Nieuws

  • Jelle Groenendaal

Cyberaanval Universiteit Maastricht: Korte reflectie op het rapport van de Onderwijsinspectie

Naar aanleiding van de cyberaanval op de Universiteit Maastricht (UM) op 23 december 2019 heeft de Inspectie van het Onderwijs een onderzoek gepubliceerd over de preventie en respons van de universiteit. Door de aanval raakte een groot deel van de systemen versleuteld waardoor de gegevens van medewerkers en studenten ontoegankelijk werden.


Pas na het betalen van losgeld kreeg de UM de sleutel in handen waarmee de systemen weer toegankelijk konden worden gemaakt.


De inspectie stelt in haar rapport dat de response op de aanval adequaat verlopen is, maar dat de preventieve maatregelen onvoldoende waren. De vraag die door de inspectie echter niet beantwoord wordt, is of de aanval voorkomen had kunnen worden als de preventieve maatregelen wel 'voldoende' waren geweest.


Over de preventieve maatregelen zegt de inspectie onder meer het volgende:


  • Cyberdreiging stond niet bovenaan de lijst met risico’s” Hier lijkt sprake van een hindsight bias. Met terugwerkende kracht is het makkelijk om vast te stellen wat het hoogste risico had moeten zijn. De inspectie constateert bovendien zelf dat SURF ransomware ook niet als hoogste risico had geïdentificeerd. Daarnaast zou het natuurlijk goed kunnen dat de UM andere, niet cyber gerelateerde risico’s hoger heeft geprioriteerd.  

  • “Activiteiten door kwaadwillenden, zoals ransomware, waren niet opgenomen in de draaiboeken voor grote incidenten”. Incidentdraaiboeken helpen vooral om de impact te beperken en zijn dus primair bedoeld voor de responsfase. Hierover zegt de inspectie juist dat deze adequaat is verlopen.

  • “Voorafgaand aan de cyberaanval was er geen totaal (over)zicht op de IT-inrichting en daarmee slechts beperkt zicht op de cyberweerbaarheid van de universiteit als geheel.” Hoewel wenselijk, is het hebben van een actueel totaaloverzicht moeilijk en in de praktijk vaak maar gedeeltelijk te realiseren. Het is bovendien geen preventieve beheersmaatregel.

  • “Medewerkers en studenten noemen tijdens de gesprekken met de inspectie geen campagnes gericht op gevaren van malware”. De inspectie geeft aan dat de UM (te) weinig deed om de bewustwording van medewerkers en studenten met betrekking tot cyberrisico’s te verhogen. In de wetenschappelijke literatuur bestaat echter geen consensus of deze bewustwordingscampagnes werken en daarmee een slimme beheersmaatregel zouden zijn.     


Mijn conclusie is dat de door de inspectie gewenste maatregelen niet altijd even realistisch zijn, laat staan geholpen zouden hebben om het incident te voorkomen.


Tot slot geeft de inspectie in haar rapport aan dat zij ook onderzoek gaat doen naar de cyberveiligheid bij andere onderwijsinstellingen. Het is goed dat de inspectie breder gaat kijken dan alleen deze casus. Nu maar hopen dat ze komt met een redelijk en realistisch perspectief op cyberveiligheid.

CONTACT

Jelle Groenendaal

Mobiel

+31 6 1356 9147

 

Email

jelle@jellegroenendaal.nl

Adres

Westergracht 97 rood

2013 ZN Haarlem

KVK

77655567

  • Black LinkedIn Icon
  • Black Twitter Icon

© 2020 Jelle Groenendaal