Het aantal cyberaanvallen op Nederlandse onderwijsinstellingen nam in het afgelopen jaar opnieuw toe. Desondanks hebben scholen nog steeds geen wettelijke verplichting om securitymaatregelen te treffen.

Onderwijsvereniging SURF doet jaarlijks onderzoek naar de cyberveiligheid van scholen en onderzoeksinstellingen. “We zien een flinke toename van ransomware-aanvallen in 2021”, stelt het rapport.

Terugblik

De eerste grote aanval vond in februari plaats. Misdaadgroep DoppelPaymer legde de infrastructuur van onderzoeksinstelling NWO plat. De groep eiste losgeld, maar NWO betaalde niet. Het herstel kostte meer dan een maand. Vanwege de aanval konden Nederlandse onderzoekers geen subsidievragen indienen.

In september was ROC Mondriaan aan de beurt. Aanvallers stalen gevoelige gegevens, waaronder mails aan ouders. Het losgeld bedroeg vier miljoen euro. ROC Mondriaan weigerde te betalen, waarna een deel van data werd gelekt. De systemen van scholen waren wekenlang onbruikbaar. Het schooljaar begon met pen en papier.

HAN, een hogeschool in Arnhem en Nijmegen, werd in dezelfde maand slachtoffer. Een aanvaller brak in op een server met 530.000 mailadressen en bijbehorende persoonsgegevens. De hacker eiste losgeld, maar HAN betaalde niet. Het is onduidelijk of en hoeveel gegevens er werden gelekt.

Bedrijfsleven blijft grootste doelwit

De aanvallen op NWO, ROC Mondriaan en HAN waren het grootst. Andere scholen en onderwijsinstellingen kregen met kleinere voorvallen te maken. Het totale aantal aanvallen nam toe, maar blijft onvergelijkbaar met het bedrijfsleven.

De Autoriteit Persoonsgegevens ontving in 2021 ongeveer 2200 meldingen van aanvallen die datalekken veroorzaakten. Incidenten bij scholen zijn op twee handen te tellen. Dit betekent niet dat de cybersecurity in het onderwijs verwerpelijk is. De sector verwerkt gigantische hoeveelheden persoonsgegevens. Elke aanval telt.

Het probleem met scholen

Overheidsinstellingen, waaronder gemeenten, moeten volgens de wet aan een meerdere securityregels voldoen. De Baseline Informatiebeveiliging Overheid (BIO) forceert een overheidsinstelling om securitymaatregelen te treffen. Word de overheidsinstelling geraakt door een aanval, dan is het duidelijk wie er verantwoordelijk is en wat er verbeterd moet worden.

De regels gelden niet voor scholen en onderzoeksinstellingen. Zij bepalen zelf hoe hun cybersecurity eruitziet. Volgens het rapport van SURF nemen de meeste scholen en onderzoeksinstellingen verantwoordelijkheid. Tientallen instanties huren op eigen initiatief een CISO of Security Operations Center (SOC) in. Sommige instellingen werken vrijwillig met de BIO.

SURF organiseert steeds meer evenementen voor CISO’s van hogescholen. Ook maakt de onderwijsvereniging SURFaudit beschikbaar, een tool waarmee scholen hun cyberveiligheid kunnen toetsen. De vereniging doet goed werk, maar het is vreemd dat de verantwoordelijkheid bij een vereniging ligt. De cybersecurity van scholen en onderzoeksinstellingen heeft invloed op miljoenen Nederlanders. Je zou denken dat de Rijksoverheid een zegje had, maar dat is niet het geval.

Politiek is traag

Cybersecurity is nog altijd vrijblijvend voor onderwijsinstellingen. Wel begint het balletje te rollen. Elke nieuwe aanval zet druk op de politiek. Het Ministerie van Onderwijs, Cultuur en Wetenschap ontvangt steeds meer kamervragen over een securityrichtlijn voor onderwijsinstellingen.

Aan het einde van 2021 trof voormalig minister Ingrid van Engelshoven voorbereidingen om elke hogeschool verplicht op een SOC aan te sluiten. Het nieuwe kabinet heeft nog geen vervolgstap gezet, maar SURF pakt door. De onderwijsvereniging beheert een eigen SOC. Aan het einde van 2022 sloten veertig scholen zich aan.

Tip: Rijksoverheid leert nog steeds niet van mislukte ICT-projecten