Wat als je ICT-systeem wordt gehackt? Het gebeurde bij ROC Mondriaan

Article type
Interview
Publicatiedatum
laptop wordt gehackt


Bij ROC Mondriaan werden in augustus van dit jaar 200.000 bestanden gestolen. Zoiets kan net zo goed in het po gebeuren – sterker nog: het gebeurt al. Hacken is big business, en schoolbesturen zijn verantwoordelijk voor de beveiliging van ICT. Hoe voorkom je een hack en wat doe je als het toch gebeurt? Hans Schutte en Marcel Kropmans van ROC Mondriaan vertellen hun verhaal. “Al snel wisten we: we betalen niks, geen bitcoin, geen euro.”

“In de nacht van zaterdag 21 augustus 2021 zag een ICT-medewerker vreemde bewegingen op het netwerk. Toen hij nog eens ging kijken wist hij: dit is niet goed. Hij schaalde de boel op en zondagochtend werd vastgesteld dat er sprake was van een enorme hack. Al onze systemen waren versleuteld, zoals dat heet. Potdicht, je kunt er niet meer bij. Dat gold voor alle 27 scholen.” Aan het woord is Hans Schutte, bestuursvoorzitter van ROC Mondriaan. 

Eén ding

De hack bij Mondriaan gebeurde precies een week voordat het onderwijs na de zomervakantie weer zou starten. Hans Schutte zat nog in het buitenland en voerde de eerste paar dagen crisisoverleg via telefoon en Teams. Zijn collega-bestuurder Harry de Bruijn nam de honneurs waar in Den Haag. Ook ICT-directeur van Mondriaan, Marcel Kropmans, was snel ter plaatse. “We hebben direct het forensisch ICT-bedrijf NFIR ingehuurd, aangifte gedaan bij de politie en de Autoriteit Persoonsgegevens (AP) op de hoogte gesteld.” 
 

We oefenen vaak crisissen, maar het gekke is: deze hadden we nog niet gedaan

Schutte: “We oefenen vaak crisissen, maar het gekke is: deze hadden we nog niet gedaan. Gelukkig heeft een gespecialiseerd bureau als NFIR (security specialist) een draaiboek klaarliggen. Daar hoort ook het betrekken van het ministerie van OCW en de inspectie bij, en natuurlijk de communicatie binnen en vanuit je eigen organisatie. Hoe doe je dat als de mail eruit ligt? Nou, dan activeer je dus al je app-groepen en daar doe je het de eerste dagen mee.” 

“Voor ons was maar één ding belangrijk: hoe krijgen we volgende week maandag het onderwijs aan de gang? En dat is wonderbaarlijk goed gegaan. Omdat Magister in de cloud staat, konden we via standalone computers bij klassenlijsten en dat soort zaken. Na een paar dagen hadden we de roosters, dus de basis stond vrij snel. Maar docenten moesten lesgeven zonder de gebruikelijke digitale hulpmiddelen! Dus terug naar pennen en schriftjes. En dan zie je hoeveel flexibiliteit en improvisatievermogen er is. Net als met corona krijg je een sfeer van: de vijand zit buiten, we zetten onze schouders eronder. Het was natuurlijk wel zuur dat deze nieuwe crisis net kwam toen we dachten dat corona wat minder was. Maar de organisatie heeft zich heel weerbaar getoond, dat was mooi om te zien.”

Dark web

Op de maandag na de hack stond er een crisismanagementteam en een dag later werd besloten dat het complete ICT-landschap opnieuw moest worden opgebouwd. Hergebruik zou te onveilig zijn. “Na de eerste schrik van ‘hoe krijgen we alles weer op de rails’ stap je een nieuwe wereld binnen: die van Russische cybercriminaliteit”, vertelt Schutte. “Via NFIR kregen we een mailtje binnen: ‘we hebben u gehackt, alles is versleuteld, wij eisen 100 bitcoins (€ 4 miljoen), te betalen binnen 7 dagen en we geven een korting van 10 procent als u eerder betaalt. Zo nee, dan zetten wij alle data op het dark web.’ Dat brengt enorme angst, want je weet dan nog niet welke data ze allemaal hebben. Ze zijn overal binnen geweest en wij krijgen een week om dat in kaart te brengen. Zitten daar heel privacygevoelige data tussen? Zorgdossiers van studenten, personeelsdossiers?” 
 

Voor het onderwijsveld is het belangrijk dat we niet betaald hebben, anders was een week later de volgende aan de beurt’

“Wij hebben samen met OCW en de inspectie en ook wel met de AP besproken wat nu wijsheid was. En daar kwam vrij snel de lijn uit van niet betalen. Daarbij zijn twee dingen van belang: hoe zit het met gevoelige informatie? Helaas zat die er bij Mondriaan  bij, maar gelukkig in beperkte mate. Én: hebben we goede back-ups waardoor we systemen weer in de lucht kunnen krijgen? Dat was het geval. Dus ja, na een paar weken stond inderdaad alles in één keer op het dark web. Heel vervelend voor de betrokkenen en voor ons een hoop gedoe! Maar voor het onderwijsveld is het erg belangrijk dat we niet betaald hebben. Want anders is een week later de volgende aan de beurt. Dit was ook de boodschap aan de media, die we in eerste instantie niets hadden verteld over losgeld. Maar toen we ermee naar buiten kwamen, kon iedereen het begrijpen: het gaat om vier miljoen euro belastinggeld.”

Strategie uitzetten

ROC Mondriaan was voor de hack al intensief bezig met informatiebeveiliging. Er werden hacktesten en penetration testen uitgevoerd, de accountant checkte jaarlijks het ICT-landschap, en in de benchmark van landelijke instellingen scoorde de school ‘gemiddeld plus’. Omdat ICT zo belangrijk werd gevonden, besloot de school dit voorjaar er een aparte dienst van te maken. Per 1 juli werd Marcel Kropmans aangesteld als directeur ICT. “Ik kreeg een wel heel bijzonder inwerkprogramma”, stelt deze droogjes. “In de eerste fase van een hack word je je stapsgewijs bewust van wat er aan de hand is. Daar moet je echt met elkaar doorheen. Niets werkt meer en als je aan koffie toe bent, blijkt dat ook voor de koffiemachine op te gaan. De afdeling ICT is in shock: mensen die altijd met hart voor de zaak bezig zijn, kunnen opeens niets anders meer dan afwachten.” 

“Dan kiest het crisisteam een strategie. Wij zijn op drie parallelle lijnen gaan sturen: ten eerste het forensisch onderzoek – een wat trager traject dat zorgvuldigheid vereist –, ten tweede de opbouw van het netwerk volgens de nieuwste beveiligingskaders en ten derde het belangrijkste: continuïteit van het onderwijs. En door alles heen lopen de ICT-vraagstukken op de korte termijn die je steeds tegenkomt.”

Het forensisch onderzoek brengt aan het licht welke systemen en servers zijn geraakt. Kropmans: “Heel vaak kan het onderzoeksbureau ook zien welke data zijn buitgemaakt. Ze lopen alle sporen na. Zo wisten wij precies welke informatie de hackers hadden gestolen.” Daaronder waren zo’n honderd kopieën van paspoorten. De eigenaren daarvan zijn gebeld en hebben een vergoeding gekregen voor de aanschaf van nieuwe documenten. Op de website van ROC Mondriaan staat alles rondom de hack duidelijk verwoord in vragen en antwoorden.

Het ha(c)kt erin

‘Hé meneer, kan die hack niet wat langer duren? We krijgen nu zulk leuk onderwijs’, riepen studenten. Maar de impact was heel groot, zeggen Schutte en Kropmans: wekenlang onderwijs zonder digitale hulpmiddelen. Na de herfstvakantie kregen de docenten weer ondersteuning met basis-ICT. Begin januari 2022 zal alles weer nagenoeg werken zoals voor de hack, maar dan met een veel betere beveiliging dan eerst. Dat kost ROC Mondriaan wel één tot anderhalf miljoen euro per jaar extra. 

Om alle onderwijsinstellingen naar dat niveau te tillen, zijn jaarlijks honderden miljoenen nodig. “Voor publiek-private organisaties is dat nieuw”, zegt Kropmans. “Maar er is geen keus, we moeten die kant op. Liever zouden we zoveel geld ergens anders aan besteden, maar gehackt worden kost onze studenten en de organisatie heel veel. Niet alleen geld, maar ook zorgen en inspanning. Daarom pleiten wij voor samen optrekken in de sector, samen uitgangspunten definiëren: zorgen dat hackers niet binnenkomen én de schade zoveel mogelijk beperken. Wetende dat dit nooit helemaal lukt, want de andere kant ontwikkelt ook door, wordt steeds slimmer. Je moet meebewegen en daarbij de afweging maken wat je als school zelf kunt doen en wat je beter bij een andere partij kunt afnemen omdat het niet je corebusiness is.”

Eind november leverde NFIR het eindrapport van de hack bij Mondriaan op, nu wikkelt  Autoriteit Persoonsgegevens het af. Op de scholen van ROC Mondriaan zijn grote stappen gezet, ook in de opbouw van de nieuwe systemen. Kropmans: “Daarbij hebben we meteen keuzes gemaakt, bijvoorbeeld om ons wachtwoordbeleid aan te scherpen met MFA (meerstapsverificatie, red.). Voor medewerkers hadden we dat al, maar nu hebben we het versneld ingevoerd voor studenten, ook al is dat ingewikkelder voor ze. Door deze crisis kregen we dergelijke veranderingen er makkelijker doorheen.”

Advies

Schutte raadt andere scholen  aan om te beginnen met het definiëren van een minimaal beveiligingsniveau waarin je alles doet om de schade te beperken. En dat jaarlijks te meten met een audit of benchmark. “Daarnaast vind ik dit thema zo belangrijk dat je ook op het niveau van de sector of misschien wel OCW een expertisecentrum moet neerzetten. Zodat een school direct kan beschikken over hulp om alles weer in de lucht te krijgen.”
 
Kropmans vult aan: “Weet wat je kroonjuwelen zijn. Wat heb je minimaal nodig om door te gaan? Denk aan leerlinggegevens en bepaalde organisatorische of financiële informatie. En zorg dat de back-ups goed geregeld zijn, zodat je snel operabel bent met een minimumvariant. Het helpt als je cloudapplicaties gebruikt die niet op je eigen servers staan, zoals LVS Magister. Maar hoe zit de koppeling daarvan met je eigen netwerk? Naar security-onderwerpen gaat vaak niet de eerste aandacht uit. Toch zouden we dit heel belangrijk moeten vinden, want het gaat om de continuïteit van je business. ICT is niet langer een onderdeeltje van, maar bevindt zich in het hart van je organisatie.”

‘Rare wereld’

Ook persoonlijk ervaren bestuurders de impact van een hack. Schutte dacht in eerste instantie: wat leven we in een rare wereld. “In Rusland word je niet vervolgd als je hackt. Ze verdienen er tientallen miljarden mee. Hoezo geld verdienen over de rug van kinderen, studenten of mensen in de zorg? Daarnaast was ik verrast door de veerkracht van onze organisatie. Tweeënhalfduizend mensen gaven die maandag gewoon les, met een stift voor het bord! We zijn er samen trots op en hadden gehoopt langer met dat gevoel door te kunnen gaan. De nieuwe corona-klap komt bij ons nu wel extra hard aan.”

Advies over ICT-verantwoordelijkheden van schoolbesturen


De PO-Raad en VO-raad zetten zich samen in voor technologie die bijdraagt aan onderwijskwaliteit. De Adviesgroep Regie op ICT, bestaande uit zeven bestuurders uit het primair en voortgezet onderwijs, is onderdeel van deze gezamenlijke aanpak. Privacy- en veiligheidsissues staan er hoog op de agenda. In de eerste helft van 2022 brengt de groep advies uit over waar schoolbesturen aan moeten voldoen wat betreft ICT. We vroegen twee leden van deze adviesgroep om een reactie op de hack bij ROC Mondriaan.

Tijmen Smit (Gooise Scholenfederatie, vo): ‘Er staan huizen in brand, maar we zien het niet’
“Het verhaal van Mondriaan maakt zichtbaar wat onzichtbaar is. Instellingen worden steeds vaker gehackt, huizen staan in brand, alleen wordt het niet als iets urgents ervaren omdat we het niet zien. Veel organisaties houden betaling van losgeld onder de pet. Ik ben blij dat dit openbaar wordt, dat maakt de urgentie helder. We kunnen veel leren van de aanbevelingen van Mondriaan. Zelf denk ik dat we ook kunnen kijken naar organisaties in andere sectoren, zoals gemeentes, die hierin gezamenlijk hebben opgetrokken en normen hebben bepaald. Het begint met bewustzijn. Dat is er bij het Rijk wel. Nu ook nog de middelen! Want je hebt het wel over een enorme kostentoename die nu niet in de lumpsum zit. Ik roep scholen op om dit verhaal serieus te nemen. Kijk binnen je organisatie wat je al kunt doen en ga snel aan de slag met een informatiebeveiligingsplan.”

Jan Kees Meindersma (De Groeiling, po): ‘Je bent verantwoordelijk voor de veiligheid van je leerlingen’
“Deze casus staat niet op zichzelf. Ik heb het onlangs hier dichtbij meegemaakt, bij Auris, een bestuur voor cluster 2-onderwijs in po en vo. Een hack heeft een grote impact op medewerkers en leerlingen. Grote schoolbesturen, met een grote omzet, zijn natuurlijk het eerste doelwit. Maar hackers zoeken net zo lang tot ze beet hebben, dus elk bestuur is een keer aan de beurt, daar kun je op wachten. Je bent kwetsbaar, zelfs al je een aardige ICT-staf hebt. In noodsituaties heb je acuut hulp nodig, want als school kun je dit niet alleen.” 

“Maar waar het echt om gaat is: hoe kun je dit voorkomen? Je bent verantwoordelijk voor de veiligheid van je leerlingen. Hoe beperk je de risico’s? Het komt aan op bewustwording bij je medewerkers. Welke veiligheidsmaatregelen heb je, hoe heb je de toegang geregeld, welke gegevens sla je op? Daar is nog winst te halen. Maar we kunnen alleen mét ondersteuning aan de eisen voldoen. Die ondersteuning kunnen we als sector met elkaar landelijk organiseren via SIVON (voor vo en po) en SURF (voor wo, hbo en mbo). Met geld van OCW.”