Home Praktijkvoorbeeld Een hack en gijzelsoftware: denk niet dat het jou niet overkomt

Een hack en gijzelsoftware: denk niet dat het jou niet overkomt

04 december 2023

Een hack van het ict-systeem, waardoor gijzelsoftware kon worden geïnstalleerd en alle servers en gegevens onbereikbaar waren, dat gebeurde bij OSG Hengelo. ‘Heel vervelend, maar we huren experts in en die lossen dat met onze ict-mensen wel op. Dat dacht ik even. Maar het werd een nachtmerrie waarin we voor duivelse dilemma’s kwamen te staan’, zegt schoolbestuurder Arjan Brunger.


Het internet deed een beetje raar. Zo begon het in juni 2023, herinneren Arjan Brunger en Jan Mensen, hoofd Financiën en Control, zich. Ze waren net met het MT in een tweedaagse training toen hun eigen ict-afdeling een onverklaarbaar probleem constateerde in het netwerk. Er bleek in het systeem te zijn ingebroken. ‘Dat was natuurlijk een schok, want wij hadden onze beveiliging best goed op orde. We besloten een gespecialiseerd bedrijf in te schakelen om ons te helpen. Ik moest direct langskomen om knopen door te hakken’, vertelt Arjan.
 

Alle informatie weg, ook de back ups

Omdat hij met Jan in die training zat, besloten ze samen te gaan. Wel zo praktisch en dat bleek een goede beslissing. Want het cybersecuritybedrijf constateerde dat het probleem veel groter was dan zij zich realiseerden. Er was gijzelsoftware (ransomware) geïnstalleerd, de beeldschermen stonden op ‘zwart’: alle informatie was weg, ook de back-ups. Arjan: ‘Toen brak het angstzweet me uit. We kregen een kijkje wat er speelde op het darkweb, hoe criminelen je willen afpersen. Het is een wereld die je niet kent. Vanaf dat moment nam het bureau de teugels in handen; zij zijn daarin gespecialiseerd en weten precies welke stappen er genomen moeten worden.’

Elke keuze roept discussie op. Gelukkig konden Jan en ik daar goed over sparren.

Arjan Brunger Schoolbestuurder

Invloed op onderwijs viel mee

De school schakelde ook een juridisch expert in die de communicatie met de media op zich nam en de contacten met de politie om aangifte te doen. Samen met het cybersecurity bedrijf vormden ze het crisisteam. De functionaris gegevensbescherming (FG) en privacy officer hielden ze steeds op de hoogte. Ook docenten, ouders en leerlingen werden geïnformeerd. ‘Het had gelukkig niet veel invloed op het onderwijs’, vertelt Arjan. ‘Natuurlijk was het lastig om geen internet te hebben maar de lessen konden gewoon doorgaan. Gegevens van leerlingen draaiden op Magister en ook de personeelsadministratie was veilig. Wel was alle bovenschoolse informatie weg. Drie scholen binnen de stichting waren getroffen. En dat is moeilijk, want je weet ook niet wat er precies weg is.’
 

Duivels dilemma

De volgende stap was om de informatie weer terug te krijgen. Dat bleek een duivels dilemma, aldus Arjan. ‘Ga je niet onderhandelen, dan liggen gegevens op straat en kan het je vijf jaar kosten om alles te herstellen. Als je wel onderhandelt moet je erop vertrouwen dat mensen hun afspraken nakomen. Ik heb er slapeloze nachten van gehad. Elke keuze roept discussie op. Gelukkig konden Jan en ik daar goed over sparren. Uiteindelijk kozen we voor onderhandelen en was het binnen drie weken geregeld.’

Het is belangrijk is om gegevens in de organisatie zo veel mogelijk te segmenteren om de potentiële schade beperkt te houden

Jan Mensen hoofd Financiën en Control

Wees voorbereid

Over de details willen Arjan en Jan verder geen uitspraken doen. Het leidt af van het echte probleem: hoe kun je ervoor zorgen dat je digitaal veilig bent? ‘Honderd procent veilig bestaat niet’, zegt Arjan. ‘De oorzaak van de hack kon niet worden achterhaald. Misschien is iemand via een gestolen wachtwoord binnengedrongen of is er op een onveilig linkje geklikt. Wij hadden onze beveiliging echt goed geregeld. Heb dus niet de illusie dat het je niet overkomt.’ Nog meer beveiligen heeft ook zijn grenzen, voegt Jan toe: ‘Want kun je dat financieel nog verantwoorden? We hebben vooral pech gehad.’

Een les die ze willen meegeven is dat het belangrijk is om gegevens in de organisatie zo veel mogelijk te segmenteren om de potentiële schade beperkt te houden. Met een 24/7 detectie kun je meteen het systeem afkoppelen als er een verdacht signaal binnenkomt. Zet in op bewustwording van medewerkers met trainingen over veilig digitaal werken. En als het toch mis gaat, schakel dan experts in, adviseren zij tot slot.
 

Is jouw school digitaal veilig?

Een cyberincident kan iedereen overkomen. Schoolbestuurders hebben de verantwoordelijkheid om samen met (de) schoolleider(s) en IBP’er(s) een digitaal veilige omgeving voor hun leerlingen en medewerkers te realiseren. Voor eind 2027 moeten alle schoolorganisaties in het po en vo voldoen aan het Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs (IBP FO). Kijk op www.digitaalveiligonderwijs.nl welke stappen je nu kunt zetten om je organisatie digitaal veilig te maken.