Waarom Blackboard onveilig is en blijft

Maar er verschijnen alternatieven aan de horizon ...
09/11/2004
đź–‹: 

Blackboard (BB) is ondertussen een jaar in gebruik op de UA. Toch verliep de start dit academiejaar niet vlot, en ook de veiligheid van onze elektronische leeromgeving is niet bepaald in orde. Die algemene problemen en de vraag of alternatieven beter zijn legde dwars voor aan Filip Seuntjens, hoofd van de dienst E-campus op de UA.

BB is dit jaar vrij problematisch van start gegaan: de eerste week ondervonden veel studenten problemen met het inloggen, sommige paswoorden klopten gewoon niet. Wat is er foutgelopen?

Filip Seuntjens De inlogproblemen ontstonden bij de studentenadministratie waar de gegevens laattijdig of helemaal nog niet zijn verstuurd. Daarenboven zijn bissers en trissers heel laat in het systeem ingevoerd. BB is een centraal systeem dat communiceert met de omliggende databanken van de UA: de studentendatabank, de personeelsdatabank en de studiegidsen zodat het automatisch gevoed wordt vanuit de verschillende systemen. Gezien onze bijzonder kleine personeelsbezetting – twee en een halve fulltime krachten voor de hele associatie – is het zelfs onmogelijk om dingen manueel te doen, alles is geautomatiseerd.

 

We hebben de problemen opgevangen door stap voor stap uitleg te geven op de inlogpagina. Alle studenten die we hebben opgevangen, en dat waren er honderden, hebben we automatisch een mail met hun gebruikersnaam en paswoord opgestuurd. Maar het probleem is niet te miskennen; we moeten dit zeker bekijken voor volgend jaar, als iedereen vanaf 1 oktober moet kunnen inloggen zoals de proffen ook verwachten.

 

BB is volgens veel studenten traag. Is dat maar een indruk?

Seuntjens Het is meer dan dat. We bedienen vandaag 30 000 studenten over de hele Antwerpse Associatie. We hebben recent nog onze systemen versneld en in principe zou het nu beter en beter moeten gaan. We weten dat we daar stappen moeten zetten. Voorlopig is een structurele verbetering nog niet doorgevoerd omdat we vanuit onze cel alleen mogen aanbevelen, we mogen het niet echt doen en beslissen ook niet over de budgetten. Als de druk van onderuit groot genoeg wordt, komt dat wel in orde, wij hebben het voorbereidend werk alvast geleverd.

 

Studenten met keuzevakken moeten zich daar zelf voor inschrijven. De studenten van de lerarenopleiding worden door het departement Onderwijs ingeschreven voor de cursussen in plaats van omgekeerd. Zijn extra vakken een probleem?

Seuntjens Dat maakt deel uit van een nieuwe procedure die dit jaar vervangt wat we vorig jaar manueel en ad hoc deden. We krijgen namelijk niet van alle studenten het vakkenpakket door, alleen de studierichting en het studiejaar. Dat gaf ook problemen die inherent zijn aan de studiegidsen die pas op 20 september zijn opgeladen in BB, omdat we niet langer konden wachten. Daarna zijn er nog aanpassingen in de curricula gebeurd die we manueel hebben moeten doorvoeren. We hadden een systeem ontwikkeld waarbij de student die vakken die tot zijn of haar jaar behoren kon aanvinken. Het zou kunnen dat het systeem daardoor een beetje trager was, daar hebben we geen cijfers over. In elk geval is nu die vertraging door inschrijvingen ook minder, iedereen heeft zijn vakkenpakket wel samengesteld.

 

Als je surft naar BB zie je statistieken van het aantal unieke bezoekers, ongeveer 60%. Dat zijn 3 studenten op 5, is dat niet nogal weinig? Heeft de rest van de studenten dan problemen?

Seuntjens Dat percentage wordt berekend op basis van de 8 722 UA-studenten die in BB zitten. In dat getal zijn 900 Ă  1000 doctoraatsstudenten inbegrepen, en ook de voortgezette academische opleidingen die de elektronische leeromgeving helemaal niet gebruiken. Als je dat in rekening brengt kom je op ongeveer 80% uit. Je moet weten dat er bovendien richtingen zijn waarin ons systeem nog helemaal niet gebruikt wordt; BB is geen verplichting. Ik vind het al een enorm succes dat er zoveel studenten langskomen.

 

Veilig?

Bij inschrijving ontvingen alle studenten een nieuwe loginnaam met een extra cijfertje en een paswoord in nummerplaatvorm, 3 letters gevolgd door 3 cijfers. Veel studenten klagen nu al dat ze hun paswoord vergeten, waarom kan je je paswoord niet veranderen? De paswoorden volgens dat patroon hebben uiteindelijk "maar" 10 miljoen mogelijkheden wat na lange tijd wel te kraken valt (na een aantal mislukte pogingen wordt de account een tijd lang geblokkeerd). Waarom zulke veiligheidsrisico's nemen?

Seuntjens Dat ligt bij de cel Systemen, die heeft dat onderling met Netwerken zo beslist, dat was een procedure die al bestond, en ja... Eigenlijk zijn het wel bijzonder weinig mogelijkheden voor een paswoord. Je moet weten dat de IT binnen de UA is ingedeeld in hokjes: je hebt Systemen, Netwerken, E-campus en Studentenadministratie. Iedereen doet zelf wat hij of zij denkt dat het beste is. Input wordt niet gevraagd en ook niet verwacht, dus ik ga daar verder geen commentaar op geven.

 

Iedereen handelt naar eigen goeddunken. Input wordt niet gevraagd en ook niet verwacht. Geen verdere commentaar.

 

BB is een van de enige systemen op de UA die gebruikt maakt van http en niet van het geëncrypteerde https. Dat betekent dat in een computerklas iedereen je paswoord op een eenvoudige manier kan lezen, zonder daarvoor ingewikkelde hackerstechnieken toe te passen. Waarom gebruiken we geen https zoals bij de nieuwe webmail en andere applicaties, zeker als dat paswoord niet aan te passen valt?

Seuntjens Dat klopt. Wij, de dienst E-campus, zijn al twee jaar – sinds de testfase begonnen is â€“ vragende partij om https op onze servers te kunnen implementeren en om de nodige technische oplossingen te krijgen. Die moeten wij van die andere diensten krijgen en dat gebeurt niet.

 

Wie zou daar moeilijk over doen? Je zou toch verwachten dat veiligheid een prioriteit is?

Seuntjens (lachje) Ja ik ga mij daar ook niet over uitspreken. Wij hebben het probleem gesteld en daar eindigt ook onze verantwoordelijkheid.

 

Alternatieven

Blackboard is een Amerikaans bedrijf dat educatieve software verkoopt. Hoeveel kost het systeem nu eigenlijk?

Seuntjens Als je het in stukjes bekijkt betalen we voor de hele associatie een jaarlijkse licentie van 97 000 euro. Daar zitten tweeënhalve voltijdse krachten op van 25 000 euro per persoon. We willen overgaan op meerdere machines voor een sneller systeem en dat kost nog eens 50 à 60 000 euro. Je zou kunnen zeggen dat we alles samen aan 250 000 euro per jaar komen. Daar staat tegenover dat de hogescholen 100 000 euro per jaar geven en dat we 400 000 euro subsidie hebben gekregen van de Vlaamse Gemeenschap om op te starten. Als je de total cost of ownership bekijkt zitten we dus goed.

 

Vorig jaar is de VUB na een grondig onderzoek overgeschakeld van BB op Dokeos, dat ook door de UGent is gekozen als elektronische leeromgeving. Het verschil met Blackboard en andere commerciële oplossingen is dat Dokeos open source is. Dat houdt in dat de broncode, het recept voor het programma, vrij en gratis beschikbaar is voor iedereen. Mensen uit de hele wereld mogen open source software aanpassen en gratis gebruiken. Bekende successen zijn het gratis besturingssyteem Linux, de Microsoft Office vervanger Open Office en de populaire browser Firefox. Uit recente metingen blijkt dat meer dan de helft van alle websites op open source software draait en ook het bedrijfsleven kan dat principe smaken: grote namen als IBM en Dell ondersteunen open source actief.

 

Waarom heeft de UA gekozen voor BB? Zijn er bijvoorbeeld gebruikerstests gedaan zoals aan de VUB waarin gebruikers geconfronteerd worden met de systemen?

Seuntjens We hebben zelf geen gebruikerstests georganiseerd. Het moest snel gaan. Binnen een werkgroep hebben we verlanglijstjes opgesteld, we hebben heel duidelijk gespecifieerd welke functies aanwezig moesten zijn. We hebben geen eigen onderzoek gedaan, maar door goede contacten hebben we allerlei informatie verkregen van de Universiteiten van Leuven, Groningen en Leiden (die universiteiten gebruiken alledrie BB, nvdr.). BB voldeed aan alle eisen en had ook een heel groot marktaandeel. Dat was voor ons heel belangrijk: we hebben een link met de Associatie gelegd, de associatiepartners werkten allemaal al met BB. Het was heel eenvoudig om binnen de Associatie dit initiatief op te starten. Er is een groot contactnetwerk in Europa en zeker in de Benelux van BB gebruikers, het is heel eenvoudig om informele netwerken op te starten met collega's van het LUC, Maastricht, Groningen, enzovoort. We ontmoeten elkaar regelmatig en wisselen informatie en applicaties uit.

 

De VUB schrijft in haar migratiedocument over "de gesignaleerde tekortkomingen van het cursusgerichte en docentgestuurde Blackboard bij het vormgeven van interactief en competentiegericht onderwijs". Delta, onze leeromgeving, staat net voor competentiegericht onderwijs hoewel BB daar niet voor geschikt is?

Seuntjens BB is altijd heel duidelijk een middel geweest en geen onderwijsvisie. Het is zoals een bord, een overheadprojector en een beamer. Het is een heel flexibel middel dat mits enige creativiteit en opleiding van proffen wel competentiegericht onderwijs kan ondersteunen. Ik weet niet wat langer meegaat: onderwijsvisies of elektronische leeromgevingen. Een onderwijsvisie moet in het systeem in te passen zijn maar het systeem moet ook flexibel genoeg zijn, het mag niet te sturend gaan werken want dan ga je afremmen. We hebben heel de markt verkend, we hebben iedereen op bezoek gehad. Je hebt inderdaad prachtige producten zoals Dokeos maar ook Treeship in Nederland dat competentiegericht en collaboratief studeren ondersteunt. Maar ik wil ook een product waarover ik kan zeggen tegen een prof: kom naar een sessie van 9 tot 12 en je bent er mee weg. Als ik moet zeggen dat onze opleiding 3 weken duurt en je pas dan alles in de vingers hebt, dan komen er niemand. Ik denk dat proffen het zeker zien als een ondersteunend middel en dat de onderwijsvisie wel best inpasbaar is.

 

Blackboard is zoals een bord, een overheadprojector en een beamer.

 

Het nadeel van commerciële software, closed source, is dat je minder kan aanpassen. Dokeos is open source dus je kan alles naar hartelust aanpassen.

Seuntjens De VUB heeft heel duidelijk een volledige politiek rond open source, de UA heeft dat niet en dat is een heel verschil. Mijn persoonlijke visie is dat het moet werken, we moeten gewoon afwegen wat we nodig hebben tegen wat het product ons biedt. Wij zitten ook met een beperkte mankracht, hier werkt Ă©Ă©n echte IT'er voor het systeem. Ter vergelijking: op de VUB hebben ze daarvoor 8 personeelsleden, bij Dokeos werken 5 mensen.

 

Is het dan niet eens tijd om op Vlaams niveau de krachten te bundelen?

Seuntjens (direct) Nee. Waar wij wel echt nood aan hebben is een SURForganisatie zoals in Nederland, die massa's middelen heeft, veel kennis opbouwt Ă©n deals sluit met verkopers. (Stichting SURF is een Nederlandse samenwerkingsorganisatie van het hoger onderwijs voor onderzoek op het gebied van netwerkdienstverlening en ICT, nvdr.) Dat hebben wij niet, de VlIR voelt zich daar niet toe geroepen. Wat wij dus soms doen is ons wagonnetje aan de trein van Nederland aanhaken.

 

We hebben twee jaar geleden gekozen voor het Blackboard-pad. Ik ben er van overtuigd dat je, eens je een zo belangrijke beslissing neemt, er ook mee door moet gaan. We moeten de ingeslagen weg volgen, dat zijn we ook verplicht naar de associatie toe. Dokeos is ok, maar niet op korte termijn. Er is enerzijds geen principiële beleidslijn richting open source, anderzijds maak je een keuze en weet je dat daar kinderziektes mee gepaard gaan. Maar je laat bij tegenslagen het hoofd niet hangen, je probeert het potentieel ten volle te benutten. Een overschakeling is ook heel moeilijk te verkopen aan de docenten. Er zitten er nu zo veel op, we kunnen niet even zeggen “mannekes, morgen veranderen we en het nieuwe pakket is helemaal anders”. De buy-in die nu gebeurd is kan je niet elke 2 jaar herhalen.

 

 

Met dank aan de Schone Slaapster van de UGent voor de afbeeldingen van Dokeos.