Antwoord schriftelijke vragen : Antwoord op vragen van de leden Van Meenen en Van Ginneken over het bericht dat het ROC Mondriaan in Den Haag is gehackt
Vragen van de leden Van Meenen en Van Ginneken (beiden D66) aan de Ministers van Onderwijs, Cultuur en Wetenschap en voor Rechtsbescherming over het bericht dat het ROC Mondriaan in Den Haag is gehackt (ingezonden 30 augustus 2021).
Antwoord van Minister Van Engelshoven (Onderwijs, Cultuur en Wetenschap) (ontvangen
21 september 2021).
Vraag 1
Bent u bekend met het artikel «ROC Mondriaan in Den Haag gehackt: «Medewerkers staan
werkloos bij de vestigingen»»?1
Antwoord 1
Ja.
Vraag 2
Welke gevolgen heeft de hack tot op heden voor docenten en studenten?
Antwoord 2
Zodra ROC Mondriaan de hack ontdekte, heeft het uit voorzorg alle systemen dichtgezet.
Hiermee konden docenten en studenten niet meer bij hun documenten en veel van de applicaties
werkten niet. In de week voorafgaand aan de opening van het nieuwe schooljaar heeft
ROC Mondriaan er hard aan gewerkt om er voor te zorgen dat de school op maandag 30 augustus
wel open kon gaan. Dit is gelukt. Het onderwijs aan de studenten is grotendeels doorgegaan,
maar wel zonder gebruik van de bestanden en de meeste applicaties. Zodra het veilig
kan, worden systemen, bestanden en applicaties toegankelijk gemaakt. Zo is op 6 september
jl. weer een wifi-netwerk beschikbaar gesteld voor studenten en beschikken steeds
meer docenten weer over een laptop. Ook worden alternatieve oplossingen gezocht in
het kader van het waarborgen van de continuïteit van het onderwijs. Zo worden bijvoorbeeld
examens afgenomen bij andere instellingen.
Vraag 3
Wanneer verwacht u dat de systemen weer volledig toegankelijk zijn?
Antwoord 3
Dat is op dit moment niet te zeggen. ROC Mondriaan heeft een gespecialiseerd forensisch
IT-bedrijf ingeschakeld en SURF ondersteunt ROC Mondriaan in het onderzoek naar de
oorzaak en omvang van de hack. Geleidelijk aan gaan er meer systemen open, maar alleen
als dit veilig kan. ROC Mondriaan heeft aangegeven dat het een aantal weken duurt
voordat alle systemen weer opnieuw zijn opgebouwd. Daarbij voert ROC Mondriaan meteen
verbeteringen door in de informatiebeveiliging zoals multifactor authenticatie (MFA)
voor studenten.
Vraag 4
Welke acties onderneemt u om de start van het schooljaar in goede banen te leiden?
Antwoord 4
ROC Mondriaan heeft er hard aan gewerkt om het nieuwe schooljaar zo goed mogelijk
te beginnen. Ik sta in nauw contact met de instelling en waar nodig zal ik ROC Mondriaan
ondersteunen.
Vraag 5
Wanneer wordt de uitkomst verwacht van het digitaal onderzoek naar de omvang van de
hack?
Antwoord 5
Dat is op dit moment niet te zeggen.
Vraag 6
Is al duidelijk of er bij de hack ook gegevens over studenten of docenten zijn buitgemaakt
en zo ja om welk soort gegevens gaat het dan en wanneer worden studenten en docenten
hierover geïnformeerd?
Antwoord 6
De hackers hebben op 14 september 2021 voor het eerst gegevens op het internet gepubliceerd.
Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie
het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten,
mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten
en medewerkers die het betreft zo snel mogelijk hierover informeren.
Vraag 7
Zijn andere ROC ’s goed toegerust op het voorkomen van een soortgelijke hack?
Antwoord 7
Er worden binnen de mbo-sector diverse initiatieven genomen om het risico op dit soort
aanvallen te beperken. De mbo-instellingen vormen op het gebied van informatiebeveiliging
een hecht netwerk, gefaciliteerd door saMBO-ICT. Binnen dit netwerk wordt kennis gedeeld
en worden gemeenschappelijke activiteiten georganiseerd. Er wordt veel samengewerkt
met SURF en gebruikgemaakt van diverse diensten van SURF. Zo dragen veel mbo-instellingen
bij aan het Cyberdreigingsbeeld van SURF en hebben 11 mbo’s dit jaar meegedaan aan
de tweejaarlijkse cybercrisisoefening OZON, die SURF samen met de instellingen organiseert.
Ook bereiden de eerste mbo’s zich voor op aansluiting op SURFsoc, het via SURF aangeboden
Security Operations Centre dat de instellingen in staat stelt om tijdig inbraakpogingen
in het netwerk te signaleren en in te grijpen.
Binnen de mbo-sector wordt jaarlijks een benchmark afgenomen op het gebied van informatiebeveiliging,
privacy en examinering, de Benchmark IBP-E. Sinds 2019 doen alle mbo-instellingen
hieraan mee.
De lessen die we leren uit dit incident zullen benut worden voor de informatiebeveiliging
van de gehele MBO-sector.
Vraag 8
Hoe voorkomt u dat een dergelijke hack in de toekomst nogmaals plaatsvindt op een
ROC?
Antwoord 8
Helaas zijn dergelijke incidenten nooit uit te sluiten. Dat neemt niet weg dat er
altijd aanvullende maatregelen genomen kunnen worden om de beveiliging te verbeteren,
zoals bijvoorbeeld de hiervoor genoemde dienst SURFsoc. Ik zal met de MBO Raad in
gesprek gaan over eventuele drempels die de mbo-instellingen ervaren bij de implementatie
van dergelijke beveiligingsoplossingen en wat nodig is om deze weg te nemen. Ik neem
hierin de aanbevelingen uit het Inspectierapport over de digitale weerbaarheid in
het Hoger Onderwijs mee2.
Ondertekenaars
I.K. van Engelshoven, minister van Onderwijs, Cultuur en Wetenschap
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.