Hackers eisen vier miljoen euro van ROC Mondriaan

Hacker met een telefoon aan zijn oor zit achter zijn computer

ROC Mondriaan is het slachtoffer geworden van een ransomware-aanval. Daarbij hebben de hackers een flinke som losgeld gevraagd. De school bevestigt tegenover de NOS dat de aanvallers vier miljoen euro aan losgeld vroegen. De scholengemeenschap heeft het bedrag niet betaald. In hoeverre de aanval met gijzelsoftware tot leerachterstanden heeft geleid en welke kosten daarmee gemoeid zijn, kan de onderwijsminister op dit moment nog niet zeggen.

Dat schrijft demissionair minister van Onderwijs, Cultuur en Wetenschap Ingrid van Engelshoven in antwoord op schriftelijke vragen van Zohair El Yassini en Queeny Rajkowski (beiden VVD) aan de Tweede Kamer.

ROC Mondriaan doelwit van hackers

Afgelopen maand was ROC Mondriaan het doelwit van een cyberaanval. Hackers slaagden erin om toegang te krijgen tot de computersystemen van de scholengemeenschap. Hierdoor zijn tot op heden educatie- en studieapplicaties niet beschikbaar. Ook werden er vertrouwelijke gegevens gestolen, waaronder persoonsgegevens van docenten en studenten, e-mails aan ouders, klassenlijsten en klachtafhandelingen, financiële gegevens en bedrijfsprotocollen van de school. Dat weten we omdat deze data vorige week door de hackers online is gezet.

Cybersecuritybedrijf NFIR onderzoekt nog steeds de aanval. Beveiligingsexperts proberen te achterhalen hoe de hackers de computersystemen zijn binnengedrongen en welke gegevens ze hebben ingezien of gestolen. De scholengemeenschap heeft het incident gemeld bij de Autoriteit Persoonsgegevens. Tevens is er aangifte gedaan bij de politie. Naar verwachting zal het nog enkele weken duren voordat alle systemen weer online zijn.

Hackers eisen vier miljoen euro

Omwille van het onderzoek heeft ROC Mondriaan bewust niet veel details over de cyberaanval prijsgegeven. Dat was voor de Tweede Kamer aanleiding om minister Van Engelshoven van Onderwijs het vuur aan de schenen te leggen. D66 en de VVD dienden verschillende schriftelijke vragen in over de kwestie. Van Engelshoven heeft de vragen van de liberalen inmiddels beantwoord.

De minister bevestigt wat al lange tijd werd vermoed: een ransomware-aanval heeft ROC Mondriaan platgelegd. Gijzelsoftware stopt dan vertrouwelijke gegevens en andere gegevens achter slot en grendel. Ook sturen de aanvallers deze informatie door naar zichzelf. Om weer toegang te krijgen tot deze data, moet het slachtoffer losgeld betalen. Vaak dreigen de aanvallers de buitgemaakte gegevens online te zetten als het slachtoffer niet op korte termijn betaalt. Als het geld eenmaal naar de daders is overgemaakt, overhandigen ze de decryptor of decoderingssleutel. Daarmee is het digitale slot te verwijderen.

Minister Van Engelshoven vertelt dat de scholengemeenschap geen losgeld heeft betaald aan de hackers. Ze benadrukt dat dit het uitgangspunt van het kabinet is: er mag geen geld naar criminelen toe vloeien. Hoeveel losgeld de hackers vroegen wil de bewindsvrouw niet zeggen. Hans Schutte, voorzitter van het College van Bestuur, heeft tegenover de NOS bevestigd dat de daders vier miljoen euro eisten.

Informatiebeveiliging is afgelopen jaar toegenomen

De VVD vroeg of er sprake was van een datalek en of het personeel en studenten hierover zijn geïnformeerd. Op die vraag kan minister Van Engelshoven nog geen antwoord geven. Cybersecuritybedrijf NFIR onderzoekt nog steeds welke informatie precies is gestolen door de hackers. Zodra ROC Mondriaan het antwoord heeft op deze vraag, worden studenten, cursisten en medewerkers zo snel mogelijk hiervan op de hoogte gebracht.

Van Engelshoven bevestigt dat ROC Mondriaan contact heeft gezocht en hulp krijgt van het sectorale Computer Emergency Response Team SURFcert. Tevens is er regelmatig contact geweest met de Autoriteit Persoonsgegevens (AP). Het incident is direct gemeld bij de toezichthouder. Op vrijdag 4 en dinsdag 14 september is wederom contact geweest met de privacywaakhond om haar bij te praten over de laatste stand van zaken. Daarbij is afgesproken dat de scholengemeenschap de AP informeert zodra er meer relevante informatie beschikbaar is.

Vragen over het volwassenheidsniveau van de informatiebeveiliging op ROC Mondriaan houdt de minister enigszins af, omdat de scores van benchmark IBP-E niet openbaar zijn. “Ik kan dan ook geen uitspraken doen over de scores van individuele instellingen”, aldus Van Engelshoven. In algemene zin kan ze wel zeggen dat het volwassenheidsniveau van benchmark IBP-E tussen 2018 en 2020 is gegroeid van een 2,4 naar 2,8.

De meetlat van benchmark IBP-E loopt van 1 tot en met 5. Hoe hoger deze score, des te beter het is gesteld met de informatiebeveiliging van een instelling. Een score van 3 is de ambitie van het kabinet: dat beschouwt ze als een goede balans tussen kosten en baten van de informatiebeveiliging.

Gevolgen van ransomware-aanval nog onduidelijk

Of er door de ransomware-aanval studenten zijn die een leerachterstand oplopen of hebben opgelopen, kan minister Van Engelshoven niet zeggen. Daarvoor is het volgens haar nog te vroeg. “ROC Mondriaan zet alles op alles om er voor te zorgen dat het onderwijs zo goed mogelijk door gaat”, schrijft de minister. Om dit te bereiken worden onder meer examens bij andere onderwijsinstellingen afgenomen.

Over de schade van de aanval kan ze eveneens nog geen uitspraken doen. ROC Mondriaan is op dit moment nog druk bezig met herstelwerkzaamheden. Pas als deze achter de rug zijn, weten we meer over de kosten die de ransomware-aanval met zich heeft meegebracht.

Hoger onderwijs niet in staat om vuist te vormen tegen cyberaanvallen

De Inspectie van het Onderwijs publiceerde vorige week een rapport over de digitale weerbaarheid in het hoger onderwijs. Daarin constateerde de dienst dat hogescholen en universiteiten meer aandacht schenken aan informatiebeveiliging. De extra aandacht is echter nog onvoldoende om cyberaanvallen en datadiefstallen af te slaan.

In het rapport somde de Inspectie verschillende aanbevelingen op hoe het hoger onderwijs haar digitale weerbaarheid kan verbeteren. Zo moet digitale veiligheid onderdeel uitmaken van het risicomanagement, moeten onderwijsinstellingen hun krachten bundelen en dient de overheid de regie te nemen in de beleidsvorming en toezicht op het gebied van digitale weerbaarheid bij het hoger onderwijs.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen