Hoger onderwijs communiceert slecht bij cyberaanval
Afgelopen najaar viel een hacker vijftig instellingen aan. Niemand kon meer bij zijn bestanden. De hacker had ze versleuteld met gijzelsoftware en wilde geld zien voordat hij ze weer toegankelijk maakte. De hack was georganiseerd door SURFnet, de ICT-samenwerkingsorganisatie van het onderwijs en onderzoek. Die simuleerde voor de tweede keer een cyberoefening waar veel universiteiten en hogescholen aan meededen.
Tijdens de nagebootste cyberaanval bleek vooral de interne communicatie een groot struikelblok, blijkt uit de evaluatie. Ict’ers gebruikten technisch vakjargon dat door bestuurders niet altijd werd begrepen. Ze gingen er te vaak vanuit dat bestuurders wel enige ict-kennis hadden.
Frusterend
Als de boodschap wel goed aankwam, zeiden bestuurders vervolgens niet wat ze met die informatie gedaan hadden of gebruikten ze heel ambtelijke taal, zegt woordvoerder Charlie van Genuchten. “Het is voor ict’ers heel frustrerend als ze niet weten welke beslissingen er van hogerhand worden genomen.”
Ook kwam tijdens de “digitale brandoefening” naar voren dat veel instellingen geen crisisplan voor cyberaanvallen paraat hebben. En de handboeken die er liggen, zijn vaak verouderd. Daarnaast waren er vaak te weinig mensen in huis met de vereiste specialistische kennis, waardoor het langer duurde om de aanval onder controle te krijgen.
“De meeste instellingen in het hoger onderwijs hebben cyberexperts”, zegt Van Genuchten. “Sommigen van hen deden niet mee met de oefening en dus waren hun collega’s aan zet. We zagen dat de kennis voor een specifiek probleem vaak maar bij één persoon ligt. Als die onbereikbaar is, heb je een probleem.”
Rommelig
De organisatie rond een crisissituatie is rommelig te noemen. In crisisteams op hoger niveau is de rolverdeling vaak wel duidelijk, maar binnen ict-teams veel minder. Dat roept de vraag op of er niet één coördinerende partij moet zijn die de regie neemt bij een cybercrisis, zoals het ministerie van Onderwijs. Daarover is SURFnet nu samen met universiteiten en hogescholen in gesprek.
Overigens kwamen de instellingen wel sneller in actie bij de cyberoefening dan twee jaar geleden. Ze zochten direct contact met elkaar en kregen eerder grip op de situatie. Ook deden er twee keer zoveel deelnemers mee, waaronder ook mbo-scholen, academische ziekenhuizen en onderzoeksinstellingen.
Goed gedaan
De directeur van de Bestuursdienst van de UU, Leon van de Zande, laat weten de kritiek over de gebrekkige communicatie tussen de IT-organisatie en andere onderdelen niet te herkennen uit de evaluatie van de Utrechtse reactie op de gesimuleerde aanval. “De algemene conclusie was dat we de oefening eigenlijk goed hebben gedaan. Het crisisteam werd op het juiste moment ingeschakeld, het maakte de juiste afwegingen en alle organisatieonderdelen rond het crisisteam hebben goed werk verricht. Natuurlijk viel er ook wel wat te verbeteren, maar dat had vaak te maken met vragen rond coördinatie en rolverdeling binnen de crisisorganisatie.”
Volgens Van de Zande is er naar aanleiding van de oefening besloten een getraind communicatieteam op te zetten. Die beslissing bleek volgens hem van belang vorige week toen de aanslag op Kanaleneiland leidde tot het hoogste dreigingsniveau in Utrecht.