Instellingen wapenen zich tegen cybercriminelen
Sinds de heftige cyberaanval op de Universiteit Maastricht zit de schrik er goed in bij het hoger onderwijs. Door een hack met gijzelsoftware zag de universiteit zich eind 2019 gedwongen om bijna twee ton losgeld te betalen om weer toegang te krijgen tot haar servers.
Een lichtpuntje: sindsdien heeft het hoger onderwijs in de aanpak van cyberdreigingen belangrijke stappen gezet. Dat schrijft demissionair minister Van Engelshoven in een brief aan de Tweede Kamer.
Beperkte schade
Volgens haar werken instellingen goed samen, wisselen ze informatie uit en doen ze niet geheimzinnig wanneer er onverhoopt toch een hack of aanval plaatsvindt. Hierdoor is de schade bij recente incidenten beperkt gebleven, schrijft ze.
De minister noemt de hacks bij de Hogeschool en de Universiteit van Amsterdam en bij hogeschool Inholland als voorbeeld. De ransomware-aanval op onderzoeksfinancier NWO had wél iets meer voeten in de aarde: daar lag het netwerk wekenlang plat en moest het subsidieproces worden stilgelegd. NWO, de UvA en de HvA zullen de gang van zaken evalueren en de geleerde lessen met de sector delen, schrijft de minister.
Verdediging
Ondertussen werken de instellingen hard aan hun ‘verdedigingslinie’. Ict-onderwijsstichting SURF hielp daar eerder al bij met een eigen crisisteam (SURFcert), maar heeft nu op verzoek van het hoger onderwijs ook een zogeheten security operations center (SURFsoc) opgericht.
Onder het motto ‘voorkomen is beter dan genezen’ houdt dit informatiebeveiligingscentrum de netwerken van instellingen nauwlettend in de gaten en pikt het eventuele dreigementen eruit. Dat gebeurt vierentwintig uur per dag, zeven dagen per week.
De instellingen zullen zich in de loop der tijd bij SURFsoc aansluiten, verwacht de minister. Wageningen University heeft het spits afgebeten en de komende weken zullen ook Fontys Hogescholen, de Universiteit Maastricht en het Leids Universitair Medisch Centrum volgen. Ook NWO en wetenschapsgenootschap KNAW zullen toetreden. Sommige instellingen denken dat het systeem nog iets beter op hen kan worden afgestemd. De hogescholen gaan daar met SURF naar kijken. Datzelfde geldt voor de NWO-instituten.
Zwakke schakel
En verder? De instellingen doen mee aan interne en externe audits en aan grootschalige cybercrisis-oefeningen. Ook organiseren ze trainingen en campagnes om medewerkers en studenten bewust te maken van digitale veiligheid. De mens blijft immers de zwakke schakel, schrijft de minister. Tot slot zal de Onderwijsinspectie dit kwartaal de resultaten presenteren van een onderzoek naar de digitale veiligheid in het hele hoge onderwijs.
Ondanks alle inspanningen kunnen instellingen zichzelf nooit volledig beschermen tegen cybercriminelen, weet de minister: honderd procent veiligheid is in geen enkele sector realistisch, schrijft ze.