Back to list All Articles Archives Search RSS Terug naar lijst Alle artikelen Archieven Zoek RSS

Onderwijsinspectie heeft begrip voor betaling losgeld UM

Onderwijsinspectie heeft begrip voor betaling losgeld UM

Rapport Onderwijsinspectie

MAASTRICHT. De Inspectie van het Onderwijs is tevreden over het optreden van de Universiteit Maastricht na de cyberaanval, vorig jaar december. Alles was gericht op de voortgang van het onderwijs na de kerstperiode, schrijft ze in een rapport dat afgelopen vrijdag verscheen. Het college van bestuur heeft “weloverwogen beslissingen” genomen. Daarmee billijkt de Inspectie de betaling van losgeld door de UM. Niettemin heeft de hack wel drastischere gevolgen gehad dan nodig. De universiteit had beter voorbereid kunnen zijn, de beveiliging was niet op orde.

Hoewel de Universiteit Maastricht nu alweer weken een tweede crisis probeert te beteugelen, die van de pandemie, moet informatiebeveiliging hoog op de agenda blijven staan. Maastrichtse ICT-medewerkers vertellen in gesprekken met de Onderwijsinspectie dat het nu het moment is “om door te pakken”. Het gevaar bestaat dat de “UM-gemeenschap terugvalt en te weinig lessen trekt”, staat er in het rapport. Er moet meer aandacht zijn voor details, blijvend zicht op aanwezige en nieuwe IT-systemen, een betere inrichting van de controle (audit) en periodieke testen op zwakke plekken, luidt de opsomming. Belangrijke vraag daarbij: is er genoeg draagvlak? Vinden staf, studenten en het college van bestuur het thema belangrijk genoeg om erin te investeren? Dat moet de komende tijd blijken.

De Inspectie besloot tot een eigen onderzoek (zoals voorgeschreven in de Wet op het onderwijstoezicht) om uit te vinden of “het handelen van de Universiteit Maastricht vooraf, tijdens en na afloop van de cyberaanval” duidt op wanbeheer. Nee, is het antwoord. “Ook voor de aanval was er al aandacht voor cyberweerbaarheid, de respons op het incident was daadkrachtig en de UM implementeert de eerste getrokken lessen adequaat.”

Veel informatie over de cyberhack was al bekend of is verder toegelicht door de UM tijdens een speciaal symposium afgelopen februari, dus in die zin staan er in het rapport geen verrassingen. De buitenwereld weet al hoe het heeft kunnen gebeuren (twee medewerkers klikten afzonderlijk op linkjes in phishing e-mails in oktober) en dat er dertig bitcoins aan ‘losgeld’ is betaald om de ‘sleutel’ terug te krijgen. Andere scenario’s zouden veel meer impact hebben op de voortgang van het onderwijs en onderzoek en bovendien duurder uitvallen, meldden bestuurders destijds.
Op de vraag hoe het met de beveiliging zat, zei Nick Bos, vicevoorzitter van het college van bestuur, dat er geen aanwijzingen waren dat Maastricht slechter was beveiligd dan zusterinstellingen in de rest van het land. “We waren kwetsbaar, zoals zo veel organisaties”, vertelde Bos, maar dat wil niet zeggen dat de beveiliging “onvoldoende op orde was”.

Daar denkt de Onderwijsinspectie anders over. De informatiebeveiliging had beter gemoeten. De IT-infrastructuur kende, net als de organisatie van de UM, “een aantal zwakheden”. “Bij een aantal servers in het netwerk waren de laatste beveiligingsupdates niet uitgevoerd en er was beperkte segmentatie binnen het UM-netwerk.” Bovendien was de monitoring “gebrekkig, waardoor geen opvolging werd gegeven aan meldingen van een virusscanner die uiteindelijk door de hackers handmatig is uitgeschakeld”, staat er in het rapport, verwijzend naar een analyse van cybersecuritybedrijf Fox-IT.

Over de acties na de daadwerkelijke ransomware aanval op 23 december is de Inspectie wel positief, en impliciet dus ook over de betaling van ‘losgeld’ aan de cybercriminelen. Een opmerkelijke stellingname, omdat losgeldbetaling in dit soort situaties als onwenselijk wordt beschouwd. Dat is de algemene lijn van de overheid, stelt de Inspectie in het rapport. Dat de UM daarvan is afgeweken, heeft zelfs tot vragen in de Tweede Kamer geleid. Toch is er in het rapport begrip voor die keuze. De situatie in december was volgens de Inspectie te “complex”. In bedekte termen billijkt ze de keuze van het college van bestuur: “De crisisafhandeling was adequaat.” De UM had geen andere “meer passende maatregelen” kunnen nemen, het college van bestuur stond met de rug tegen de muur. Onderwijs en onderzoek hadden in andere scenario’s weken tot maanden platgelegen. En zouden de systemen en data ongeschonden zijn gebleven als men de ‘decryptiesleutel’ niet in handen had gekregen? Dat was maar de vraag. Om het nog maar niet te hebben over het financiële plaatje: de kosten voor het zelf herstellen van de IT zou een veelvoud zijn van het losgeldbedrag.

Ook over de ‘verhoogde dijkbewaking’, vlak na de aanval, waarbij de IT-systemen van de universiteit continue in de gaten werden gehouden, is het rapport positief, net als over de open communicatie. Volgens het rapport werd de website van de UM, die wel nog intact bleef, ingezet als communicatiekanaal. “Dagelijks verschenen er updates.”

Hier lijkt de Inspectie de zaken echter iets te rooskleurig voor te stellen. De eerste dagen na de hack bleef het juist onrustbarend stil, tot ergernis van veel medewerkers en studenten en niet te vergeten het UM-bestuur zelf, zo meldden goede bronnen destijds. Pas toen op 27 december de vaste woordvoerder, Gert van Doorn, die op vakantie was, vervangen werd door een externe kracht, Fons Elbersen, kwam een regelmatige stroom van berichten op gang.

Het symposium in februari ten slotte wordt gezien als schoolvoorbeeld van hoe de UM andere organisaties waarschuwt en bijdraagt “aan het lerend vermogen van het stelsel van hoger onderwijs”.

De UM kondigde al in februari aanvullend onderzoek aan om te achterhalen of onderzoeksdata zijn gewist, ingezien of verwerkt door hackers. Fox-IT kon geen 100 procent garantie geven. De Inspectie moedigt dit onderzoek aan. “Voor wetenschappers is het van belang ook in discussie met partners aan te kunnen geven dat de data betrouwbaar zijn”, klinkt het.

Categories:Categorieën:

CommentsReacties

There are currently no comments.Er zijn geen reacties.

Post a Comment

Laat een reactie achter

Door een reactie te plaatsen gaat u akkoord met de verwerking van de ingevulde gegevens door Observant.
Voor meer informatie: Privacyverklaring
By responding, you agree to send the entered data to Observant.
For more info: Privacy statement

Naam (verplicht)

E-mail (verplicht)