Als de HvA wordt gehackt, hoe schadelijk zijn dan de gevolgen voor jou?
Pexels
Veel van jouw gegevens als student worden online bewaard. Dat maakt het hoger onderwijs kwetsbaar voor hackers, bleek afgelopen maand maar weer. Roeland Reijers, die over de cyberveiligheid van de HvA waakt, kent de gevaren: ‘We kunnen nooit 100 procent veilig zijn.’
Begin oktober is het weer raak: opnieuw valt het hoger onderwijs ten prooi aan een cyberaanval. Duizenden gegevens van studenten en medewerkers van de Hogeschool Utrecht en TU Eindhoven blijken door een hack op een IT-bedrijf te zijn gestolen, zo bericht RTL Nieuws.
Het ging om een hack op ID-ware, een Duits IT-bedrijf dat collegekaarten maakt voor onder andere die twee instellingen (zie kader). Namen, adressen en ook mailgegevens van zeker 21.000 studenten en medewerkers zijn gestolen en op het dark web geplaatst. Meer onderwijsinstellingen zouden zijn getroffen. De HvA daar niet bij, zo bevestigt een woordvoerder.
De cyberaanval van begin oktober werd gepleegd bij ID-ware, een Duits IT-bedrijf dat toegangspassen maakt waarmee je kunt printen en de gebouwen van je instelling in kunt. Passen zoals we die ook op de HvA hebben.
ID-ware maakt ook passen voor medewerkers van de Eerste en Tweede Kamer, al zouden die gegevens niet zijn gelekt. De HvA heeft geen last van de hack: de hogeschool laat haar collegekaarten namelijk ontwikkelen door een ander it-bedrijf.
‘Het is de zoveelste keer dat we lezen over een geslaagde cyberaanval in het hoger onderwijs’, vertelt Roeland Reijers. Als Chief Information Security Officer (CISO) probeert Reijers de HvA zo cyberveilig mogelijk te houden. Maar hij is ook realistisch: de HvA blijft kwetsbaar. ‘We proberen onszelf zo goed mogelijk te wapenen. Maar niet elke aanval is te voorkomen: je security is nu eenmaal nooit 100 procent.’
De hack-aanval van afgelopen oktober had de HvA in theorie ook kunnen overkomen?
‘Mogelijk. Bij de hack begin oktober werden we zoals gebruikelijk geïnformeerd en wisten we meteen dat we niet getroffen waren. Voor het beheer van onze HvA-passen werken wij namelijk samen met een andere partner dan ID-ware, het bedrijf dat werd gehackt.’
‘Een hacker die in het bezit komt van jouw gegevens, zou identiteitsfraude kunnen plegen’
‘Wel was het voor ons weer een leermoment: zijn we ook kwetsbaar voor dit type aanval? Als instituut ga je vanzelfsprekend alleen in zee met bedrijven die goed staan aangeschreven en aan je eisen voldoen; toch blijkt dat het dan alsnog mis kan gaan. Het toont maar weer wat voor risico’s we lopen als onderwijsinstelling, als je met it-bedrijven samenwerkt.’
Hoe schadelijk is zo’n hack voor de student en medewerker wiens gegevens zijn gelekt? Is alleen je privacy in het geding, of loop je ook financiële risico’s als de HvA wordt getroffen?
‘Dat is afhankelijk van wat er wordt gestolen, maar dat kan zeker. Stel dat een hacker jouw e-mailadres via de HvA steelt. Dan heb je ten eerste een verhoogde kans op phishing mails: valse e-mails waarmee de hacker jou bijvoorbeeld vraagt om je emailadres of wachtwoord aan te passen, of andere gevoelige informatie te delen.’
‘Maar als HvA zijn we ook in het bezit van veel persoonlijke gegevens, of bijvoorbeeld een kopie van je identiteitsbewijs. Dat is vanwege de wet, ook. Een hacker die in het bezit komt van zulke gegevens, zou mogelijk identiteitsfraude kunnen plegen, door bijvoorbeeld leningen met die gegevens af te sluiten. Ook hebben we gevoelige informatie van onderzoekers in huis. Die onderzoeksdata moeten we goed beschermen, zodat niet iemand anders ermee vandoor gaat.’
Wat zijn verdere gevaren voor de HvA zelf?
‘In de meeste gevallen gaat het de hackers puur om het geld. Dan heb ik het over afpersing: ze stelen je data, dreigen die online te zetten of tegen je te gebruiken en vragen om losgeld. Kijk naar de Universiteit van Maastricht, die 200.000 euro losgeld betaalde aan hackers.’
‘Maar in bredere zin kan een cyberaanval ook imagoschade opleveren. Stel dat een hacker het systeem binnenkomt en een diploma buitmaakt of cijfers in het systeem kan aanpassen. Dan kan je daar vervolgens bij een bedrijf meer aankloppen en zeggen: kijk, ik heb aan de HvA gestudeerd met dit mooie rapport, kan ik bij jullie werken?’
‘Een extreem voorbeeld wellicht, maar dat geeft je een idee van hoe verstrekkend de gevolgen kunnen zijn. Want als zulke gegevens worden gemanipuleerd, dan kan een diploma aan de HvA minder waard worden. Zulke imagoschade heeft natuurlijk grote, financiële gevolgen.’
Het is bepaald niet de eerste keer dat het onderwijs getroffen wordt door een cyberaanval. Ook de HvA is eerder gehackt. Hoe cyberveilig is de HvA nu?
‘De afgelopen jaren hebben we onszelf verbeterd, denk ik, onder meer door een beter wachtwoordbeleid, multiverificatiesystemen en back-upsystemen. Dat is nogal technisch, maar, kort door de bocht: ik heb het idee dat we nu aardig weerbaar zijn. We leren natuurlijk continu. Hoe hackers in 2021 bij ons binnenkwamen, dat kan in ieder geval niet meer op dezelfde manier.’
‘We moeten ons echt beseffen hoe afhankelijk we zijn’
‘Het helpt denk ik dat de HvA samenwerkt met de UvA en met SURFDe ICT-vereniging voor onderwijs en onderzoek. Dat partnerschap maakt dat we de slagkracht hebben om betere voorwaarden en veiligheidseisen af te dwingen bij een bedrijf als Microsoft, dat een groot deel van onze gegevens in huis heeft. Zo’n bedrijf luistert toch minder snel naar kleine instellingen.’
Over Microsoft gesproken: 75% van de gegevens van Nederlandse studenten en medewerkers worden inmiddels door Amerikaanse big tech-bedrijven opgeslagen. Cyberexperts en hoogleraren vrezen dat we te afhankelijk worden van deze bedrijven. Hebben ze gelijk, is dat zorgelijk?
‘Ja, op de langere termijn wel. We moeten echt beseffen hoe afhankelijk we aan het worden zijn van dit soort grote leveranciers. Want als er iets fout gaat bij Microsoft, hebben wij als HvA meteen een groot probleem.’
‘In bredere zin is het echter een probleem voor heel Europa. We zijn nu heel afhankelijk van technologie uit een ander land, namelijk de Verenigde Staten. Wat als er daar iemand aan de macht komt die het niet zo op heeft met Nederland? Kijk maar wat voor problemen we hebben met ons gas, nu Rusland niet onze vriend blijkt. Ook op het gebied van IT zijn we nu te afhankelijk van een ander land.’
De HvA moet dus haar eigen datasysteem ontwikkelen, om zo minder afhankelijk te worden van Amerikaanse bedrijven?
'Tja, maar zo’n systeem als dat wat Microsoft heeft, dat kun je niet zomaar bouwen. Dat vraagt veel kennis van technologie, veel tijd en veel geld. Op korte termijn is dat er niet. We zullen op Europees niveau veel meer moeten samenwerken. Wat niet betekent dat we nu zelf niet naar alternatieven kijken, maar op korte termijn zijn die er niet.’
