Van Engelshoven: ‘De mens blijft zwakke schakel in digitale veiligheid’

Van Engelshoven: ‘De mens blijft zwakke schakel in digitale veiligheid’

Laatst bijgewerkt: 6 juli 2020
Leestijd: 4 minuten, 4 seconden

Minister van Onderwijs, Cultuur en Wetenschap Ingrid van Engelshoven onderstreept de conclusies van de Inspectie voor het Onderwijs, die onderzoek verrichtte naar de ransomware-aanval op de Universiteit Maastricht. De casus laat volgens haar zien dat digitale weerbaarheid mensenwerk is. Zodoende is de mens de zwakke schakel in deze kwestie. Bewustwording van cyberdreigingen en het uitvoeren van cyberoefeningen staan dan ook bovenaan haar prioriteitenlijstje.

Dat schrijft de minister in een brief aan de Tweede Kamer.

Universiteit Maastricht

Wellicht weet je nog wel dat de Universiteit Maastricht eind vorig jaar het doelwit was van gewiekste cybercriminelen en hackers. Ze verstuurden diverse phishing e-mails met daarin malafide Excel-bestanden als bijlage. Toen medewerkers deze bestanden openden, installeerde de kwaadaardige software ransomware op de computers van de universiteit. Zo kregen de hackers toegang tot bestanden op het netwerk van de onderwijsinstelling. Door bijna 200.000 euro aan losgeld te betalen kregen studenten en academici weer toegang tot hun onderzoeksmateriaal en konden IT’ers de problemen weer herstellen.

Na afloop verrichtte de Inspectie van het Onderwijs onderzoek naar het voorval op de Universiteit Maastricht. Ze moest een antwoord formuleren op de vraag of de universiteit vooraf, tijdens en na de ransomware-aanval passende maatregelen had genomen om de voortgang van het onderwijs te waarborgen. De Inspectie schreef dat de Universiteit Maastricht onvoldoende was voorbereid op een cyberaanval. De afhandeling van de crisis daarentegen was wel goed. Ook heeft de onderwijsinstelling na afloop openlijk rekenschap afgelegd en lessen getrokken uit de aanval.

Minister Van Engelshoven onderschrijft de bevindingen van de Inspectie, zo schrijft ze aan de Tweede Kamer. Ook is ze te spreken over het feit dat de Universiteit Maastricht, alsook andere onderwijsinstellingen in Nederland, belangrijke stappen hebben gezet en maatregelen hebben genomen om de cyberweerbaarheid van de instelling te vergroten. In de brief licht ze een aantal in haar ogen belangrijke elementen uit.

Digitaal brevet

Het vergroten van het bewustzijn van cyberdreigingen heeft volgens de minister topprioriteit. Medewerkers en studenten moeten continu bewust worden gemaakt van deze gevaren. Van Engelshoven stelt duidelijk dat “honderd procent veiligheid in geen enkele sector realistisch is”. Het creëren van awareness en uitvoeren van cyberoefeningen zijn volgens de minister belangrijk. Dat geldt ook voor het informeren over onderwerpen als veilig werken op afstand, privacy en security en nieuwe digitale tools zoals videobellen.

De introductie van een digitaal brevet kan daar volgens de minister aan bijdragen. Daarmee worden studenten en medewerkers bijgespijkerd over digitale vaardigheden en het herkennen van cyberdreigingen. Niet alleen onderwijsinstellingen en het College van Bestuur, maar ook studentenorganisaties en -verenigingen staan hier positief over. Op welke termijn het digitaal brevet ingevoerd kan worden laat minister Van Engelshoven in het midden.

Voorbereiding

De minister wil dat hogescholen en universiteiten in de toekomst beter voorbereid zijn op scenario’s als in Maastricht. “Het zorgvuldig inrichten van risicomanagement is nodig om inzicht te krijgen in de risico’s en passende maatregelen te kunnen nemen om deze risico’s op kosteneffectieve wijze te mitigeren om zo de continuïteit van de primaire processen te waarborgen”, zo schrijft de minister. Participatie in de tweejaarlijkse SURFaudit, het inrichten van een Security Operations Center (SOC) voor 24/7 monitoring en aandacht voor ketensamenwerking zijn volgens Van Engelshoven goede initiatieven om het hoofd te bieden aan hackers en cybercriminelen. “Organisaties moeten ook tijdig kunnen beschikken over de juiste informatie om hun eigen verantwoordelijkheid op digitale beveiliging te kunnen nemen”, zo schrijft ze. “Dit incident bij de UM, maar ook het WRR advies over ‘digitale ontwrichting’ laat zien dat het noodzakelijk is om voor het thema cyberveiligheid rollen, verantwoordelijkheden en aanpak van alle betrokken partijen in kaart te brengen zodat effectief, efficiënt en veilig gehandeld kan worden.”

Ambitie

Volgens minister Van Engelshoven heeft de ransomware-aanval op de Universiteit Maastricht ook een positieve uitwerking: het heeft onderwijsinstellingen opnieuw doen beseffen hoe belangrijk informatiebeveiliging is. “Een veilige leer- en werkomgeving is een voorwaarde voor goed onderwijs, onderzoek en kennisdeling. Naast cyberveiligheid zijn er meer risico’s die een bedreiging vormen voor de continuïteit, integriteit en vertrouwelijkheid van onderwijs, onderzoek en kennisdeling”, zo lezen we in de brief. Daarom kijkt het kabinet in hoeverre aanvullende maatregelen wenselijk zijn om dit te realiseren. De Kamer wordt hierover in het najaar ingelicht.

Om een breed draagvlak te creëren voor een veilige leer- en werkomgeving moeten zowel interne als externe stakeholders betrokken worden (studenten, personeel, raden van toezicht, medezeggenschap, overheid, etc.). De minister is dan ook zeer te spreken over de openheid van de Universiteit Maastricht. De Inspectie gaat kijken in hoeverre andere onderwijsinstellingen zich een beeld kunnen vormen van mogelijke kwetsbaarheden op het terrein van cyberveiligheid en passende maatregelen kunnen nemen. “Mogelijk kunnen we de geleerde lessen ook vertalen naar de andere onderwijssectoren. Dit is in lijn met onze ambitie om als overheid een meer gecoördineerde aanpak te volgen om beter voorbereid te zijn op de gevolgen van een cyberaanval”, zo eindigt de minister haar brief.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen