Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2020-2021 | 4087 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2020-2021 | 4087 |
Bent u bekend met het bericht «Grote hack bij ROC Mondriaan: computers plat en bestanden ontoegankelijk»?1
Is er sprake van ransomware (gijzelsoftware)? Indien er sprake is van ransomware, zijn er al losgeldeisen van de criminele hackers bekend bij ROC Mondriaan en/of de Minister?2
Indien er al losgeldeisen bekend zijn, heeft ROC Mondriaan het losgeld aan de hackers al betaald? Zo nee, heeft ROC Mondriaan besloten het losgeld te betalen?
Wat is het beleid van de Minister omtrent de betaling van losgeld aan criminelen om schoolsystemen weer toegankelijk te maken? Deelt u de mening dat er geen losgeld betaald dient te worden, omdat misdaad niet mag lonen?
Het uitgangspunt van het kabinet is dat het onwenselijk is om losgeld te betalen, omdat de regering van mening is dat er geen geld naar criminelen toe moet vloeien.
Is er ook sprake van een datalek, nu de systemen zijn gehackt? Zo ja, is er data buitgemaakt van de 20.000 studenten, 5.000 cursisten en/of 2.100 medewerkers? Zo ja, zijn alle studenten, cursisten en/of medewerkers hier inmiddels van op de hoogte gesteld?
De hackers hebben op 14 september 2021 voor het eerst gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.
Is er contact geweest tussen het sectorale computer emergency response team SURFcert en ROC Mondriaan? Zo ja, heeft het ROC Mondriaan dit geïnitieerd om het beveiligingsincident te melden? Wat is er uit dit contact gekomen qua ondersteuning vanuit SURFcert?
Zodra ROC Mondriaan de hack constateerde, heeft de instelling SURFcert ingelicht en een gespecialiseerd forensisch IT-bedrijf ingeschakeld. SURF ondersteunt ROC Mondriaan in het onderzoek naar de oorzaak en omvang van de hack.
Is het datalek al gemeld bij de Autoriteit Persoonsgegevens? Zo ja, is er verder contact geweest tussen ROC Mondriaan en Autoriteit Persoonsgegevens? Zo nee, waarom niet?
ROC Mondriaan heeft meteen na het ontdekken van de hack de Autoriteit Persoonsgegevens ingelicht. Vrijdag 4 september en dinsdag 14 september is er wederom contact geweest met de Autoriteit Persoonsgegevens om hen bij te praten met de laatste stand van zaken. Ook is de afspraak gemaakt dat ROC Mondriaan de Autoriteit Persoonsgegevens informeert zodra er meer relevante informatie beschikbaar is.
Kunt u aangeven welk volwassenheidsniveau ROC Mondriaan heeft met het oog op de benchmark IBP-E op basis van de toetsingskaders Informatiebeveiliging, Privacy en Examinering, waarvan het maturity level 1 het laagst en 5 het hoogst is?3
Uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar en ik kan dan ook geen uitspraken doen over de scores van individuele instellingen.
Welk benchmark IBP-E-resultaat had ROC Mondriaan in 2018, 2019 en 2020? Is er de afgelopen jaren sprake geweest van groei en verbetering van de resultaten van de benchmark IBP-E?
De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar. Ik kan dan ook geen uitspraken doen over de scores van individuele instellingen. In algemene zin is het volwassenheidsniveau van de benchmark IBP-E de afgelopen jaren gegroeid: voor informatiebeveiliging was de gemiddelde score in 2018 een 2,4, in 2019 een 2,5 en in 2020 een 2,8 op een schaal van 1 tot 5.
Klopt het dat het eindresultaat van de benchmark IBP-E MBO voor alle onderdelen in 2020 uitkwam op een gemiddelde volwassenheid van 2,8? Heeft u inzichtelijk wat de resultaten van de benchmark IBP-E van individuele mbo-instellingen zijn? Zo ja, bent u bereid dit met de Kamer te delen? Zo nee, waarom niet?
De benchmark IBP-E meet aan de hand van ruim 100 statements de volwassenheid van de informatiebeveiliging van de instelling op een schaal van 1 tot 5. Daarbij is niveau 3 het ambitieniveau. Een gemiddeld volwassenheidsniveau van 3 wordt beschouwd als een goede balans tussen kosten en baten van de informatiebeveiliging. Het klopt dat het volwassenheidsniveau van de benchmark IBP-E gemiddeld uitkwam op 2,8. Net onder het gestelde ambitieniveau. De benchmark IBP-E heeft een tweeledig doel. Enerzijds geeft deze een goed beeld van de gemiddelde volwassenheid van de mbo-sector op het gebied van informatiebeveiliging. Anderzijds geeft deze benchmark individuele mbo-instellingen inzicht in de mate waarin hun maatregelen rond informatiebeveiliging succesvol zijn geïmplementeerd en levert zo een roadmap voor de mbo-instelling. Voor de betrouwbaarheid – en daarmee het nut – van deze benchmark is het belangrijk dat de mbo-instellingen zonder enige terughoudendheid hun kwetsbaarheden kunnen aangeven. Daarom is ervoor gekozen om de resultaten anoniem te verwerken: uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. Een tweede belangrijke reden om deze resultaten niet openbaar te maken is dat het hier om gevoelige informatie gaat.
Ik ga met de mbo-sector in gesprek over de impact van de hack bij ROC Mondriaan op de door de sector te nemen maatregelen. Ik neem hierin de aanbevelingen uit het Inspectierapport over de digitale weerbaarheid in het Hoger Onderwijs mee4.
Hoeveel werknemers van ROC Mondriaan zijn doorgaans betrokken bij het informatieveiligheidsproces?
Bij ROC Mondriaan zijn vijf personen betrokken bij de informatiebeveiliging. Een incident zoals de hack bij ROC Mondriaan is vaak het gevolg van menselijk handelen. Informatiebeveiliging gaat daarmee elke medewerker, docent en student aan.
Worden de gegevens van de studenten, cursisten en medewerkers al op internet aangeboden? Zo ja, zijn de studenten, cursisten en medewerkers hiervan op de hoogte gesteld?
De hackers hebben op 14 september jl. buitgemaakte gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.
Kunnen de studenten van ROC Mondriaan vanaf maandag 30 augustus 2021 wel gewoon naar school en krijgen ze fysiek les van docenten? Wat houdt les krijgen in een «aangepaste vorm» precies in?
Maandag 30 augustus jl. zijn de scholen van ROC Mondriaan open gegaan en kregen de studenten ook weer fysiek les. Dit ging wel in aangepaste vorm, omdat bestanden en de meeste applicaties niet toegankelijk waren. De vorm waarin het onderwijs wordt gegeven hangt uiteraard af van hoe afhankelijk een opleiding is van de geautomatiseerde systemen. Een ict-opleiding is uiteraard meer afhankelijk van de inzet van digitale leermiddelen dan andere mbo-opleidingen.
Aangezien benodigde bestanden, applicaties en systemen volgens ROC Mondriaan vooralsnog ontoegankelijk zijn, kan er al een inschatting worden gemaakt van de verwachte onderwijsachterstand van studenten en cursisten eind 2021? Zo nee, wanneer kan zo’n inschatting wel worden gemaakt?
Op dit moment is er nog geen duidelijk beeld of en in welke mate er sprake is van door deze situatie ontstane onderwijsachterstanden. ROC Mondriaan zet alles op alles om er voor te zorgen dat het onderwijs zo goed mogelijk door gaat. Om dit te bereiken worden bijvoorbeeld, in het belang van de continuïteit van het onderwijs, examens afgenomen bij andere instellingen.
ROC Mondriaan is nog druk bezig met de herstelwerkzaamheden als gevolg van de hack. Er is nog geen inschatting van de schade en kosten.
Kunt u bovenstaande vragen voor het commissiedebat «Digitalisering in het onderwijs» van 30 september 2021 beantwoorden?
RTL Nieuws, 23 augustus 2021. https://www.rtlnieuws.nl/nieuws/nederland/artikel/5249593/roc-mondriaan-gehackt
De benchmark IBP-E is een gecombineerde zelfassessment met betrekking tot Informatiebeveiliging (IB), privacy (P) en Examinering (E).
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20202021-4087.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.