Organisatie gehackt en gegevens op straat? Snel en zorgvuldig handelen!
18 december 2023
Het incident speelde twee jaar geleden, maar het staat Tijs van der Wielen nog altijd helder voor de geest. ‘De schok die er door je heen gaat als je beseft dat je niet meer bij je systemen kunt en er privégegevens van je cliënten, leerlingen en personeel op straat kunnen liggen! Natuurlijk was er paniek. We hebben direct een crisisteam geformeerd en zijn aan de slag gegaan.’
Communiceer over de feiten
Het interne crisisteam met Van der Wielen, meerdere collega’s van ICT, communicatie, de chief information security officer (CISO) en de functionaris gegevensbescherming (FG) was in een half uur opgezet. Ook het externe crisisteam, met de ICT-dienstverlener en een specialistisch cybersecurity bedrijf, ging snel aan de slag. Van der Wielen: ‘We communiceerden via WhatsApp. Gelukkig heb ik in mijn vorige functies regelmatig crisisoefeningen gedaan. Belangrijk is om te communiceren over de feiten. Je moet besluiten nemen op basis van kennis die je op dat moment hebt. Natuurlijk lopen de emoties wel eens hoog op. Maar daar kun je niet lang bij stil bij blijven staan, dat helpt niet bij het oplossen van de crisis en je hebt elkaar hard nodig.’
Schade in kaart brengen
Forensisch onderzoek wees uit dat een hacker was binnengedrongen en dat er om losgeld was gevraagd om de bestanden te ontsleutelen. Het crisisteam maakte een analyse van de schade. Welke informatie was precies weg, waren de back-ups schoon en welke processen zijn kritisch voor de organisatie? Als zorg- en onderwijsorganisatie voor kinderen en volwassenen die ernstige problemen hebben met horen, spreken of hun taalontwikkeling, werken we dagelijks niet alleen met leerlinggegevens maar ook met zorgdossiers. Gevoelige persoonlijke informatie dus.
De afweging is: ga je voor snelheid of veiligheid bij de heropbouw van het systeem?
Zorg voor leerlingen en cliënten voorop; angst voor identiteitsfraude
Van der Wielen: ‘De zorg voor leerlingen en cliënten stond voorop, maar ook de zorg voor onze collega’s. Enkele medewerkers waren bang voor identiteitsfraude. Dat raakt mensen persoonlijk. En het werk met cliënten op onze Audiologische Centra was moeilijk, omdat de cliëntendossiers offline niet beschikbaar waren.’
Snelheid of veiligheid?
Uit het forensisch onderzoek bleek dat alleen de netwerkschijven waren besmet. De back-ups en de data in de cloud waren schoon. Er werd aangifte gedaan bij de politie en een melding gedaan bij de autoriteit persoonsgegevens. ‘De afweging is: ga je voor snelheid of veiligheid bij de heropbouw van het systeem? Stap voor stap hebben we steeds een stukje gepakt en het hersteld’, legt Van der Wielen uit.
Persoonlijk bericht
Met een klein team zochten ze de ontvreemde files nauwkeurig uit om te beoordelen welke gegevens van mensen in het geding waren. ‘Denk aan geboortedatum, adres of BSN-nummer. Zo konden we bepalen of er gevaar voor identiteitsfraude was. Dat bleek bij een beperkte groep het geval te zijn. Het was een behoorlijke klus. Maar we wilden dit zorgvuldig aanpakken. De mensen die het betrof, zijn ook allemaal persoonlijk geïnformeerd.’
Hoewel wij goed beveiligd waren, hadden we nog regelmatiger PEN-testen moeten doen en strakker kunnen sturen op ICT-veiligheid
Strakker sturen op digitale veiligheid
Terugkijkend: had het voorkomen kunnen worden? ‘Er bleek een server op verouderde software te draaien, weliswaar op ons verzoek. Door een muizengaatje is er een hacker binnengedrongen. De schuldvraag ligt in het midden’, legt Van der Wielen uit. ‘Hoewel wij goed beveiligd waren, hadden we nog regelmatiger PEN-testen moeten doen en strakker kunnen sturen op ICT-veiligheid, bijvoorbeeld met meer uniformiteit en standaardisatie in ict-systemen op onze scholen en zorglocaties.’
Ook veerkracht gezien
De organisatie heeft ook de eisen aangescherpt voor medewerkers: elke dag moeten zij hun identiteit bevestigen bij het inloggen door een multifactorauthenticatie (MFA). En ook al is het onhandig, laptops gaan sneller in de veilige stand. ‘Toch heeft dit nare incident mij ook iets moois laten zien. Onze medewerkers zijn veerkrachtig, er is geen klas of groep naar huis gestuurd. Iedereen heeft de schouders eronder gezet en hielp elkaar. Dat maakte een ongekende energie los.’
Is jouw school digitaal veilig?
Een cyberincident kan iedereen overkomen. Schoolbestuurders hebben de verantwoordelijkheid om samen met (de) schoolleider(s) en IBP’er(s) een digitaal veilige omgeving voor hun leerlingen en medewerkers te realiseren. Voor eind 2027 moeten alle schoolorganisaties in het po en vo voldoen aan het Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs (IBP FO). Kijk op www.digitaalveiligonderwijs.nl welke stappen je nu kunt zetten om je organisatie digitaal veilig te maken.