Het duurt nog weken voordat het ROC Mondriaan in Den Haag zijn gehackte computersysteem weer op orde heeft. De onderwijsinstelling zegt niet te weten of er sprake is van ransomware. De hack werd ruim een week geleden ontdekt.
Nu ROC Mondriaan er het zwijgen toe doet, heeft de VVD-fractie in de Tweede Kamer een hele waslijst aan vragen gesteld. De Kamerleden El Yassini en Rajkowski willen snel helderheid over deze kwestie. Ze hebben demissionair minister Ingrid van Engelshoven (Onderwijs, Cultuur en Wetenschap) gevraagd wat er nu precies aan de hand is. De vrees bestaat dat er data zijn buitgemaakt van de 20.000 studenten, vijfduizend cursisten en 2.100 medewerkers.
De geplaagde school wil alleen kwijt dat het advies is gevolgd om alle systemen en bestanden onbereikbaar te maken. ‘De hele boel is platgelegd’, zo heeft de leiding van de Haagse school gisteren laten weten.
In de lucht houden
Zodra de situatie duidelijk is, is voorzichtig te beginnen het systeem weer veilig opnieuw op te bouwen en online te laten gaan. Van bedrijfskritische systemen zoals financiën zijn backups gemaakt, maar het duurt een paar weken om erachter te komen wat daarvan in de lucht is houden.
Ondanks de grote hack konden de leerlingen gisteren wel weer gewoon naar school gaan. ‘We gaan terug naar de basis met pen en papier’, aldus directeur Brigitte Laukens. Zij kan niets melden over het onderzoek naar de hackers. ‘We weten nog niet hoe ze zijn binnengekomen en of ze losgeld willen of iets anders.’
Veel kritiek
De indruk bestaat dat ROC Mondriaan het slachtoffer is van ransomware. Genoemde Kamerleden willen sowieso weten of de minister het er mee eens is dat er geen losgeld dient te worden betaald omdat misdaad niet mag lonen. De Universiteit Maastricht betaalde begin 2020 wel losgeld aan cybercriminelen. Dat heeft deze instelling veel kritiek opgeleverd.
Verder willen El Yassini en Rajkowski weten of ROC Mondriaan het beveiligingsincident heeft gemeld bij Surf-cert. Ze vragen ook of over het datalek contact is geweest met de Autoriteit Persoonsgegevens (AP). Het tweetal wil ook de scores van individuele mbo-instellingen weten bij de benchmark IBP-E (Informatiebeveiliging, Privacy en Examinering).
In het artikel zitten een aantal opvallende teksten die direct al vragen oproepen over bedrijf continuïteit, back-up beleid, logging & monitoring, netwerksegmentering, awareness etcetera ofwel wat is het uiteindelijke informatiebeveiliging- en privacy beleid en hoe verhoudt deze zich tot opzet, bestaan en effectieve werking? Waarom is de organisatie niet direct in staat om een schone omgeving van een XYZ-periode terug te zetten?
Voor El Yassini en Rajkowski heb ik een tip om eens te kijken naar de vele onderzoeksvragen rondom Maastricht en de brief van de 2e kamer 14 Febr.2020 met referentie 19327037. Daarin wordt geschreven over een wereldwijd erkende norm, die is opgesteld is door de Internationale Organisatie voor Standaardisatie (ISO), waarmee wordt bepaald of een instelling de digitale beveiliging op orde heeft. Deze ISO-normen, 27001 en 27002, staan ook aan de basis van de Baseline Informatiebeveiliging Overheid (BIO).
SURF heeft (tegen mijn onbegrijpelijke redenen) hiervoor een normenkader ontwikkeld (lees eigen ‘handboek soldaat’) die op deze ISO-norm zijn gebaseerd en ook voldoet aan het richtsnoer Beveiliging van Persoonsgegevens van de Autoriteit Persoonsgegevens. Voor het mbo heeft saMBO-ICT dit normenkader integraal overgenomen.
Tot heden is de eis ‘pas toe of leg uit’ verplicht voor overheidsorganisaties. Waarom niet de verplichting voor het aantonen van de effectieve werking? Waarom niet gewoon een ISO-certificatieniveau en/of onafhankelijk en objectieve ISO/NEN certificatie afdwingen? Waarom wordt er energie gestoken in het herschrijven van erkende normen en zaken wel/niet daarin meenemen? De accenten liggen op dit moment op de Annex van de ISO27001.
Het ISMS en Governance (ISO27001) met de verbintenis van de Plan, DO, Check en Act ofwel het continue verbeteren ontbreekt in zijn geheel. De rol van de CISO is nog steeds in vele organisaties een symbolische functie.
Met de ISO als eis zal de handhaving SMART zijn en daadwerkelijk een significante bijdrage leveren aan informatiebeveiligingsvolwassenheid ofwel Cybercriminaliteit. Het hebben van een ISO certificaat toont de werking van het ISMS aan.
@john roos
Tja waarom zou dat nu allemaal nu zo zijn? zou het kunnen dat die ISO normen en papieren in de praktijk een probleem zijn? zou het kunnen dat het papiermatig genormeerd te zijn geen realiteitszin heeft en dat wellicht die mensen die de normen toetsen eerder een excel af vink sessie doen dan daadwerkelijk inhoudelijk te toetsen? waarom zou het nu toch zo zijn allemaal? of heeft iedereen last van het ‘not invented by me’ danwel ‘ja maar wij zijn speciaal en uniek’ syndroom? wat lijkt jouw nu het meest waarschijnlijk?
John Roos,
Handboek soldaat – zoals handboek kader – was een handleiding en geen normering zoals dat ook de instructiekaarten (IK2-17?) geen voorschrijvende richtlijnen waren hoewel er dogmatische ideeën waren over S-patroon van camouflage. Definities zijn saai maar er zit een verschil tussen voorschrijvende normen en beschrijvende. Discussie hierover wordt echter al beslecht met je opmerking over ‘pas toe of leg uit’ waarmee duidelijk wordt dat er ruimte voor onderhandeling is. Vrij logisch als we naar juridische kaders kijken want het ‘onder de krijgstucht’ ging om dwang in het handhaven van de gedragsregels. En wat betreft de governance is het bij verenigingen beter geregeld omdat het tuchtrecht sanctioneren van afwijkingen op de regels mogelijk maakt.
Een delegatie van de besluitvorming naar het ‘bevoegde’ gezag betekent bestuurlijke autonomie en de ‘chain of control’ zou misschien eerst heroverwogen moeten worden als het om het temmen van papieren tijgers gaat.