Proctorio informeerde TU/e niet over mogelijk lek
Proctorio informeerde de TU/e pas gisteren, woensdag 15 december, iets voor het middaguur over een lek dat in juni van dit jaar buitenstaanders de mogelijkheid gaf mee te kijken met de camerasurveillance en ze toegang gaf tot online accounts van gebruikers van deze software. Sinds maart 2020 gebruikt de TU/e Proctorio voor online tentaminering. ESA-directeur Patrick Groothuis wil van Proctorio weten waarom dit niet eerder is gemeld.
Volgens de verklaring die Proctorio gisteren om 11.52 uur deed toekomen aan de TU/e, werden ze op 17 juni van dit jaar door RTL Nieuws op de hoogte gesteld van de ‘kwetsbaarheid’ binnen hun systeem. RTL Nieuws had aan een groep ethische hackers gevraagd te proberen Proctorio te hacken. Het mogelijke lek zou volgens Proctorio op 24 juni weer zijn gedicht.
Patrick Groothuis, directeur van Education and Student Affairs, zegt van Proctorio niets te hebben vernomen over deze kwestie in de periode dat de hackpoging en het herstellen van het lek zich hebben voorgedaan. Het eerste bericht hierover kreeg hij gisteren. Groothuis: “We hebben regelmatig contact met Proctorio. Over dit issue zijn we nu in overleg om onder andere helder te krijgen waarom we niet eerder zijn geïnformeerd.”
Schade
Volgens Groothuis zijn er op dit moment geen aanwijzingen dat de kwetsbaarheid daadwerkelijk werd misbruikt, en dat studenten van de TU/e er schade aan ondervonden hebben. De TU/e zet Proctorio alleen in als corona tot capaciteitsbeperkingen leidt op de campus en de voortgang van tentamens daardoor in gevaar dreigt te komen, aldus Groothuis. Er lopen volgens hem ook kleinschalige pilots met Proctorio, “bijvoorbeeld voor authentieke toetsen en selectietoetsen, of op verzoek van individuele studenten in zeldzame situaties, zoals bijvoorbeeld voor topsportstudenten.”
De ESA-directeur zegt er nog steeds van overtuigd te zijn dat Proctorio op dit moment optimaal beveiligd is. Vorig jaar juli kondigde Groothuis aan dat de TU/e samen met SURF en met enkele andere instellingen ging onderzoeken of er een audit kon worden uitgevoerd op de software van Proctorio. Heeft zo’n audit ook plaatsgevonden?
“De TU/e werkt ten aanzien van toetsing nauw samen met SURF”, zegt Groothuis. “De beveiliging van Proctorio heeft namelijk bij alle universiteiten constant een hoge aandacht gehad. Ten aanzien van de audit heeft de Universiteit van Amsterdam in 2020 een lang traject doorlopen om de veiligheid en de privacy goed te borgen. Daarvoor is de Zero-Knowledge encryption van Proctorio doorgelicht. Proctorio heeft pentesten moeten laten uitvoeren op zowel hun cloud-oplossing als hun browser plug-in, en ze zijn inmiddels ISO 27001 gecertificeerd. SURF en TU/e hebben dit telkens nauwlettend gevolgd.”
Discussie