
Een beetje voor de hand, maar toch. Jouw Moodle leeromgeving, de plugins en server software regelmatig voorzien van de laatste veiligheidsupdates draagt bij aan het voorkomen van een datalek.
En ja updates en upgrades zijn vervelend, omdat vaak je leeromgeving niet bereikbaar is. Of dat het spannend is, omdat je niet goed weet wat je te wachten staat. Het grote probleem is, dat je aan de voorkant niet altijd ziet dat het nodig is. Deze veiligheidsupdates hebben impact op de code van de programma’s, en die zorgen er voor dat hackers geen weggetjes vinden in jouw applicatie.
Daarnaast vroeg of laat kom je op de koffie. Want er komt een dag dat Moodle niet meer zal werken of niet goed werkt, omdat de webbrowsers gewoon doorgaan. Of omdat je hostingspartij niet langer wenst verouderde server software te draaien, want tenslotte hebben zij ook een verantwoordelijkheid.
Als functioneel beheerder hanteer ik een protocol voor het uitvoeren van updates en upgrades. Daarnaast volg ik de berichtgevingen op het Moodle forum, zodat ik tijdig en adequaat kan schakelen als het nodig is. Uiteraard gaan we bedachtzaam om met het installeren van plugins. Zeker plugins die mogelijkheden hebben om data rapportages te maken. Op mijn website vind je meer informatie over hoe ik jouw kan helpen met het hosting en beheer van je leeromgeving.
Op de Moodle.com vind je meer informatie over wat Moodle HQ doet aan Moodle Veiligheid en Privacy.
Let op bij openbare plekken.
Nu zal het in deze Corona tijd wat minder voor de hand zijn, maar dan toch. Het is zo lekker om in het zonnetje of in een andere omgeving even te werken op je leeromgeving. Iedereen weet inmiddels wel dat het dan niet verstandig is om op een openbaar wifi netwerk te gaan zitten. Zelf gebruik ik zelfs als ik bij een klant bent, mijn eigen Mobiele hotspot sinds een paar jaar. Ja, mijn data bundel vind het niet altijd even leuk, maar het geeft mij een prettiger gevoel omdat ik het wel zelf in de hand heb.
Waar we minder bij stil staan is de zogenaamde sholder surfer. Even iemand die met je meekijkt. En zo snel een foto maakt van een pagina die je net bezocht waar de namen en e-mailadressen van je cursisten op staan.
De laatste tip: het vier ogen principe
Het klinkt heel knullig, maar toch is het soms de beste methode. Met het vier-ogen principe kun je een menselijke fout vaak sneller vinden, dan als je dit niet doet. Ik adviseer het vier-ogen principe altijd bij organisaties die werken met:
- Aangepaste rollen /rechten.
- LTI.
- Groepen.
In Moodle houdt het vier ogen principe indien dat je met minimaal 2 personen de instellingen van je cursus naloopt. En dat je op basis van steekproeven regelmatig testen uitvoert op verschillende rollen. Zo blijf je scherp of mogelijke onwenselijke situaties zijn, die kunnen leidde tot een datalek.