Wat is het proces?

In elk softwarepakket worden regelmatig kwetsbaarheden en bugs gevonden. Het maakt niet uit of de software open source (bijv. Moodle) is of closed source (bijv. Microsoft). Om die reden komen er nieuwe versies (updates) uit die je moet installeren. Bij open source software zoals Moodle is de broncode toegankelijk voor iedereen en dat heeft voor- en nadelen. Grote voordeel is dat iedere ontwikkelaar fouten in de software kan vinden en hiervan melding kan doen. Dit kan gelijk ook een nadeel zijn omdat de informatie over de gevonden fouten publiek toegankelijk is.

Moodle Tracker

Voor het meest gebruikte LMS ter wereld worden alle meldingen geregistreerd in de Moodle tracker. Meldingen worden beoordeeld en indien nodig direct opgelost. De opgeloste meldingen worden gecommuniceerd via deze pagina. Aan dit proces zie je dat het veilig houden van open source software goed werkt. Met name door de bijdrage van de wereldwijde Moodle community en het Moodle Partner netwerk.

Beveiligingsbeleid van Moodle

Om de twee maanden brengt Moodle updates uit waarin kwetsbaarheden en bugs zijn opgelost. Dit schema van updates (minor releases) wordt strak opgevolgd. Je kunt dit zien in dit overzicht. Twee keer per jaar brengt Moodle een geheel nieuwe versie uit (major release) en in oktober mogen we Moodle 4.5 verwachten.

Wat moet je nu doen?

Wat je moet doen, hangt af wie verantwoordelijk is voor de hosting. Als Avetica weten wij wanneer de nieuwe updates beschikbaar komen. Zodra een update verschijnt, gaan wij direct aan de slag met het bijwerken van de vele Moodle sites die wij hosten voor onze klanten. Elke twee maanden wordt jouw site dus zo snel mogelijk van een update voorzien.

Eigen of externe hosting

Host jij zelf je eigen Moodle site, dan is ons advies om de updates snel te installeren. Is de hosting uitbesteed aan een externe partij, dan is het zaak om de opdracht te geven updates altijd zo snel mogelijk uit te voeren. Het kan geen kwaad om te informeren wat hieromtrent het beleid is van jouw partij.

Met welke versie werk ik nu?

In je eigen Moodle site kun je als beheerder altijd vinden met welke versie je werkt. Je ziet dat terug onder Sitebeheer – Server – Omgeving.

Geen updates voor oudere versies van Moodle

Is jouw Moodle versie 4.0, 3.11 of lager? Dan zijn er geen updates meer beschikbaar omdat deze versies de status ‘einde levensduur’ hebben. Enige mogelijkheid en dringend advies is om snel te upgraden naar een nieuwe Moodle versie.

Meer weten over veiligheid in Moodle?

Misschien een open deur, maar bij de veiligheid van Moodle gaat het niet alleen om de software zelf. De server(s) waarop dit open source LMS draait moeten ook voorzien worden van updates en beveiliging.

Is de organisatie die verantwoordelijk is voor de hosting goed ingericht op informatiebeveiliging en AVG? Avetica beschikt over de ISO-27001 certificering en een ISAE 3000 rapportage. Daarin gaan wij veel verder dan de meeste Moodle hosting providers. Met meer dan 1.300.000 gebruikers in onze Moodle sites willen wij deze veiligheid ook garanderen.

Het bericht Beveiligingsbeleid van Moodle werkt! verscheen eerst op Avetica.

Als Moodle Premium Partner hosten wij veel Moodle sites voor onze klanten uit veel verschillende sectoren. Sinds de coronapandemie is het aantal gebruikers hard gegroeid. Ook kiezen steeds meer organisaties uit Nederland en België voor Moodle Workplace als hun enterprise leermanagementsysteem. Dit heeft geleid tot een bijzondere mijlpaal. Als we de gebruikers uit alle Moodle sites die wij hosten optellen, komen we boven 1 miljoen gebruikers uit. Daar zijn we trots op!

Met grote aantallen komt grote verantwoordelijkheid

Bij Avetica zijn we ons zeer bewust dat het veilig hosten van Moodle een grote verantwoordelijkheid is. Onze klanten vertrouwen de hosting aan ons toe inclusief de verwerking van alle persoonsgegevens. Dat vergt een goede organisatie en de nodige certificaten. In 2015 namen we een kwaliteitsmanager aan. In 2017 volgde de certificaten van ISO 9001 en 27001 (informatiebeveiliging) en in 2020 hebben onafhankelijke IT-auditors bevestigd dat Avetica zich aantoonbaar aan de AVG houdt. Misschien zegt het je nog niets maar wij zijn op dit moment al bezig met de NIS2-richtlijn die op 17 oktober 2024 van kracht wordt. NIS2 is een richtlijn die tot doel heeft de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. We onderzoeken wat de impact van NIS2 is op Avetica en onze klanten.

Moodle gebruik wereldwijd

Ook wereldwijd stijgt het aantal Moodle gebruikers. Hoorde ik begin dit jaar nog een getal van rond de 360 miljoen gebruikers, op stats.moodle.org zie ik dat de 400 miljoen inmiddels is gepasseerd. En dit zijn alleen de sites die zich geregistreerd hebben. Het daadwerkelijk aantal gebruikers moet veel hoger liggen.

De statistieken van Moodle laten nog twee leuke feitjes zien. Er zijn meer toetsvragen in alle Moodle sites dan mensen op aarde. En er zijn 23 sites die per stuk meer dan 1 miljoen gebruikers hebben. De grootste Moodle site van Avetica heeft meer dan 100.000 gebruikers.

Moodle voor jou?

Als Moodle door zoveel organisaties en cursusontwikkelaars wordt gebruikt, waarom zou het dan niet ook voor jou werken? Wil je meer weten over het meest gebruikte LMS ter wereld? Lees dan alles over Moodle of vraag een demo aan.

Het bericht Wat een mijlpaal! Meer dan 1 miljoen Moodle gebruikers verscheen eerst op Avetica.

Om te voorkomen dat data van klanten op straat komt te liggen, worden er veel technische en organisatorische maatregelen genomen in een Information Security Management System (ISMS). Externe auditors controleren jaarlijks de werking van de informatiebeveiliging. Ook nu hebben wij het ISO 27001 certificaat behaald. Het toont aan dat Avetica een effectief ISMS heeft geïmplementeerd dat voldoet aan de hoogste normen. En die hoogste norm is versie ISO 27001:2022.

Vertrouwen

Ook toekomstige klanten moeten zien dat ze de Moodle hosting aan de Nederlandstalige Moodle Premium Partner kunnen toevertrouwen.

Certificeringen

Elke klant van Avetica mag het ISO 27001 certificaat opvragen zodat zij ook intern kunnen aantonen en afvinken dat hun leeromgeving veilig is.

De andere certificeringen en privacy-rapportages van Avetica kan je hier vinden.

Het bericht Opnieuw ISO 27001 certificaat voor informatiebeveiliging verscheen eerst op Avetica.

De laatste jaren is de focus op veiligheid en privacy sterk toegenomen. Uiteraard heeft de invoering van de AVG in mei 2018 daar flink aan bijgedragen. Ook in offertetrajecten en aanbestedingen wordt steeds vaker de vraag gesteld hoe wij omgaan met veiligheid en privacy. Een terechte vraag want ook wij vinden het een bijzonder belangrijk thema en willen niet dat data van onze klanten op straat komt te liggen. Twee hoofdvragen komen steeds terug: 

1. Hoe heeft de Moodle dienstverlener de veiligheid en privacy georganiseerd?
2. Hoe veilig is de applicatie (Moodle) zelf?

In deze blog wil ik ingaan op de veiligheidsmaatregelen die Moodle zelf heeft genomen. Voor ons als Avetica beperk ik mij tot het feit dat wij een ISO 27001 certificaat hebben en een ISAE 3000 type II rapportage. In een eerdere serie blogs lees je nog meer over de privacy en de informatiebeveiliging in Moodle.

Top 10 van OWASP

De stichting Open Web Application Security Project® (OWASP) heeft als missie de verbetering van de veiligheid van software. In 2013 hebben zij een eerste top 10 gepubliceerd van de grootste en meest voorkomende risico’s binnen webapplicaties. Eind 2017 is de lijst geactualiseerd. Deze top 10 is een belangrijk hulpmiddel voor webontwikkelaars om kwetsbaarheden te identificeren en te voorkomen.

De top 10 van bedreigingen

1. Injectie van commando’s
2. Authenticatie fouten
3. Kwetsbaarheid van gevoelige data
4. Externe XML-entiteiten
5. Falende controle op rollen en rechten
6. Configuratiefouten
7. Cross-site scripting (XSS)
8. Onveilige serialisatie
9. Software zoals libraries en frameworks met (bekende) kwetsbaarheden
10. Onvoldoende logging en monitoring

Voor een gemiddelde Moodelaar zijn de meeste punten abracadabra. Voor een Moodle software ontwikkelaar moet dit gesneden koek zijn. 

Wat doet Moodle?

Veiligheidsrisico’s beslaan een zeer breed gebied maar er zijn drie belangrijke onderwerpen die een goed overzicht geven van hoe Moodle dergelijke risico’s beperkt.

1. Inbedden van beveiliging in de ontwikkelingsprocessen

Het ontwikkelproces van Moodle software omvat meerdere stadia van peer reviewing en testen. Bij het testen wordt niet alleen gecontroleerd of de dingen werken zoals bedoeld, maar ook of er geen beveiligingslekken zijn ingeslopen tijdens de ontwikkeling. Dit is een van de gedocumenteerde punten van de checklist voor collegiale toetsing.

Zie de documentatie over informatiebeveiliging en het ontwikkelingsproces.

2. Informatie delen aan sitebeheerders van Moodle 

Moodle heeft uitgebreide documentatie  geschreven met aanbevelingen voor sitebeheerders om hun Moodle site veilig te configureren zodat beveiligingsrisico’s verminderd of geëlimineerd worden. 

Zie de documentatie met beveiligingsaanbevelingen en onze eerder genoemde serie blogs hierover.

3. Procedure omgaan met ontdekte risico’s en kwetsbaarheden 

Moodle heeft een uitgebreide set aan procedures opgesteld hoe ze omgaan met meldingen van beveiligingsproblemen. Belangrijk onderdeel is de Moodle Tracker waar alle meldingen centraal worden geregistreerd en waar de community van Moodle ook toegang toe heeft. Ook is er een speciaal formulier om beveiligingsprobleem te rapporteren.

Zie de documentatie over Vulnerability Disclosure Program van Moodle.

Moodle community

Elke applicatie bevat fouten en moet onderhouden worden en dat geldt ook voor Moodle. Het feit dat de applicatie open source is betekent dat alle ontwikkelaars wereldwijd alle code kunnen zien. Eventuele fouten en onveiligheden kunnen zo sneller ontdekt en gerapporteerd worden. Hierin zie je de kracht van de Moodle community.

Het bericht Hoe gaat Moodle om met OWASP top 10 bedreigingen? verscheen eerst op Avetica.

Sitebeheerders kunnen dit risico’s uitsluiten door bij de instellingen de optie EMBED en OBJECT tags toestaan uit te zetten. Met name bij oudere Moodle site blijkt deze instelling nog aan te staan.

Deelnemers kunnen nog altijd multimedia invoegen via het mediaplugin filter, dus daarvoor hoef je deze instelling niet aan te zetten.

De instelling EMBED en OBJECT tags toestaan kan je vinden via:

Sitebeheer | Veiligheid | Site reglement

https://moodlesite/admin/settings.php?section=sitepolicies

Het bericht Moodle Security (12): Pas op met embedden code door deelnemers verscheen eerst op Avetica.

Waarom zou je dit willen? Eigenlijk alleen voor marketingdoeleinden. Mensen die via de zoekmachine jouw cursus vinden, kunnen dan direct jouw cursus zien. En op basis daarvan besluiten om contact op te nemen of de cursus te kopen.

Waarom past dit onderwerp in deze serie blogs? Omdat je in cursussen ook persoongegevens zou kunnen zien. Bijvoorbeelden als het blok ‘Gebruikers online’ of een forum is toegevoegd. En dat mag niet meer zomaar in de nieuwe AVG.

De instelling Open voor Google kan je vinden via:

Sitebeheer | Veiligheid | Site reglement

https://moodlesite/admin/settings.php?section=sitepolicies

Het bericht Moodle Security (11): Open voor Google? verscheen eerst op Avetica.

Maar als je de titel van deze blog (nogmaals) leest, nemen we als Avetica duidelijk een stelling in, namelijk:

Alle Moodle sites moeten verplicht een SSL-certificaat hebben!!

Nu verplichten we onze klanten alleen een SSL-certificaat als er een koppeling is met een extern systeem zoals Coachview of een ADFS-server. De komende maanden gaan we alle Moodle sites uitrusten met SSL-certificaten. Of het SSL-certificaat met of zonder groene balk is, de gegevens worden beveiligd uitgewisseld. Dat is het belangrijkste.

SSL staat letterlijk voor Secure Sockets Layer wat betekent dat er een beveiligde laag geplaatst wordt tussen een server en een browser waardoor de gegevens beveiligd over het internet gaan. Maar er zijn meer redenen waarom je SSL-certificaat nodig en slim is:

• Google ‘bestraft’ de SEO scores van websites (dus ook Moodle sites) zonder SSL-certificaat door ze minder hoog in de zoekresultaten te plaatsen.
• De AVG verplicht je om de persoonsgegevens van je bezoekers te beveiligen.
• SSL biedt zichtbare beveiliging in de browser, waardoor je Moodle site vertrouwen uitstraalt.
• Bezoekers krijgen geen browser-waarschuwingen meer vanwege een onveilige verbinding of certificaat.

Let’s Encrypt
De SSL-certificaten van Let’s Encrypt verdienen speciale aandacht hier. Want deze zijn gratis!! Wel moet zo’n certificaat elke drie maanden vernieuwd worden en dit zijn dan ook de beheerkosten die een organisatie hieraan heeft.

Heb je nog geen SSL-certificaat op je Moodle site? Onderneem dan nu actie!! Klanten van Avetica mogen contact opnemen met onze afdeling Customer Services.

Het bericht Moodle Security (10): Verplicht een SSL-certificaat op elke Moodle site! verscheen eerst op Avetica.

Wat is het risico? Wanneer een cross-site-scripting-kwetsbaarheid aanwezig is, kan een aanvaller mogelijk onnodig data uit cookies achterhalen. En dat willen we niet en de oplossing is vrij simpel; Schakel de HttpOnly-cookie parameter in.

De instelling cookiehttponly kan je vinden via:

Sitebeheer | Veiligheid | HTTP Security

https://moodlesite/admin/settings.php?section=httpsecurity

Het bericht Moodle Security (9): Schakel HttpOnly-cookie parameter in verscheen eerst op Avetica.

Elke organisatie is wettelijk verplicht om haar klanten en bezoekers duidelijk te informeren over welke privacygevoelige gegevens verzameld worden en met welk doel. Ook als dat doel alleen maar is het vastleggen van hun gegevens in een klantenbestand.
De meeste organisaties lossen dit op door een privacyverklaring op hun site te plaatsen.

Binnen Moodle bestaat al jarenlang de instelling sitepolicy en sitepolicyguest. Ik denk dat dit onderscheid ondertussen niet meer nodig is, want in beide gevallen verwerk je gegevens. Voor een gast (zonder account) weet je uiteraard minder gegevens, maar het verwerken van gegevens blijft.

Op moodle.avetica.nl maken wij al sinds 2012 gebruik van een gebruikersovereenkomst bij het registeren van personen. De term gebruikersovereenkomst was toen als naam heel normaal. Nu wordt dit heel netjes een privacyverklaring genoemd.

De instellingen sitepolicy en sitepolicyguest kan je vinden via:

Sitebeheer | Veiligheid | Site reglement

https://moodlesite/admin/settings.php?section=sitepolicies

Je moet een privacyverklaring duidelijk op je site plaatsen. Zonder in te loggen moet deze al toegankelijk zijn. Binnen het registratieformulier van Moodle kan je de sitepolicy opnemen als link naar een document. Op deze manier kan je gebruikers laten afvinken dat ze akkoord gaan met de inhoud van het document. Of dit juridisch voldoende is als ‘expliciete toestemming’ durf ik niet te zeggen.

Een privacyverklaring zal in ieder geval de volgende onderwerpen moeten behandelen:

• Identiteit: Naam en adres van de organisatie en contactgegevens voor privacygerelateerde vragen.
• Doeleinden: Met welk doel worden persoonlijke gegevens verwerkt?
• Gebruik van cookies: Moodle gebruikt cookies (anders werkt Moodle niet goed). Leg uit wat u met de cookies doet (minimaal: cookies zijn nodig om mensen ingelogd te laten zijn).
• Nieuwsbrieven: Worden accountgegevens gebruikt voor nieuwsbrieven? Zorg dan voor expliciete toestemming en informatie over het afmelden.
• Inzage en correctie: Elke persoon heeft altijd recht op inzage in zijn/haar gegevens. Een verzoek tot correctie of verwijdering mag altijd gedaan worden door de persoon. Verwijdering van persoonsgegevens mag echter alleen als de gegevens niet meer relevant zijn.
• Beveiliging: welke technische en organisatorische maatregelen zijn genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Het bericht Moodle Security (8): Plaats een privacyverklaring verscheen eerst op Avetica.

Wat is het risico? Een aanvaller die in staat is zich tussen de browser en de webserver te plaatsen, kan de verzonden informatie uit de cookies onderscheppen wanneer deze in onversleutelde verbindingen wordt meegestuurd. En met een cookie die onderschept is, is de aanvaller direct ingelogd in Moodle.

De instelling cookiesecure kan je vinden via:

Sitebeheer | Veiligheid | HTTP Security

https://moodlesite/admin/settings.php?section=httpsecurity

Het bericht Moodle Security (7): Schakel Secure Cookiebeheer in verscheen eerst op Avetica.