Antwoord schriftelijke vragen : Antwoord op vragen van de leden El Yassini en Rajkowski over het bericht ‘Grote hack bij ROC Mondriaan: computers plat en bestanden ontoegankelijk’

Antwoord van Minister Van Engelshoven (Onderwijs, Cultuur en Wetenschap) (ontvangen
20 september 2021)

Vraag 1

Bent u bekend met het bericht «Grote hack bij ROC Mondriaan: computers plat en bestanden
ontoegankelijk»?1

Antwoord 1

Ja.

Vraag 2

Is er sprake van ransomware (gijzelsoftware)? Indien er sprake is van ransomware,
zijn er al losgeldeisen van de criminele hackers bekend bij ROC Mondriaan en/of de
Minister?2

Antwoord 2

Er is inderdaad sprake van ransomware. Hierbij is er losgeld gevraagd aan ROC Mondriaan.

Vraag 3

Indien er al losgeldeisen bekend zijn, heeft ROC Mondriaan het losgeld aan de hackers
al betaald? Zo nee, heeft ROC Mondriaan besloten het losgeld te betalen?

Antwoord 3

ROC Mondriaan heeft geen losgeld betaald aan de hackers.

Vraag 4

Wat is het beleid van de Minister omtrent de betaling van losgeld aan criminelen om
schoolsystemen weer toegankelijk te maken? Deelt u de mening dat er geen losgeld betaald
dient te worden, omdat misdaad niet mag lonen?

Antwoord 4

Het uitgangspunt van het kabinet is dat het onwenselijk is om losgeld te betalen,
omdat de regering van mening is dat er geen geld naar criminelen toe moet vloeien.

Vraag 5

Is er ook sprake van een datalek, nu de systemen zijn gehackt? Zo ja, is er data buitgemaakt
van de 20.000 studenten, 5.000 cursisten en/of 2.100 medewerkers? Zo ja, zijn alle
studenten, cursisten en/of medewerkers hier inmiddels van op de hoogte gesteld?

Antwoord 5

De hackers hebben op 14 september 2021 voor het eerst gegevens op het internet gepubliceerd.
Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie
het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten,
mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten
en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 6

Is er contact geweest tussen het sectorale computer emergency response team SURFcert
en ROC Mondriaan? Zo ja, heeft het ROC Mondriaan dit geïnitieerd om het beveiligingsincident
te melden? Wat is er uit dit contact gekomen qua ondersteuning vanuit SURFcert?

Antwoord 6

Zodra ROC Mondriaan de hack constateerde, heeft de instelling SURFcert ingelicht en
een gespecialiseerd forensisch IT-bedrijf ingeschakeld. SURF ondersteunt ROC Mondriaan
in het onderzoek naar de oorzaak en omvang van de hack.

Vraag 7

Is het datalek al gemeld bij de Autoriteit Persoonsgegevens? Zo ja, is er verder contact
geweest tussen ROC Mondriaan en Autoriteit Persoonsgegevens? Zo nee, waarom niet?

Antwoord 7

ROC Mondriaan heeft meteen na het ontdekken van de hack de Autoriteit Persoonsgegevens
ingelicht. Vrijdag 4 september en dinsdag 14 september is er wederom contact geweest
met de Autoriteit Persoonsgegevens om hen bij te praten met de laatste stand van zaken.
Ook is de afspraak gemaakt dat ROC Mondriaan de Autoriteit Persoonsgegevens informeert
zodra er meer relevante informatie beschikbaar is.

Vraag 8

Kunt u aangeven welk volwassenheidsniveau ROC Mondriaan heeft met het oog op de benchmark
IBP-E op basis van de toetsingskaders Informatiebeveiliging, Privacy en Examinering,
waarvan het maturity level 1 het laagst en 5 het hoogst is?3

Antwoord 8

Uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het
landelijk gemiddelde. De scores van de benchmark IBP-E van de individuele instellingen
zijn niet openbaar en ik kan dan ook geen uitspraken doen over de scores van individuele
instellingen.

Vraag 9

Welk benchmark IBP-E-resultaat had ROC Mondriaan in 2018, 2019 en 2020? Is er de afgelopen
jaren sprake geweest van groei en verbetering van de resultaten van de benchmark IBP-E?

Antwoord 9

De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar.
Ik kan dan ook geen uitspraken doen over de scores van individuele instellingen. In
algemene zin is het volwassenheidsniveau van de benchmark IBP-E de afgelopen jaren
gegroeid: voor informatiebeveiliging was de gemiddelde score in 2018 een 2,4, in 2019
een 2,5 en in 2020 een 2,8 op een schaal van 1 tot 5.

Vraag 10

Klopt het dat het eindresultaat van de benchmark IBP-E MBO voor alle onderdelen in
2020 uitkwam op een gemiddelde volwassenheid van 2,8? Heeft u inzichtelijk wat de
resultaten van de benchmark IBP-E van individuele mbo-instellingen zijn? Zo ja, bent
u bereid dit met de Kamer te delen? Zo nee, waarom niet?

Antwoord 10

De benchmark IBP-E meet aan de hand van ruim 100 statements de volwassenheid van de
informatiebeveiliging van de instelling op een schaal van 1 tot 5. Daarbij is niveau
3 het ambitieniveau. Een gemiddeld volwassenheidsniveau van 3 wordt beschouwd als
een goede balans tussen kosten en baten van de informatiebeveiliging. Het klopt dat
het volwassenheidsniveau van de benchmark IBP-E gemiddeld uitkwam op 2,8. Net onder
het gestelde ambitieniveau. De benchmark IBP-E heeft een tweeledig doel. Enerzijds
geeft deze een goed beeld van de gemiddelde volwassenheid van de mbo-sector op het
gebied van informatiebeveiliging. Anderzijds geeft deze benchmark individuele mbo-instellingen
inzicht in de mate waarin hun maatregelen rond informatiebeveiliging succesvol zijn
geïmplementeerd en levert zo een roadmap voor de mbo-instelling. Voor de betrouwbaarheid
– en daarmee het nut – van deze benchmark is het belangrijk dat de mbo-instellingen
zonder enige terughoudendheid hun kwetsbaarheden kunnen aangeven. Daarom is ervoor
gekozen om de resultaten anoniem te verwerken: uitsluitend de instelling zelf ziet
de eigen scores en kan deze vergelijken met het landelijk gemiddelde. Een tweede belangrijke
reden om deze resultaten niet openbaar te maken is dat het hier om gevoelige informatie
gaat.

Ik ga met de mbo-sector in gesprek over de impact van de hack bij ROC Mondriaan op
de door de sector te nemen maatregelen. Ik neem hierin de aanbevelingen uit het Inspectierapport
over de digitale weerbaarheid in het Hoger Onderwijs mee4.

Vraag 11

Hoeveel werknemers van ROC Mondriaan zijn doorgaans betrokken bij het informatieveiligheidsproces?

Antwoord 11

Bij ROC Mondriaan zijn vijf personen betrokken bij de informatiebeveiliging. Een incident
zoals de hack bij ROC Mondriaan is vaak het gevolg van menselijk handelen. Informatiebeveiliging
gaat daarmee elke medewerker, docent en student aan.

Vraag 12

Worden de gegevens van de studenten, cursisten en medewerkers al op internet aangeboden?
Zo ja, zijn de studenten, cursisten en medewerkers hiervan op de hoogte gesteld?

Antwoord 12

De hackers hebben op 14 september jl. buitgemaakte gegevens op het internet gepubliceerd.
Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie
het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten,
mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten
en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 13

Kunnen de studenten van ROC Mondriaan vanaf maandag 30 augustus 2021 wel gewoon naar
school en krijgen ze fysiek les van docenten? Wat houdt les krijgen in een «aangepaste
vorm» precies in?

Antwoord 13

Maandag 30 augustus jl. zijn de scholen van ROC Mondriaan open gegaan en kregen de
studenten ook weer fysiek les. Dit ging wel in aangepaste vorm, omdat bestanden en
de meeste applicaties niet toegankelijk waren. De vorm waarin het onderwijs wordt
gegeven hangt uiteraard af van hoe afhankelijk een opleiding is van de geautomatiseerde
systemen. Een ict-opleiding is uiteraard meer afhankelijk van de inzet van digitale
leermiddelen dan andere mbo-opleidingen.

Vraag 14

Aangezien benodigde bestanden, applicaties en systemen volgens ROC Mondriaan vooralsnog
ontoegankelijk zijn, kan er al een inschatting worden gemaakt van de verwachte onderwijsachterstand
van studenten en cursisten eind 2021? Zo nee, wanneer kan zo’n inschatting wel worden
gemaakt?

Antwoord 14

Op dit moment is er nog geen duidelijk beeld of en in welke mate er sprake is van
door deze situatie ontstane onderwijsachterstanden. ROC Mondriaan zet alles op alles
om er voor te zorgen dat het onderwijs zo goed mogelijk door gaat. Om dit te bereiken
worden bijvoorbeeld, in het belang van de continuïteit van het onderwijs, examens
afgenomen bij andere instellingen.

Vraag 15

Kunt u al een inschatting maken van de schade en kosten die deze hack heeft veroorzaakt?

Antwoord 15

ROC Mondriaan is nog druk bezig met de herstelwerkzaamheden als gevolg van de hack.
Er is nog geen inschatting van de schade en kosten.

Vraag 16

Kunt u bovenstaande vragen afzonderlijk beantwoorden?

Antwoord 16

Ja.

Vraag 17

Kunt u bovenstaande vragen voor het commissiedebat «Digitalisering in het onderwijs»
van 30 september 2021 beantwoorden?

Antwoord 17

Ja.