Vragen van de leden Van Meenen en Van Ginneken (beiden D66) aan de Ministers van Onderwijs, Cultuur en Wetenschap en voor Rechtsbescherming over het bericht dat het ROC Mondriaan in Den Haag is gehackt (ingezonden 30 augustus 2021).

Antwoord van Minister Van Engelshoven (Onderwijs, Cultuur en Wetenschap) (ontvangen 21 september 2021).

Vraag 1

Bent u bekend met het artikel «ROC Mondriaan in Den Haag gehackt: «Medewerkers staan werkloos bij de vestigingen»»?1

Antwoord 1

Ja.

Vraag 2

Welke gevolgen heeft de hack tot op heden voor docenten en studenten?

Antwoord 2

Zodra ROC Mondriaan de hack ontdekte, heeft het uit voorzorg alle systemen dichtgezet. Hiermee konden docenten en studenten niet meer bij hun documenten en veel van de applicaties werkten niet. In de week voorafgaand aan de opening van het nieuwe schooljaar heeft ROC Mondriaan er hard aan gewerkt om er voor te zorgen dat de school op maandag 30 augustus wel open kon gaan. Dit is gelukt. Het onderwijs aan de studenten is grotendeels doorgegaan, maar wel zonder gebruik van de bestanden en de meeste applicaties. Zodra het veilig kan, worden systemen, bestanden en applicaties toegankelijk gemaakt. Zo is op 6 september jl. weer een wifi-netwerk beschikbaar gesteld voor studenten en beschikken steeds meer docenten weer over een laptop. Ook worden alternatieve oplossingen gezocht in het kader van het waarborgen van de continuïteit van het onderwijs. Zo worden bijvoorbeeld examens afgenomen bij andere instellingen.

Vraag 3

Wanneer verwacht u dat de systemen weer volledig toegankelijk zijn?

Antwoord 3

Dat is op dit moment niet te zeggen. ROC Mondriaan heeft een gespecialiseerd forensisch IT-bedrijf ingeschakeld en SURF ondersteunt ROC Mondriaan in het onderzoek naar de oorzaak en omvang van de hack. Geleidelijk aan gaan er meer systemen open, maar alleen als dit veilig kan. ROC Mondriaan heeft aangegeven dat het een aantal weken duurt voordat alle systemen weer opnieuw zijn opgebouwd. Daarbij voert ROC Mondriaan meteen verbeteringen door in de informatiebeveiliging zoals multifactor authenticatie (MFA) voor studenten.

Vraag 4

Welke acties onderneemt u om de start van het schooljaar in goede banen te leiden?

Antwoord 4

ROC Mondriaan heeft er hard aan gewerkt om het nieuwe schooljaar zo goed mogelijk te beginnen. Ik sta in nauw contact met de instelling en waar nodig zal ik ROC Mondriaan ondersteunen.

Vraag 5

Wanneer wordt de uitkomst verwacht van het digitaal onderzoek naar de omvang van de hack?

Antwoord 5

Dat is op dit moment niet te zeggen.

Vraag 6

Is al duidelijk of er bij de hack ook gegevens over studenten of docenten zijn buitgemaakt en zo ja om welk soort gegevens gaat het dan en wanneer worden studenten en docenten hierover geïnformeerd?

Antwoord 6

De hackers hebben op 14 september 2021 voor het eerst gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 7

Zijn andere ROC ’s goed toegerust op het voorkomen van een soortgelijke hack?

Antwoord 7

Er worden binnen de mbo-sector diverse initiatieven genomen om het risico op dit soort aanvallen te beperken. De mbo-instellingen vormen op het gebied van informatiebeveiliging een hecht netwerk, gefaciliteerd door saMBO-ICT. Binnen dit netwerk wordt kennis gedeeld en worden gemeenschappelijke activiteiten georganiseerd. Er wordt veel samengewerkt met SURF en gebruikgemaakt van diverse diensten van SURF. Zo dragen veel mbo-instellingen bij aan het Cyberdreigingsbeeld van SURF en hebben 11 mbo’s dit jaar meegedaan aan de tweejaarlijkse cybercrisisoefening OZON, die SURF samen met de instellingen organiseert. Ook bereiden de eerste mbo’s zich voor op aansluiting op SURFsoc, het via SURF aangeboden Security Operations Centre dat de instellingen in staat stelt om tijdig inbraakpogingen in het netwerk te signaleren en in te grijpen.

Binnen de mbo-sector wordt jaarlijks een benchmark afgenomen op het gebied van informatiebeveiliging, privacy en examinering, de Benchmark IBP-E. Sinds 2019 doen alle mbo-instellingen hieraan mee.

De lessen die we leren uit dit incident zullen benut worden voor de informatiebeveiliging van de gehele MBO-sector.

Vraag 8

Hoe voorkomt u dat een dergelijke hack in de toekomst nogmaals plaatsvindt op een ROC?

Antwoord 8

Helaas zijn dergelijke incidenten nooit uit te sluiten. Dat neemt niet weg dat er altijd aanvullende maatregelen genomen kunnen worden om de beveiliging te verbeteren, zoals bijvoorbeeld de hiervoor genoemde dienst SURFsoc. Ik zal met de MBO Raad in gesprek gaan over eventuele drempels die de mbo-instellingen ervaren bij de implementatie van dergelijke beveiligingsoplossingen en wat nodig is om deze weg te nemen. Ik neem hierin de aanbevelingen uit het Inspectierapport over de digitale weerbaarheid in het Hoger Onderwijs mee2.

Naar boven