In december 2019 lagen opeens de systemen van Maastricht University plat. Cybercriminelen eisten losgeld, dat de universiteit ook daadwerkelijk betaalde. Het schudde het hoger onderwijs wakker – al bleek het beslist niet het laatste voorval.
Deze maand nog bleek dat de Hogeschool van Arnhem en Nijmegen (HAN) de veiligheid niet op orde had. Een hacker maakte privégegevens buit en eiste eveneens geld. De hogeschool betaalde niet en de gegevens liggen op straat.
De Inspectie van het Onderwijs begon vorig jaar aan een onderzoek: hoe staat het ervoor met de digitale veiligheid in het hoger onderwijs? Het rapport is vandaag naar de Tweede Kamer gestuurd.
Back-ups
Het kan beter, is de conclusie. De instellingen hebben wel van alles gedaan met wachtwoorden, back-ups en bewustwording onder studenten en medewerkers, maar het volstaat niet altijd.
Dan belandt de inspectie op een lastig punt. Hogescholen en universiteiten zijn behoorlijk autonoom. Ze nemen zelf beslissingen over hun huisvesting, onderwijs, personeelsbeleid enzovoorts, en dus ook over hun cyberveiligheid.
“De stap van autonomie naar vrijblijvendheid is echter snel gezet”, vrezen de inspecteurs. De autonomie van onderwijsinstellingen beperkt de mogelijkheden om landelijk de cyberweerbaarheid te verbeteren.
De overheid moet “meer regie” nemen, is de conclusie. Nu rust de digitale veiligheid van onderwijsinstellingen soms op de schouders van enkele gespecialiseerde medewerkers. En eigenlijk kan dat niet, hoe toegewijd zij hun werk ook doen. Cursor had eerder dit jaar een gesprek met Bart Luijten, de Chief Information Officer (CIO) van de TU/e, over deze problematiek en de strategie die de Eindhovense universiteit hierbij hanteert.
Aangehaakt
Sommige instellingen zijn niet aangehaakt bij specialistische cyberveiligheidplatforms en -netwerken, staat in het rapport, waardoor ze geen toegang hebben tot gedeelde kennis, informatie over cyberdreigingen en gezamenlijke evaluaties.
Hoeveel regie de overheid moet nemen? Daarover doen de inspecteurs geen harde uitspraken, maar ze lijken te suggereren dat de overheid met financiële oplossingen moet komen. Nu betalen de instellingen hun veiligheidsmaatregelen uit hun totale budget: extra investeringen gaan dus ten koste van onderwijs, onderzoek en faciliteiten.
Ook de financiële gevolgen van een hack komen voor rekening van individuele instellingen. Stel dat de systemen drie maanden plat liggen, betaal je dan losgeld? Maastricht deed dat wel, maar eigenlijk is dat niet wenselijk: het houdt het verdienmodel van de criminelen in stand.
De inspectie pleit voor solidariteit in het stelsel. “Kosten voor preventie en voor het oplossen van een hack moeten in gezamenlijkheid gedragen kunnen worden.”
Bundelen
Verder moeten instellingen de krachten bundelen, is een van de aanbevelingen. Ze moeten beter samenwerken en informatie delen. Vanwege de razendsnelle ontwikkelingen in ict moeten ze ook “gezamenlijk actief blijven leren en vernieuwen”. Bestuurders moeten cyberveiligheid bij hun risicoanalyses betrekken.
En dat kan vast geen kwaad. Toch twijfelt de inspectie of het wel genoeg is, blijkt uit het rapport. Er zijn nu eenmaal “achterblijvers”. Een nieuwe toezichthouder voor cyberveiligheid heeft ook weinig zin: dat zou ten koste gaan van openheid, zodat de instellingen minder goed van elkaars fouten kunnen leren.
Met andere woorden, de overheid moet haar verantwoordelijkheid nemen. “Die centrale regie hoeft ook niet strijdig te zijn met een decentrale sturing op onderwijs en onderzoek”, schrijft de inspectie hoopvol.
Maar dat vergt een flinke ingreep in het beleid. Vermoedelijk schuift het demissionaire kabinet die beslissing door naar de volgende regering. Dat zal duidelijk zijn op 30 september, als de Tweede Kamer over cyberveiligheid in het onderwijs debatteert.
Discussie