Instellingen

Op scholen is ICT vaak nog 'houtje-touwtje' geregeld

Wat hebben hackers op een school te zoeken?
Wat hebben hackers op een school te zoeken? © ANP
LOCHEM - Het Staring College, met vestigingen in Lochem en Borculo, viel deze week ten prooi aan cybercriminelen. Die versleutelden essentiële gegevens binnen de school en eisten een onbekend geldbedrag om de boel weer vrij te geven. De middelbare school gaf zich gewonnen, betaalde en kreeg weer toegang. Kenners zeggen dat ICT-zaken op veel scholen nog 'houtje-touwtje' zijn geregeld.
Scholen bezitten meer essentiële informatie dan ze zelf misschien denken. NAW-gegevens en BSN-nummers van honderden leerlingen en medewerkers zijn verhandelbaar op internet. Wie kwaad in de zin heeft, kan er identiteitsfraude mee plegen. De dreiging om zo veel privacygevoelige informatie te verkopen kan scholen door de knieën doen gaan om losgeld te betalen en de touwtjes zelf weer in handen te krijgen.

Onderwijs in gevaar

Wel of niet betalen is een afweging die iedere organisatie voor zich moet maken, zegt Liesbeth Holterman. Zij is als adviseur verbonden aan het regionale Cybersecurity Centrum Maakindustrie. "In dit geval lijkt het onderwijs in gevaar te zijn geweest. Dan kan ik me, zeker met de pandemie waar we in zitten en de achterstanden die je daardoor wel of niet hebt opgelopen, voorstellen dat je de afweging maakt wel te betalen."
Bekijk onze reportage uit Lochem. De tekst gaat eronder verder
De ICT op scholen is vaak 'houtje-touwtje'.
Hoewel Holterman de specifieke casus van het Staring College niet kent, zegt ze dat veel onderwijsinstellingen dezelfde fouten maken. Er wordt niet frequent genoeg een back-up gemaakt - of de back-up staat op dezelfde server als het operationele systeem. Simpel gezegd: de kopieën van de belangrijkste papieren liggen pal naast het origineel. Wie beide documenten steelt, heeft de macht in handen.

Totaal geen benul

Dat besef is niet bij alle onderwijsinstellingen ingedaald, zeggen de experts. Marco Bijl van DigiTrust uit Apeldoorn, dat bedrijven audit en certificeert op cyberveiligheid, zegt dat menig school er zelfs 'totaal geen benul van heeft' dat er ook bij hén iets te halen valt. "Van de slager om de hoek tot het autobedrijf in de stad en de school in de buurt wordt gedacht: waarom zouden hackers mij moeten hebben? En dat is wel een teken aan de wand", zegt Bijl.
Een aantal jaren geleden waren het met name grote bedrijven en hogescholen die cyberaanvallen te verduren kregen, zegt hij. Dat is veranderd. "We zien een trend dat meer bedrijven in het midden- en kleinbedrijf worden aangevallen. Bedrijven, en ook scholen, vallen ten prooi aan ransomware. Hackers doen een inschatting wat een organisatie waard is en wat er te halen valt. Is die organisatie een moeilijke prooi of juist een makkelijke? Zo kunnen veel bedrijven en scholen slachtoffer worden. De hacker vraagt om x-duizend euro losgeld en de ondernemer ziet geen andere optie dan te betalen."

Rammelen aan de poortjes

En dan is er nog de kwetsbaarheid van toegang. Holterman trekt de vergelijking met een woonhuis. "Als één of twee mensen van een sleutel van de woning hebben, is de kans niet groot dat iemand met slechte intenties zijn gang kan gaan in die woning. Hebben dertig mensen de sleutel, dan maakt je dat kwetsbaar. Zo is het ook met veel onderwijsinstellingen. Te veel mensen hebben autorisaties. Criminelen rammelen aan alle poortjes, totdat ze via het slechtst beveiligde poortje binnen weten te komen."
De server staat onder de trap of op de kamer van de conciërge.
Veel scholen realiseren zich onvoldoende dat zij niet meer zonder digitale bedrijfsvoering kúnnen. De leerlingenadministratie, het verzuim, de gediplomeerden, de adresgegevens, de cijferlijsten en de lesstof: alles staat digitaal opgeslagen. Een cybercrimineel die dat versleutelt en een zak geld eist om de sleutel af te geven, nestelt zich in een gevaarlijk machtige positie. Betaalt de school niet, dan staan docenten en leerlingen met de rug tegen de muur. Onderwijs geven gaat niet meer.
De tekst gaat verder onder de foto:
Leerlingen in een klas. Afbeelding ter illustratie.
Leerlingen in een klas. Afbeelding ter illustratie. © Tima Miroshnichenko via Pexels

Houtje-touwtje op school

En omdat een school misschien niet snel doelwit denkt te worden, wordt binnen de schoolmuren soms naïef omgesprongen met de cybersecurity. Of, zoals Marco Bijl het beschrijft, het is een beetje houtje-touwtje op scholen. "De server staat onder de trap of op de kamer van de conciërge. Er wordt gewerkt met oude besturingssystemen, de virusscanner of de firewall is verouderd en er worden geen back-ups gemaakt. Dat is gevaarlijk", weet Bijl.
Een hacker kan een school treiteren door het primaire proces plat te leggen. Iemand met kwaad in de zin heeft slechts het ip-adres van de school nodig om te ontdekken op welk besturingssysteem de school draait. Daarna kan hij kijken of er poorten openstaan en aan welk hekje hij moet rammelen om binnen te komen.

Voldoen aan 114 eisen

DigiTrust-directeur Bijl roept scholen op veel bewuster te worden van het afbraakrisico. "Neem de basisregels goed in acht. Zorg voor goede wachtwoorden, een goede virusscanner, een goede firewall", raadt hij aan. "Je moet aan 114 eisen voldoen om optimaal beveiligd te zijn. En een school moet die eigenlijk ook allemaal toepassen."
Liesbeth Holterman is blij dat het Staring College open kaart speelt naar buiten. Dat helpt om bewustwording te creëren. "Ze moeten met de billen bloot, omdat ze nergens meer bij kunnen. Net zoals de Universiteit van Maastricht eerder deed. Ik hoop ontzettend dat scholen die dit overkomt, durven te zeggen: dit is ons overkomen, leren jullie dit ervan. De Universiteit Maastricht deed dat heel goed. En de gemeente Lochem kroop twee jaar geleden al eens door het oog van de naald. De burgemeester heeft toen heel uitgebreid en in het openbaar besproken hoe belangrijk cybersecurity is."
💬 WhatsApp ons!
Heb jij een tip of opmerking voor de redactie? Stuur ons een bericht op WhatsApp of stuur een mail: omroep@gld.nl!