De Inspectie gaat de Universiteit Maastricht doorlichten
Gisteren debatteerde de Kamer over sociale veiligheid in het onderwijs. Een belangrijk thema bij dit debat was de cyberveiligheid in het hoger onderwijs. Dit naar aanleiding van de aanval met ransomware deze Kerstperiode op de Universiteit Maastricht. Minister Van Engelshoven wilde vooral leren van deze casus maar de Kamer is bezorgd dat het hoger onderwijs nog altijd kwetsbaar is voor soortgelijke aanvallen.
Maastricht University gaat niet uit van een gerichte aanval
Jan Paternotte (D66) wilde weten van de minister of Maastricht ook aangesloten was bij SURFcert, de beveiligingsondersteuning van SURF. “We hebben allemaal gezien wat er in Maastricht is gebeurd, dat heeft een enorme impact gehad op studenten onderzoekers. Het is belangrijk dat wij hier lessen uittrekken voor het onderwijs maar ook voor meer maatschappelijke organisaties. Als je op deze manier een universiteit kan raken en ontregelen dan kun je ook een groot deel van het land platleggen.”
De minister zei dat er ook gekeken wordt of SURF wel voldoende capaciteit heeft. “Vorig jaar is er nog een gezamenlijke oefening gehouden door de instellingen met een cyberaanval. Dat is heel verstandig dat je dat met elkaar doet. In het hoger onderwijs speelt SURF een belangrijke rol. De UM was ook aangesloten bij SURFcert. Uit de evaluatie zal moeten blijken of SURF voldoende capaciteit heeft.”
De minister is onzichtbaar geweest dat is jammer
Dennis Wiersma (VVD) was kritisch op de minister, hij vond dat tot nu toe Van Engelshoven onzichtbaar is geweest op dit dossier. “We hebben de aanval gezien bij de Universiteit Maastricht, maar wat zijn de gevolgen voor het hele onderwijs? Zo goed als de Universiteit Maastricht hierover communiceerde, en daarvoor ook een compliment ook als je kijkt hoe snel ze het hebben opgelost, zo weinig heeft de minister gecommuniceerd. Dat vind ik slecht en dat vind ik jammer.”
Wiersma wilde vooral weten wat de risico’s zijn voor andere instellingen en had een spervuur aan vragen aan de minister. “Ik snap dat de zaak rondom Maastricht nog aan onderzoek onderhevig is, maar ik begrijp dat er nog heel veel instellingen zijn waar zorgen leven. Zijn er nu standaarden waar instellingen zich aan moeten houden en hoe zien die er dan uit?”
Wat handhaving betreft ziet Wiersma blinde vlekken. “Wie controleert of de basis ook echt op orde is? Klopt het dat SURF alleen uitvraagt aan instellingen hoe het ervoor staat? En dat die instellingen daar dan zelf antwoord op geven, of doen we ook steekproeven en harde testen op die systemen en zijn alle instellingen ook aangesloten op dat SURF-overleg en is dat verplicht?”
De VVD wilde ook weten of de Universiteit Maastricht nu wel of geen losgeld had betaald en of andere instellingen zich daartegen verzekeren. “Je kan je ook verzekeren bijvoorbeeld voor als er losgeld gevraagd wordt. Mogelijk is er losgeld betaald bij de Universiteit Maastricht. Moeten we instellingen daar dan niet voor laten verzekeren?”
“We hebben niet stil gezeten”
De minister verweerde zich op het verwijt van de VVD dat zij onzichtbaar is geweest in deze kwestie. “De heer Wiersma zegt: ‘Ik vind de minister zo stil, terwijl de Universiteit Maastricht het zo goed heeft gedaan in de communicatie.’ Maar wij hebben in goed overleg met de Universiteit Maastricht, maar ook met het Nationaal Cyber Security Centrum en de NCTV heel nauw gekeken wat ieders rol moet zijn.”
Volgens de minister zat er wel degelijk een strategie achter haar optreden in deze casus. “Dat wil niet zeggen dat we stil hebben gezeten. Integendeel, maar hier moet je wel altijd wel afwegen hoe dien ik de zaak nu het beste als minister? Ik heb heel bewust gekozen om niet steeds fragmentarisch informatie te geven, want dan zou het ook weleens niet kunnen kloppen.”
De laatste stand van zaken is dat er naast een strafrechtelijk onderzoek vanuit het Openbaar Ministerie ook een onderzoek loopt van de Inspectie van het Onderwijs. “Er wordt in Maastricht nog steeds hard gewerkt om alles veilig te krijgen. Er loopt inmiddels ook een strafrechtelijk onderzoek en er loopt een onderzoek van de Inspectie over de vraag of de Universiteit Maastricht voldoende heeft gedaan om dit te voorkomen. Dat Inspectierapport verwachten wij rond de zomer.”
Wij willen maximaal transparant zijn
De aanval in Maastricht lijkt in ieder geval iedereen wakker geschud te hebben vertelde de minister die meteen na de vakantie in overleg is getreden met de koepels. “Wij hebben vanuit het ministerie ook altijd nauw contact gehad met de Universiteit Maastricht en met de koepels, maar ook de Vereniging Hogescholen en de VSNU. Daar is in de eerste dagen van januari een gezamenlijk overleg geweest over wat dit nu betekent voor andere universiteiten en hogescholen.”
Vooruitlopen op de feiten en conclusies trekken over de toekomst zoals de VVD wilde kon Van Engelshoven nog niet doen. Ze wil wachten op de interne evaluatie van de UM begin februari. “Wij hebben ook met de Universiteit Maastricht afgesproken om maximaal transparant te zijn over wat er is gebeurd. Je moet ook zorgen dat je er met elkaar van kunt leren. Bij het rapport van de UM zal ook echt gekeken worden wat daar publiek van gemaakt kan worden. De UM organiseert op 5 februari een symposium hierover. Mijn ministerie zal daaraan deelnemen en vanuit andere instellingen zal daar ongetwijfeld veel belangstelling voor zijn om hiervan te kunnen leren.”
Tot slot zei de minister dat instellingen zich niet overal tegen kunnen beveiligen. “Honderd procent veiligheid bestaat niet, het is ook de vraag hoeveel geld je er precies voor overhebt. Je kunt je namelijk voor heel veel geld, heel goed laten beveiligen, maar is dat ook een doelmatige besteding van middelen?”
