+31 341 4343 17 info@tmdi.nl

Fraude in het onderwijs ontdekt – een voorbeeld uit de praktijk

De Zero Trust Identity oplossing van TMDi is gebaseerd op Sentinel van Micro Focus. Sentinel is ontwikkeld voor de grote organisaties. Denk hierbij aan creditcardmaatschappijen, banken, politie en justitie. De vraag die wij bij TMDi regelmatig krijgen is of een oplossing als Sentinel wel past binnen het onderwijs. ‘Is het niet te groot?’ Of ‘is het wel specifiek genoeg?’

Compliancy in het onderwijs – een goed idee!

De eerste vraag is gemakkelijk te beantwoorden. Micro Focus heeft een speciale licentie voor onderwijsinstellingen, waarbij er een (klein) bedrag per medewerker per jaar betaald wordt voor het gebruik van Sentinel. Dit is alleen van toepassing op medewerkers, leerlingen tellen niet mee.

Hierdoor heb je als onderwijsinstelling voor een paar duizend euro (letterlijk!) een ongelofelijk krachtig product. Als je dat af zet tegen oplossingen zoals Splunk – waarvan de basis installatie gratis is, maar je betaald per MB storage – dan zal Sentinel vrijwel altijd goedkoper zijn. Een krachtiger product en goedkoper, een ‘no brainer’.

Zet je het af tegen de andere grote compliancy oplossingen met vergelijkbare functies, zoals HP Arcsight – wat trouwens ook een Micro Focus product is tegenwoordig – dan vallen de kosten van Sentinel in het niet, waardoor het wederom de beste keuze is!

Is Sentinel specifiek genoeg?

Maar is het dan wel specifiek genoeg voor het onderwijs? Een verzekeraar bijvoorbeeld, heeft deels dezelfde compliancy wensen en eisen – zoals controleren wie wanneer ingelogd is & wat ze doen – maar heel veel is ook anders.

Het antwoord is simpel. Sentinel is een platform:

  • waaraan veel andere systemen gekoppeld kunnen worden;
  • waarin log informatie verzameld kan worden ;
  • wat informatie kan normaliseren;
  • wat op basis van deze informatie meldingen kan versturen. ;

Dat maakt het ook specifiek voor het onderwijs een zeer goede match. In trainingen vat ik het als volgt samen: “Het maakt ons niet uit wat voor systeem het is, als we de log informatie maar op een of andere manier kunnen ontvangen”.

Datalekken

Sinds de invoering van de AVG is Sentinel een van de middelen om bij een datalek aan te kunnen tonen dat ‘al het redelijke’ is gedaan om data te beschermen. Ook kan Sentinel na een datalek goed gebruikt worden om forensisch onderzoek te doen naar de omvang van het datalek. Zijn er een paar leerlingen getroffen of is het de hele school?

Dat geldt dus ook voor onderwijs specifieke applicaties. Deze applicaties worden niet out of the box ondersteund door Sentinel. Echter kunnen we collector scripts maken die Sentinel vertellen hoe data van onze (onderwijs) applicatie geïnterpreteerd moet worden.

Deze collector scripts worden gemaakt in Javascript, waarbij de Sentinel SDK het meest vervelende werk doet. Vrijwel in alle gevallen komt het maken van een Collector neer op het bepalen welk deel van een “native” log event waar in Sentinel geplaatst moet worden. Soms moet de waarde ook nog worden aangepast zodat het qua notatie klopt met wat Sentinel verwacht, meer effectief is het allemaal vooral schuiven met data.

Op deze manier kunnen we dus onderwijs specifieke applicaties wel degelijk als bron gebruiken voor Sentinel en zodra het binnen Sentinel opgeslagen is wordt het echt leuk! Het wordt bijvoorbeeld ineens heel eenvoudig om rapportages te maken waarin je laat zien welke studenten in de afgelopen week van opleiding zijn veranderd.

Sentinel ontdekt fraude in het onderwijs: een real-life case

Ik heb een heel goed voorbeeld dat specifiek is voor het onderwijs en waarbij we een fraudeur hebben kunnen betrappen. Een van de complexere functionaliteiten van Sentinel is namelijk business intelligence (BI). Een Big Data analyse tool welke afwijkingen ten opzichte van ‘normaal’ probeert te ontdekken. Je kunt daarbij denken aan situaties waarbij het normaal is als er iedere dag tussen 8:00 en 9:00 uur 1500 mensen inloggen & de BI engine een waarschuwing verzendt als dat vandaag opeens 95.000 mensen zijn (of maar 15 – dat is namelijk net zo gek).

De case

Bij een klant van ons, een onderwijsinstelling, hebben we Sentinel geïnstalleerd en was onder andere de cijfer administratie gekoppeld via een collector script. Speciaal voor dat ontwikkeld.

Als je bedenkt wat een cijfer administratie moet doen is dat eigenlijk heel eenvoudig. Een klas maakt een toets. De docent beoordeelt de toets en voert de cijfers in via de applicatie. Echter hebben studenten vaak nog de mogelijkheid om hun werk in te zien en er puntjes bij te sprokkelen. Persoonlijk zou ik echt niet weten hoe vaak ik zelf op deze manier van een ‘net onvoldoende’ een ‘net voldoende’ heb kunnen maken. Het heeft mijn schoolperiode een stuk makkelijker gemaakt in ieder geval, maar dat terzijde.

Na een correctieronde worden sommige cijfers aangepast en daarna worden ze een keer gebruikt om een rapport te maken. Uiteraard is zo’n cijfer applicatie beschermd. In dit geval – en ook in de meeste andere gevallen waar specifieke software voor een relatief kleine groep gebruikers wordt gemaakt – was de enige optie username & wachtwoord.

Sentinel detecteert fraude

De BI interface van Sentinel reageerde op een gegeven moment op twee afwijkende gebeurtenissen.

  • Er werden cijfers aangepast voor verschillende toetsen van dezelfde leerling (waarbij normaal is dat cijfers voor verschillende leerlingen voor dezelfde toets worden aangepast);
  • Het moment waarop dat gebeurde (donderdagavond om 22:45 uur) was afwijkend.

Sentinel geeft geen waardeoordeel aan deze acties, maar meldt slechts dat dit anders is dan gebruikelijk. Een mail werd verstuurd naar de beheerder.

Op basis van deze gegevens konden wij al redelijk inschatten wat er aan de hand was, maar voor de zekerheid werd de betreffende docent gevraagd of bovenstaand verhaal klopte. Surprise, surprise: het klopte niet.

Wat is er dan wel gebeurd? Waarschijnlijk heeft de leerling in kwestie met zijn of haar telefoon de docent gefilmd tijdens het inloggen en zo het wachtwoord achterhaald. Vervolgens heeft de leerling op donderdagavond ingelogd via het wifi netwerk door naast het gebouw te gaan staan – wat op zich al niet heel veilig is, maar dat is een ander verhaal. Daarna heeft de leerling ingelogd in de cijfer applicatie met de username en het wachtwoord van de docent. Username en wachtwoord klopte, dus de app was blij en daarna wijzigde de ‘docent’ cijfers wat hij volgens de app ook inderdaad zou mogen doen.

Zonder Sentinel – die de acties en het tijdstip als afwijkend bestempelde – was dit waarschijnlijk niet gelukt. Nu resulteerde het in iemand die de rest van het jaar niet meer welkom was. Een mooiere specifieke onderwijs toepassing van Sentinel is denk ik niet te bedenken.

Kom in gesprek!

Wil je meer informatie hierover of in een gesprek bekijken of Sentinel iets is voor jouw organisatie of onderwijsinstelling is? Neem contact met ons op via d.dirks@tmdi.nl of 0341-434317.