ROC Mondriaan: "Onze aanvallers specialiseren zich in onderwijs- en zorginstellingen"
Een week voor de aftrap van studiejaar 2021-2022 wordt het ROC Mondriaan in Den Haag lamgelegd door een aanval met ransomware. Alle systemen zijn uitgeschakeld. Toch besluit het ROC om het geëiste losgeld van 100 bitcoins (4 miljoen euro) niet te betalen. Marcel Kropmans (CIO) en Hans Schutte (Lid van het college van bestuur) delen hun ervaring.
Augustus 2021. Een wakkere netwerkbeheerder merkt om half 3 ’s nachts dat er wat mis is met het computersysteem van ROC Mondriaan in Den Haag, een mbo-instelling waar 26 scholen onder vallen. Het inderhaast ingeschakelde forensisch it-bedrijf stelt de volgende ochtend vast dat het echt mis is. Voor Hans Schutte, lid van het college van bestuur, is de hack een ruwe onderbreking van de zomervakantie. ‘In eerste instantie hoop je dat de omvang meevalt,’ zegt hij. ‘Maar alles was weg. Dat was een schok. Zelfs de koffieautomaten waren geschakeld aan een systeem.'
Met hagel schieten
In de jaarlijkse mbo benchmark IBP-E scoorde ROC Mondriaan gemiddeld tot bovengemiddeld. Hoewel CIO Marcel Kropmans weet dat zoiets geen garantie is dat je niet wordt gehackt, was hij toch verrast. ‘Toen duidelijk werd dat het ging om een grote Russische hackersorganisatie, heb ik me wel afgevraagd waarom juist wij werden lamgelegd.’ Experts vermoeden dat de hackers eenvoudigweg op heel veel plekken proberen een ingang te vinden. ‘Het is met hagel schieten en kijken wat je raakt,’ zegt Kropmans. ‘In die zin heeft Mondriaan pech gehad.’ Dezelfde organisatie dringt onder meer een Australisch ziekenhuis en een Italiaanse universiteit binnen. ‘Waarschijnlijk specialiseren ze zich in onderwijs en zorg vanwege de privacygevoelige data die ze daar buitmaken,’ zegt Kropmans. ‘Vaak wordt er na onderhandelingen wel iets betaald om te zorgen dat die niet worden gelekt.’
Paspoorten op het Darkweb
Met het Nationaal Cyber Security Centrum (NCSC), het ministerie en SURF komt ROC Mondriaan tot de afweging om in principe niet te betalen, mits het mogelijk is om het ict-landschap weer op te bouwen en de privacygevoeligheid van de buitgemaakte data enigszins meevalt. Een gelukje daarbij is dat de hackers met name zoeken naar financiële gegevens en contracten. Waar dit voor veel bedrijven de meest kwetsbare gegevens zijn, zijn ze in geval van het onderwijs openbaar. Schutte: ‘Er zitten altijd vervelende dingen tussen. Zo wisten we dat een aantal kopieën van identiteitsgegevens op het dark web zouden belanden als we niet betaalden. Maar de schade was te overzien. We hebben mensen gevraagd om een nieuwe id-kaart of paspoort aan te vragen, door ons vergoed.’
Onze aanvallers specialiseren zich in onderwijs- en zorginstellingen
Systemen opnieuw opbouwen
Terwijl de medewerkers aan het begin van het schooljaar bij de deur staan om schriften en pennen uit te delen aan studenten, wordt achter de schermen gewerkt om de systemen vanaf de grond opnieuw op te bouwen, onder nog hogere beveiligingseisen. ‘Dat was een impactvol besluit, waar ik evenwel nog steeds achter sta,’ zegt Kropmans. Er is onder meer gekozen om multi-factorauthenticatie voor studenten in te voeren en om de endpoint security op te schroeven. Ook is netwerksegmentatie aangebracht en is versneld een CISO aangesteld.
Inmiddels is een groot gedeelte van de systemen weer beschikbaar. ‘Voor de medewerkers en de studenten kan het natuurlijk nooit snel genoeg gaan, maar vanuit it-perspectief denk ik dat we op korte termijn al heel veel hebben kunnen opleveren,’ zegt Kropmans. In totaal zal het opnieuw opbouwen ongeveer een jaar in beslag nemen. Gepakt zijn de Russische hackers nooit. ‘Dat is kansloos’ zegt Schutte. ‘Maar wij hopen dat onze actie om niet te betalen eraan bijdraagt dat voorlopig geen andere Nederlandse onderwijsinstelling slachtoffer wordt.’ ‘En als het dan toch gebeurt, weet dan wat je meest kritische processen zijn en hoe je zorgt dat je die ontzettend snel weer up and running hebt,’ voegt Kropmans eraan toe. ‘Je kunt het nooit helemaal voorkomen, maar zorg dat de schade te overzien is.’
Tekst: Marjolein van Trigt
SURFcert: 24/7 ondersteuning bij beveiligingsincidenten
SURFcert biedt ondersteuning bij beveiligingsincidenten 24 uur per dag, 7 dagen per week. Ook kun je met de tools van SURFcert zelf de beveiliging bij je instelling optimaliseren. Zo minimaliseren we samen de overlast van onder andere DDoS-aanvallen. Ben je benieuwd naar deze dienst? Klik dan op onderstaande button voor meer informatie.