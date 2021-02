Scholen bezitten meer essentiële informatie dan ze zelf misschien denken. NAW-gegevens en BSN-nummers van honderden leerlingen en medewerkers zijn verhandelbaar op internet. Wie kwaad in de zin heeft, kan er identiteitsfraude mee plegen. De dreiging om zo veel privacygevoelige informatie te verkopen kan scholen door de knieën doen gaan om losgeld te betalen en de touwtjes zelf weer in handen te krijgen.

Onderwijs in gevaar

Wel of niet betalen is een afweging die iedere organisatie voor zich moet maken, zegt Liesbeth Holterman. Zij is als adviseur verbonden aan het regionale Cybersecurity Centrum Maakindustrie. "In dit geval lijkt het onderwijs in gevaar te zijn geweest. Dan kan ik me, zeker met de pandemie waar we in zitten en de achterstanden die je daardoor wel of niet hebt opgelopen, voorstellen dat je de afweging maakt wel te betalen."

Bekijk onze reportage uit Lochem. De tekst gaat eronder verder

Hoewel Holterman de specifieke casus van het Staring College niet kent, zegt ze dat veel onderwijsinstellingen dezelfde fouten maken. Er wordt niet frequent genoeg een back-up gemaakt - of de back-up staat op dezelfde server als het operationele systeem. Simpel gezegd: de kopieën van de belangrijkste papieren liggen pal naast het origineel. Wie beide documenten steelt, heeft de macht in handen.

Zie ook: Staring College betaalt losgeld na grote cyberaanval

Totaal geen benul

Dat besef is niet bij alle onderwijsinstellingen ingedaald, zeggen de experts. Marco Bijl van DigiTrust uit Apeldoorn, dat bedrijven audit en certificeert op cyberveiligheid, zegt dat menig school er zelfs 'totaal geen benul van heeft' dat er ook bij hén iets te halen valt. "Van de slager om de hoek tot het autobedrijf in de stad en de school in de buurt wordt gedacht: waarom zouden hackers mij moeten hebben? En dat is wel een teken aan de wand", zegt Bijl.

Een aantal jaren geleden waren het met name grote bedrijven en hogescholen die cyberaanvallen te verduren kregen, zegt hij. Dat is veranderd. "We zien een trend dat meer bedrijven in het midden- en kleinbedrijf worden aangevallen. Bedrijven, en ook scholen, vallen ten prooi aan ransomware. Hackers doen een inschatting wat een organisatie waard is en wat er te halen valt. Is die organisatie een moeilijke prooi of juist een makkelijke? Zo kunnen veel bedrijven en scholen slachtoffer worden. De hacker vraagt om x-duizend euro losgeld en de ondernemer ziet geen andere optie dan te betalen."

Rammelen aan de poortjes

En dan is er nog de kwetsbaarheid van toegang. Holterman trekt de vergelijking met een woonhuis. "Als één of twee mensen van een sleutel van de woning hebben, is de kans niet groot dat iemand met slechte intenties zijn gang kan gaan in die woning. Hebben dertig mensen de sleutel, dan maakt je dat kwetsbaar. Zo is het ook met veel onderwijsinstellingen. Te veel mensen hebben autorisaties. Criminelen rammelen aan alle poortjes, totdat ze via het slechtst beveiligde poortje binnen weten te komen."

De server staat onder de trap of op de kamer van de conciërge.

Veel scholen realiseren zich onvoldoende dat zij niet meer zonder digitale bedrijfsvoering kúnnen. De leerlingenadministratie, het verzuim, de gediplomeerden, de adresgegevens, de cijferlijsten en de lesstof: alles staat digitaal opgeslagen. Een cybercrimineel die dat versleutelt en een zak geld eist om de sleutel af te geven, nestelt zich in een gevaarlijk machtige positie. Betaalt de school niet, dan staan docenten en leerlingen met de rug tegen de muur. Onderwijs geven gaat niet meer.

De tekst gaat verder onder de foto:

Leerlingen in een klas. Afbeelding ter illustratie. Foto: Tima Miroshnichenko via Pexels

Houtje-touwtje op school

En omdat een school misschien niet snel doelwit denkt te worden, wordt binnen de schoolmuren soms naïef omgesprongen met de cybersecurity. Of, zoals Marco Bijl het beschrijft, het is een beetje houtje-touwtje op scholen. "De server staat onder de trap of op de kamer van de conciërge. Er wordt gewerkt met oude besturingssystemen, de virusscanner of de firewall is verouderd en er worden geen back-ups gemaakt. Dat is gevaarlijk", weet Bijl.

Een hacker kan een school treiteren door het primaire proces plat te leggen. Iemand met kwaad in de zin heeft slechts het ip-adres van de school nodig om te ontdekken op welk besturingssysteem de school draait. Daarna kan hij kijken of er poorten openstaan en aan welk hekje hij moet rammelen om binnen te komen.

Voldoen aan 114 eisen

DigiTrust-directeur Bijl roept scholen op veel bewuster te worden van het afbraakrisico. "Neem de basisregels goed in acht. Zorg voor goede wachtwoorden, een goede virusscanner, een goede firewall", raadt hij aan. "Je moet aan 114 eisen voldoen om optimaal beveiligd te zijn. En een school moet die eigenlijk ook allemaal toepassen."

Zie ook: Vermeende cybercrimineel (22) ontkent schuld aan 'grootste hack aller tijden'

Liesbeth Holterman is blij dat het Staring College open kaart speelt naar buiten. Dat helpt om bewustwording te creëren. "Ze moeten met de billen bloot, omdat ze nergens meer bij kunnen. Net zoals de Universiteit van Maastricht eerder deed. Ik hoop ontzettend dat scholen die dit overkomt, durven te zeggen: dit is ons overkomen, leren jullie dit ervan. De Universiteit Maastricht deed dat heel goed. En de gemeente Lochem kroop twee jaar geleden al eens door het oog van de naald. De burgemeester heeft toen heel uitgebreid en in het openbaar besproken hoe belangrijk cybersecurity is."