ROC Mondriaan zegt een goed beeld te hebben van de data die de hackers eind augustus hebben buitgemaakt. Volgens de scholengemeenschap zijn er naast persoonlijke gegevens ook privacygevoelige data bemachtigd, waaronder identiteitsbewijzen. De betrokkenen zijn daarvan op de hoogte gesteld. Het ROC belooft om de kosten voor een nieuw identiteitsbewijs te vergoeden. Dat bevestigt ROC Mondriaan tegenover Omroep West.
Eind augustus maakte de Haagse scholengemeenschap bekend dat ze het slachtoffer was geworden van een cyberaanval. Hackers slaagden erin om de computersystemen binnen te dringen en de hand te leggen op privacygevoelige en andere vertrouwelijke informatie. Uit onderzoek weten we dat de aanvallers onder meer persoonsgegevens van docenten en studenten hebben gestolen, maar ook e-mails gericht aan ouders, klassenlijsten, afhandelingsformulieren van klachten, financiële gegevens en bedrijfsprotocollen van de school.
In een updatebericht laat ROC Mondriaan weten dat uit onderzoek is gebleken dat de data afkomstig zijn van een beperkt aantal fysieke servers. “Dat betekent dat de hackers geen toegang hebben gehad tot belangrijke applicaties: ons leerlingvolgsysteem Magister en HRM-systeem HR2day. Het grootste deel van de gevonden data betreft organisatie-informatie”, aldus de onderwijsinstelling.
ROC Mondriaan maakt een onderscheid tussen identiteitsgevoelige informatie, inhoudelijke en persoonlijke informatie, en persoonsgegevens. Kopieën van geldige identiteitsbewijzen behoren tot de eerstgenoemde categorie. Naar eigen zeggen is bij ‘een beperkt aantal’ betrokkenen een kopie van hun ID-bewijs gestolen. De meeste slachtoffers zijn inmiddels op de hoogte gebracht hiervan. De scholengemeenschap belooft om de kosten voor een nieuw identiteitsbewijs te vergoeden.
Van enkele tientallen personen zijn inhoudelijke en persoonlijke gegevens bemachtigd, zoals informatie over klachten, schorsingen en incidenten. De onderwijsinstelling benadrukt dat het veelal om ‘informatie van lang geleden’ betreft. Namen, contactgegevens, geboortedata, burgerservicenummers (BSN) en salarisgegevens vallen onder de noemer persoonsgegevens. Alle medewerkers en studenten waarvan deze informatie is gestolen, zijn daarvan op de hoogte gebracht.
De afgelopen weken zijn er meer details over de cyberaanval naar buiten gekomen. Zo weten we dat ROC Mondriaan getroffen is door een ransomware-aanval. Daarbij versleutelen de daders allerlei gegevens en dreigen deze openbaar te maken, tenzij het slachtoffer losgeld betaald. In deze zaak eisten de aanvallers vier miljoen euro.
Hans Schutte, voorzitter van het College van Bestuur van de Haagse onderwijsinstelling, heeft bevestigd dat het losgeld niet is overgemaakt naar de hackers die verantwoordelijk zijn voor de ransomware-aanval. Zodoende publiceerden de daders half september een groot aantal documenten op het dark web. ROC Mondriaan verwacht niet dat degenen die verantwoordelijk zijn voor de aanval nog meer gegevens online zetten.
“De ervaring met ransomware is dat als er niet wordt betaald, hackers alles in één keer op het dark web plaatsen en daarna niet meer. Daarom is het niet waarschijnlijk dat de hackers nog meer informatie hebben en die nog publiceren.”
Het ROC vertelt tegenover Omroep West dat ze hoopt dat medewerkers en studenten na de herfstvakantie weer gebruik kunnen maken van de systemen van de school. Cybersecuritybedrijf NFIR onderzoekt nog altijd de ransomware-aanval. Beveiligingsonderzoekers proberen antwoord te vinden op de vraag hoe de hackers de computersystemen zijn binnengedrongen. Het datalek is gemeld bij de Autoriteit Persoonsgegevens. Tevens is er aangifte gedaan bij de politie.
De Tweede Kamer heeft kritische vragen gesteld over de aanval met gijzelsoftware op ROC Mondriaan. Demissionair minister van Onderwijs, Cultuur en Wetenschap Ingrid van Engelshoven heeft onder meer gezegd dat het nu nog te vroeg is om vast te stellen of studenten leerachterstanden hebben opgelopen door de aanval. De bewindsvrouw heeft benadrukt dat de mbo-sector goed voorbereid is op cyberaanvallen. “De mbo-instellingen vormen op het gebied van informatiebeveiliging een hecht netwerk, gefaciliteerd door saMBO-ICT. Binnen dit netwerk wordt kennis gedeeld en worden gemeenschappelijke activiteiten georganiseerd”, aldus de minister.
