Zijn persoonsgegevens veilig opgeslagen op MBO-instellingen, hogescholen en universiteiten?

Steeds vaker worden MBO-instellingen, hogescholen en universiteiten slachtoffer van grootschalige aanvallen van hackers. In drie gevallen die recent het nieuws haalden, de Universiteit van Maastricht, de Hogeschool van Arnhem en Nijmegen en het ROC Mondriaan, betrof het ransomware-aanvallen. Autoriteit Persoonsgegevens luidt de noodklok en heeft eind mei en begin november een brief naar minister voor Basis- en Voortgezet Onderwijs en Media, Arie Slob gestuurd. De toezichthouder maakt zich zorgen over de veiligheid van persoonsgegevens door de digitalisering van het onderwijs. Hoe veilig zijn deze persoonsgegevens opgeslagen en hoe gaan MBO-instellingen, hogescholen en universiteiten hiermee om?

Het typen op een computer

Waar ligt het probleem?

Voordat we naar het probleem van het lekken van de persoonsgegevens kijken, moeten we weten waar ze eigenlijk voor gebruikt worden. Persoonsgegevens zijn bedoeld om onderwijs beter te maken, met de cijfers kan je leerlingen extra onderwijs aanbieden en eventuele leerstoornissen opsporen. Job Vos, privacy-expert in het onderwijs, benadrukt dat ook: “De gegevens zijn er om te begeleiden en om te helpen, de gegevens kan je echter ook misbruiken. De meest voorkomende fouten gebeuren met mailen. Denk maar aan het verkeerd adresseren. Ook gaat het mis als je je wachtwoorden laat slingeren, waardoor mensen erbij kunnen. Als gegevens in verkeerde handen komen, dan kan er losgeld voor gevraagd worden.” Een medewerker van een hogeschool in Nederland, die liever anoniem wil blijven zegt het volgende: ‘’Data is over het algemeen niet heel boeiend. Het wordt pas interessant als je iemand kan chanteren, omdat er gevoelige informatie op een server staat.’’ Wat Job Vos zegt over het laten slingeren van wachtwoorden bevestigt de medewerker. ‘’De mens is per definitie de zwakste schakel. Iedereen heeft zijn eigen programma of toepassing waar hij of zij het liefste mee werkt. Het kan zijn dat die programma’s niet door de werkgever worden beveiligd. Er is geen duidelijk antwoord op het probleem het hangt van meerdere factoren samen.’’ Een probleem is dat het verkopen van data een businessmodel is geworden.

Als criminele hackers bij de gegevens komen, dan wordt er bijna altijd om geld gevraagd. Met je gegevens hebben ze onder andere geboortedatum, adres en BSN-nummer (bij middelbare scholen, hogescholen en universiteiten) te pakken. “Met die gegevens komen hackers heel ver bij het aanvragen van leningen en bijvoorbeeld het bestellen van pakketjes”, aldus Vos. “Maar dit is eigenlijk peanuts voor een hacker. Als ze het groter willen aanpakken, dan gaan ze voor het hacken van een database om vervolgens te dreigen dit te gaan lekken.” Dit is ook altijd een groot dilemma voor scholen: betaal ik het geld of ga ik voor een slechte reputatie, omdat de gegevens op straat gelekt zijn? Als organisatie of school is het altijd heel verleidelijk om voor het betalen te kiezen. Daarom zijn er nu ook heel veel incidenten; de scholen lijken een interessante melkkoe te zijn.’’

Tegen het hacken kun je weinig doen, vindt Vos. “Het grootste risico gaat om de bewustwording binnen je organisatie. Dat is een onderwerp waar we meer mee kunnen doen in het onderwijs en dat blijft echt liggen. Dat zijn dingen die je wel kunt oppakken”, aldus Job Vos. Tom Wolters, ethisch hacker, is het daar ook mee eens: “Als scholen bewustwordingstrainingen niet geven, dan is dat ook een extra risico. Dat is ook een extra uitdaging voor scholen, omdat ze te maken hebben met heel veel gebruikers die allerlei virussen kunnen meenemen.” Inmiddels wordt er op hogescholen veel gedaan op het gebied van de bewustwording te creëren. De vraag is of het wel genoeg doordringt. De hogeschoolmedewerker zegt dat het een hot topic is in het onderwijs. Op de hogeschool waar hij werkt zijn zij bezig om het bewustzijn te vergroten. ‘’Bij mijn huidige werkgever hebben we elke twee maanden een nieuwe campagne. Dat is de ene keer in de vorm van een presentatie, maar er zijn ook speciale games ontwikkelt. Eén keer hebben we zelf een phisingcampagne opgezet om te kijken wie er klikte. Ik denk alleen dat we een groot deel van de collega’s niet bereiken. Data is geen sexy onderwerp.’’ 

Ookal is data geen sexy onderwerp is het wel een onderwerp wat maatschappelijk meer draagkracht moet krijgen. Nederland namelijk is koploper als het gaat om ICT toe te passen in het onderwijs. Daarbij horen ook deze vraagstukken bij. In Nederland mogen onderwijsinstellingen zelf bepalen hoe zij cyberveiligheid toepassen, mits zij voldoen aan de leerdoelen die de overheid opstelt. Daar ligt ook een probleem wat Autoriteit Persoonsgegevens aangeeft in een paper, gepubliceerd op 4 november jongstleden. In het het paper dragen zij aanbevelingen aan de sector. Zo moet onder meer het bewustzijn groeien in alle lagen in het onderwijs, de systemen en documentatie geüpdatet blijven; en een functionaris gegevensbescherming worden aangenomen. De toezichthouder luidt de noodklok en heeft direct een brief gestuurd naar het ministerie van onderwijs. Job Vos: “We hebben veel innovatie kunnen toepassen in ons onderwijs en we lopen erg vooruit op het gebied van digitalisering. Onze afhankelijkheid van ICT maakt ook dat we heel snel aanlopen tegen problemen rondom informatiebeveiliging.” Volgens André Zandberg directeur dienst IT van Fontys Hogescholen is zijn school al langer bezig met het beter beveiligen van gegevens. Er gaat een aanzienlijk deel van het budget naar ICT-beveiliging. ‘’We kunnen alleen niet 100% garanderen dat je veilig bent.” Dit bevestigt ook de anonieme medewerker, ‘’De enige garantie die ik kan geven is dat je doodgaat. We doen wel ons uiterste best om een datalek te voorkomen, maar hackers ontwikkelen zich ook mee.’’

 

                                                                                     

Heb je wel eens nagedacht over de gevolgen van een datalek bij jou op school en wat dat voor jou zou betekenen?

                                                            

Enquête 

Uit een enquête met 172 deelnemende studenten blijkt dat minder dan tien procent het gevoel heeft dat zijn/haar persoonsgegevens onveilig zijn op school. Hoeveel waarde er gehecht moet worden aan de gevoelens van studenten valt te betwisten, immers wist slechts een kleine 18% van de deelnemers dat het vinden van een USB-stick met niet-versleutelde persoonsgegevens ook een datalek is. Ethisch hacker Tom Wolters: “het verbaast me dat er zo positief gedacht wordt over de veiligheid van de bescherming van persoonsgegevens. Dat lijkt op een soort naïviteit of onwetendheid, iets wat de uitslag van tweede vraag van de enquête duidelijk aantoont.” 

Bij de vraag over hoe veilig de studenten denken dat hun gegevens zijn, gaf 59% aan een 6-7 te geven. Deze cijfers hebben we voorgelegd aan ethische hacker Rick van Duijn. Na een kort overleg met zijn collega-hacker kwamen ze op de uitkomst dat ze het eens zijn over dit gemiddelde voor de hogescholen en universiteiten. “We sluiten ons hierbij aan.”

Slechts vijftien procent van de studenten zegt voorlichting te hebben gehad over cybersecurity op zijn/haar school, een zorgwekkende statistiek volgens de experts, die awareness-verhoging hoog aanschrijven. Een kleine vijftien procent van de studenten heeft wel eens nagedacht over de mogelijke gevolgen van een datalek op zijn/haar school, dit valt in het niet tegenover de resterende 143 studenten die er nog nooit over hebben nagedacht. Eén persoon gaf aan door deze enquête aangezet te zijn eens wat onderzoek te doen naar de cyberveiligheid op zijn/haar school. 

 

Een hack...

Tegen een hack kan weinig gedaan worden, stelt Job Vos. Dat heeft als reden, dat het makkelijk is voor een hacker, mits hij ervaren is, om een systeem binnen te komen. Ethisch hacker Tom Wolters legt uit: ‘’Het begint met de voorbereidingen, de zogeheten oriëntatiefase. Als ik een school gericht wil aanvallen, stel ik mezelf een aantal vragen. Op welke server zit de school, wat is hun digitale footprint en zijn er wachtwoorden gelekt van studenten en personeel.’’ Dit is stap 1. Daarna komt stap 2. Wolters: ‘’In stap 2 zoek ik naar ingangen om binnen te dringen. Als ik geen zwakheden in het systeem kan vinden kan ik altijd een phishing-campagne beginnen. Je verbaast je erover hoe vaak er mensen intrappen. Je hebt maar één persoon nodig die het invult om dan verder door te dringen in het systeem.’’ Dan komt de derde fase van een hack. ‘’Als stap 2 is gelukt is het zaak om hoger op de ladder te komen, dus bij een persoon die meer rechten heeft in het systeem. Het uiteindelijke doel is natuurlijk de rechten te krijgen die de beheerder ook heeft. Als dat is gelukt moet je er voor zorgen dat je je achterdeur dicht houdt. Mocht iemand zijn computer afsluiten moet ik er wel voor zorgen dat ik de verbinding houd met de server. Als de verbinding behouden blijft begint stap 4: het binnenhalen van data. Hackers proberen nu de back-ups op de server kapot te maken. Dit is stap 5’’, zegt Wolters. ‘’Als alle back-ups zijn verwijderd, dan bouwen de hackers het systeem op, zodat niemand anders er bij kan behalve de hackers. Daarna sturen ze een mail met uw servers zijn gegijzeld, u moet betalen om uw gegevens terug te krijgen.’’ Dit is in een notendop hoe een hack werkt.

“Ongeveer 99% van alle hacks zijn financieel gedreven.” Dat zegt Rik van Duijn, ethische hacker. “Spionage kan ook een motief zijn, maar het overgrote deel van dit soort dingen gaat echt om het geld.” Ook zijn er veel mensen die hobbyen, vertelt hij. “Er wordt meer gehobbyd in een school met een grote berg studenten, dan in het bedrijfsleven. Ik kan het nog herinneren uit mijn studententijd, we waren altijd aan het klieren op het schoolnetwerk.”

 

De oplossing

Het begint bij jezelf

Volgens Job Vos valt en staat het allemaal met basisbeveiliging. “Bijvoorbeeld bij inloggen, maak gebruik van een multifactor. Dat is een soort dubbele beveiliging van niet alleen een wachtwoord, maar ook een code.” Het bezwaar hiertegen is vaak dat mensen hun privé telefoon niet op het werk willen gebruiken. Om de noodzaak van deze beveiligingsmethode door te laten dringen moet er volgens Vos een ware cultuurverandering plaatsvinden. “Dat kost drie tot vijf jaar, maar uiteindelijk wordt je systeem zoveel veiliger ervan. Het is een kleine stap die een grote stap maakt in de beveiliging.” En dat er stappen gezet moeten worden, benadrukt ook Tom Wolters. “Gelukkig hebben de aanvallen op de Universiteit Maastricht en de HAN de awareness verhoogd. Toch vind ik dat ook de studenten nog te naïef denken over de mate van veiligheid van hun persoonsgegevens.” Dat studenten ook een belangrijke rol spelen als het aankomt op de veiligheid van hun eigen persoonsgegevens weet Jasper Bakker, techjournalist van AG Connect, treffend samen te vatten: “jij bent geen bewaker, maar als een deur openstaat is het toch wel handig als jij even denkt ‘hey, hier klopt iets niet, laat ik het even melden.’”

Intrinsieke motivatie

“Ik denk dat veel organisaties een datalek pas melden als ze denken ‘oeh dit kan wel eens in de krant komen, laten we dat maar voor zijn’,” vertelt Jan Martijn Broekhof, werkzaam bij cybersecurity bedrijf MD Guardian360.. Daarmee vraagt de privacy-expert hardop af of organisaties wel voldoende intrinsieke motivatie hebben om stappen te maken. Eva Kloosterman, woordvoerder van Vereniging Hogescholen, ondervindt dat Hogescholen cybersecurity serieus nemen. “Hogescholen werken erg hard om de cybersecurity te verbeteren. Zeker doordat de risico's en daarmee de gevolgen van een eventuele aanval toenemen, met name omdat wij sinds corona meer en meer afhankelijk zijn van de digitale systemen.”

Als het toch misgaat, moet je volgens Broekhof hopen dat de hackers niet via het studentennetwerk in het docentennetwerk kunnen komen, en via het docentennetwerk niet in het examen netwerk. Hiervoor is het belangrijk dat de netwerken goed afgebakend zijn van elkaar. “Helaas zien we dat bedrijven dit niet altijd even goed naleven. Het verbetert gelukkig wel. Soms denk ik ‘het moet vaker misgaan voordat het écht beter wordt.’'

Rapport Autoriteit Persoonsgegevens

4 november heeft de Autoriteit Persoonsgegevens een rapport uitgebracht waarin een aantal trends en oplossingen aan bod komen. Zo wordt er gesteld dat onderwijsinstellingen steeds meer gegevens van studenten ter beschikking hebben. Het voordeel hieraan is dat leerlingen persoonlijker begeleid kunnen worden, het nadeel is dat ‘verkeerde interpretatie of misbruik van deze gegevens’ op de loer ligt. Ook wordt er gesteld dat er niet meer informatie moet worden verstrekt dan noodzakelijk aan samenwerkingsverbanden van onderwijsinstellingen. Om dit uiteindelijk te realiseren moet ‘kennis en bewustzijn in alle lagen van het onderwijs’ verbeterd worden, volgens het rapport. Ook moet er bijvoorbeeld grootschaliger samengewerkt worden binnen de sector om kennis uit te wisselen over gegevensbescherming.

Budget

Om het probleem aan te pakken is eerste instantie een daarvoor toereikend budget nodig, zo benadrukt Jasper Bakker, Goede ICT-ers zijn ook van belang voor een organisatie, zij moeten immers zogeheten ‘patches’, digitale ‘gatendichters’, installeren. “Echter is het ook niet verstandig om elke patch blind te installeren, dit kan immers averechts werken,” aldus Bakker. Volgens Kloosterman worden de nodige stappen gezet. “Hogescholen werken erg hard om de cybersecurity te verbeteren. Zeker doordat de risico's en daarmee de gevolgen van een eventuele aanval toenemen, met name omdat wij sinds corona meer en meer afhankelijk zijn van de digitale systemen.” De hogescholen doen tweejaarlijks een bedrijfsinspectie en verbeteren zich op basis hiervan. Recente cyberaanvallen hebben volgens Kloosterman het besef verhoogd dat cybersecurity een belangrijk thema moet zijn wat betreft de Vereniging Hogescholen. Dat neemt in de ogen van de woordvoerder niet weg dat er altijd een risico zal blijven bestaan.

 Als het toch misgaat

Wat als hackers ransomware uitrollen? Moet je dan betalen of niet? De experts zijn het er niet unaniem over eens. “Je wil natuurlijk niet dat gevoelige gegevens verspreid worden, aan de andere kant wil je principieel ook geen losgeld betalen aan criminelen. Daarbij blijft het een crimineel, welke garantie heb je dat de crimineel zich aan zijn woord houdt?”, aldus techjournalist Bakker. Vos is wat stelliger: “Ik denk dat we nooit losgeld zouden moeten betalen, je houdt daarmee het businessmodel in stand. Als we met z’n allen afspreken dat we niet meer betalen, vervalt dit businessmodel voor de hackers.” Broekhof kan begrip opbrengen voor het betalen van losgeld. Ook hij geeft aan in eerste instantie alles eraan te doen om niet te betalen, echter heeft niet betalen soms een faillissement tot gevolg, met name voor mkb-organisaties. “Het ROC Mondriaan heeft ervoor gekozen om de hele server-omgeving opnieuw op te gaan bouwen, dat kost echt miljoenen euro’s. Als je dat niet hebt, dan is de keuze failliet gaan of betalen aan de hackers, dan snap ik wel dat mensen betalen,” besluit Broekhof.

Het ROC Mondriaan werd slachtoffer van een hack in eind augustus. De MBO-instelling had geen toegang meer tot haar systemen. Een week voordat de zomervakantie afgelopen was, moesten zij zich voorbereiden op het ontvangen van hun studenten. Een reconstructie, in samenwerking met Sabine Jimkes, communicatieadviseur van ROC Mondriaan en het ICT-team van de school.

Er werd intern geconstateerd dat er iets mis ging in het systeem. Na een onderzoek werd op 23 augustus duidelijk dat de school gehackt werd door Vice Society. Vice Society is een hackergroep die geld proberen te krijgen door het stelen van persoonsgegevens en andere gevoelige documenten. Er werd een bedrag van 4 miljoen euro gevraagd door de groep. Het ROC, in overleg met het Ministerie van Onderwijs, Cultuur en Wetenschap (OCW), besloot om dit bedrag niet te betalen. ROC Mondriaan realiseerde dat de systemen opnieuw moesten worden opgebouwd en dat de school dit ook zelf kon doen. Ook was het een prioriteit om het criminele systeem niet in stand te houden en daarom hun offer af te slaan. Er moest wel veel werk verzet worden om alles op te lossen. 

De focus was om de studenten niet het slachtoffer te laten worden van de hack en dat zij goed onderwijs krijgen. Een paar aanpassingen waren daarvoor nodig. “De pen is je nieuwe toetsenbord!”, werd er vaak gezegd op de school. Ze moesten terug naar de basis, aangezien er geen toegang was tot allerlei online systemen die voor lessen gebruikt werden. Een paniekgevoel was er niet bij de medewerkers. Wel was er de vraag hoe ze dit in vredesnaam moesten doen. De school spreekt over een trotsheid dat ze het elkaar hebben gekregen de snelle aanpassingen in te voeren.

Online werd er gesuggereerd dat er drie weken na het incident de slachtoffers een telefoontje kregen met het nieuws. De school vertelt dat dit niet het geval was. Zodra de kennis er was dat de gegevens gepubliceerd waren, heeft de school zijn medewerkers en studenten laten weten dat die grote hoeveelheid data was gelekt op het darkweb. Ook kan je er niet zomaar bijkomen via de systemen, omdat je het risico hebt dat je malware in huis haalt. Samen met een gespecialiseerd bedrijf zijn er analyses gemaakt in een veilige en gecontroleerde omgeving en op die manier werd er gekeken naar wat er precies gepubliceerd was en welke risico’s de mensen liepen. De prioriteit werd gegeven aan identiteitsbewijzen en kopieën van paspoorten. Die slachtoffers werden persoonlijk contacteert. Ook worden de identiteitsbewijzen vergoed door het ROC. Daarna werd de groep mensen met gevoelige informatie persoonlijk geïnformeerd. Het was dus een proces dat drie weken tijd kostte.

 

De school zit nu in de afrondende fase van het onderzoek naar de gepubliceerde data. Het opnieuw opbouwen van de systemen is iets waar de komende tijd nog aan gewerkt wordt. “We willen dat het veiliger wordt, dan dat het was”. Ook komt er geluid van de meeste studenten dat er geen gevoel van een crisis meer is. Er zijn zeker nog wat issues die opgelost moeten worden, maar het einde is in zicht. Een grote verandering die het ROC doorvoert is die van de multifactor (een tweestaps-verificatie om in te loggen). De afdeling ICT is zich bewust dat 100% veiligheid niet bestaat, maar ze werken hard om de beveiliging van de gegevens te verbeteren.

Conclusie 

Het antwoord op de hoofdvraag hoe veilig zijn persoonsgegevens van MBO-instellingen, hogescholen en universiteiten opgeslagen, is niet eenduidig. Een hack kan altijd gebeuren als de hacker kwaad in de zin heeft. Bewustwording creëren bij het bestuur, personeel en studenten is de voornaamste taak. Zo kan men er voor zorgen dat systemen en wachtwoorden minder snel gekraakt worden. Bewustwording leidt tot betere voorlichting aan de gebruikers. De gebruikers zorgen ervoor dat zij een moeilijker wachtwoord kiezen en alerter zijn op een eventuele phishing-campagne. Bovendien moet het bestuur bewust zijn van het veiligheidsrisico van het verliezen van data en dus zou cyberveiligheid een wekelijks onderwerp moeten zijn tijdens de vergadering. Daarnaast zouden onderwijsinstellingen aan bepaalde eisen moeten voldoen die worden opgesteld door het Ministerie van Onderwijs, zeggen experts. Je bent nooit 100% beschermd, maar probeer het zo moeilijk mogelijk te maken.

 
 

Autoriteit Persoonsgegevens (AP): De Nederlandse zelfstandige autoriteit die toezicht houdt op het verwerken van persoonsgegevens.

Awareness: Bewustwording (in dit geval bij mensen als het gaat om bewust omgaan met de risico’s van het internet)

Database: Online opslag van gegevens. 

Datalek: Gegevens van een organisatie, bedrijf of onderwijsinstelling die in handen komen van iemand die daar niet toe bevoegd is.

Digitale footprint: activiteiten uitgevoerd door persoon of instantie op het internet.

Ethisch hacker: Een hacker die beveiligingssystemen en netwerken test zonder kwade bedoelingen. Als ze een veiligheidslek aantreffen in systemen melden ze het daarna bij de bedrijven of instanties waarmee ze samenwerken. 

Hacker: Een persoon die binnendringt in een netwerk door de beveiliging te omzeilen. 

Malware: Kwaadaardige software die schadelijk kan zijn voor computersystemen.

Meldplicht datalekken: Organisaties zijn verplicht direct melding te doen bij de Autoriteit Persoonsgegevens als ze een datalek hebben. 

Phishing-mail: Bij phishing proberen criminelen door middel van het sturen van een e-mail slachtoffers naar een valse website te sturen, om daar gegevens of geld te stelen. 

Privacy-expert: Een privacy-expert brengt in kaart welke privacygevoelige gegevens een bedrijf beheert en welke risico’s dat met zich meebrengt. 

Ransomware: Dit is schadelijke software die computers en bestanden moet gijzelen. Dit gebeurt om instanties vervolgens onder druk te zetten.

Terminologie