Hoger onderwijsinstellingen blijven vaag over cyberveiligheid
Begin juni waarschuwde Erik Akerboom, directeur van de AIVD, dat er bij instellingen uit het hoger onderwijs onvoldoende bestuurlijke aandacht is voor digitale veiligheid. Tegenover de Kamer zei de inlichtingenbaas zelfs dat het hoger onderwijs zich totaal niet bewust is van de digitale dreiging die van bepaalde statelijke actoren uitgaat. Landen als China en Rusland zijn vanuit economisch of politiek belang echter wel degelijk uit op onze kennis.
De woorden staan in contrast met de tevredenheid die demissionair minister Van Engelshoven kort daarvoor uitsprak in een brief aan de Tweede Kamer. Zij erkent weliswaar de dreiging, maar er zou goed worden samengewerkt en veel kennis worden gedeeld via samenwerkingsverband SURF. Ook de bestuursvoorzitter van SURF, Jet de Ranitz, sprak in een reactie op Akerboom tegen dat er te weinig aandacht is voor cyberveiligheid.
De tegenstrijdige berichten vormden aanleiding tot het stellen van Kamervragen door Hatte van der Woude (VVD) en René Peters (CDA). Onlangs volgde de schriftelijke beantwoording door de minister.
“Kennisinstellingen bewust van dreiging”
Op de vraag of ook de demissionair minister vindt dat instellingen in het hoger beroepsonderwijs en wetenschappelijk onderwijs niet doordrongen zijn van de dreiging van cyberaanvallen en statelijke actoren, antwoordt ze: “Mijn indruk is dat de instellingen zich bewust zijn van de dreiging van cyberaanvallen, of deze dreiging nu van statelijke actoren of van hackersgroepen afkomstig is. Ik ben het met de heer Akerboom eens dat de veiligheid van onze instellingen verder moet worden verhoogd.”
Van Engelshoven legt echter niet uit hoe het kan dat de twee hooggeplaatste regeringsfunctionarissen zich zo verschillend uitlaten over het bestuurlijk bewustzijn rondom dit thema bij hoger onderwijsinstellingen. Wel geeft ze aan dat Akerboom het in zijn betoog behalve over kennisinstellingen ook over het bedrijfsleven en de overheid had. Daarmee lijkt de minister te willen zeggen dat de uitspraken van Akerboom niet zo zeer betrekking hebben tot hogescholen en universiteiten in het bijzonder, maar organisaties met kostbare kennis in het algemeen.
In de beantwoording wijst Van Engelshoven op het recent gepresenteerde Kader Kennisveiligheid. Dit document moet universiteiten helpen om de risico’s van internationale samenwerking voor kennisveiligheid te wegen en te beheersen. Bij de opstelling waren naast het Ministerie van Onderwijs, Cultuur en Wetenschap ook het Ministerie van Justitie en Veiligheid en het Ministerie van Economische Zaken betrokken.
De minister herhaalt in haar antwoord verder dat er in het hoger onderwijs maatregelen zijn en worden genomen ten behoeve van cyberveiligheid. Ook wijst ze er op de hogescholen en universiteiten te hebben opgeroepen cyberveiligheid structureel met de Raden van Toezicht te bespreken, cyberveiligheidsbeleid standaard op te nemen in jaarverslagen en een meerjarenvisie te presenteren op het thema.
In de jaarverslagen van 2020, die de onderwijsinstellingen voor de zomer publiceerden, ontbreken cybersecurity, kennisveiligheid en informatiebeveiliging niet. Wel zijn er verschillen op te merken in de mate waarin de hogescholen en universiteiten gehoor hebben gegeven aan de oproep van de minister om de onderwerpen op te nemen en uit te lichten in de documenten.
Veel jaarverslagen universiteiten weinig concreet over cyberveiligheid
Door allen wordt stilgestaan bij de grootschalige hack bij Maastricht University. Het lijkt er daarmee op dat naar aanleiding van deze gebeurtenis bij de meeste besturen het besef van een reële cyberdreiging heerst. Veel van de universiteiten hebben cybersecurity, informatiebeveiliging en kennisveiligheid dan ook een plek gegeven in het kader van risicobeheersing.
Ook wordt er vaak gerefereerd naar beleid, een actieplan of zelfs een masterplan voor het thema. Opvallende uitzondering in dat opzicht is de Maastricht University, die eind 2019 zelf werd getroffen door een cyberaanval. De meest zuidelijke universiteit somt een bovengemiddelde hoeveelheid concrete maatregelen op die zijn genomen naar aanleiding van de grootschalige hack, maar presenteer
Daarmee is het verslag van de Maastricht University echter niet minder informatief dan die van een groot aantal collega-instellingen. Bij acht van de dertien universiteiten komt de teller voor concreet beschreven acties niet verder dan twee. Maatregelen die collectief worden genomen in samenwerking met SURF zijn daarbij niet meegerekend.
In het jaarverslag van de Open Universiteit wordt het minst uitvoerig stilgestaan bij de cyberdreiging. Behalve de uitrol van twee-factor-authenticatie en de bespreking van IT-security in de Raad van Toezicht krijgt de lezer weinig meer aangereikt.
Bij hogescholen nog minder cyberveiligheid in jaarverslagen
Bij hogescholen blijkt de aandacht voor cybersecurity en informatiebeveiliging minder uit de jaarverslagen dan bij universiteiten. Zo besteden veel kleinere vakspecialistische hogescholen zoals kunstacademies en pabo’s relatief weinig en soms zelfs geen aandacht aan cybersecurity en informatiebeveiliging.
In de verslagen van een aantal grotere hogescholen, zoals de Hanzehogeschool Groningen, de Haagsche Hogeschool en de HAN, passeren cybersecurity en informatiebeveiliging uitgebreider de revue. Vergelijkbaar met de universiteiten is in de verslagen van deze instellingen cyberdreiging opgenomen in het kader van risicomanagement en wordt er verwezen naar beleid. Alle drie de hogescholen illustreren dit daarnaast nog met een substantiële hoeveelheid genomen of te nemen maatregelen.
Een aantal andere hogescholen met grote studentenaantallen, waaronder de Hogeschool Utrecht, de Avans Hogeschool en de Fontys Hogescholen, staan in hun jaarverslag beperkter stil bij cybersecurity en informatiebeveiliging, of worden minder concreet. Privacybeleid en gegevensbescherming komen in de regel wel aan bod.
Kennisinstellingen KNAW en NWO
De KNAW en NWO staan in hun jaarverslagen ook stil bij cyberveiligheid, onder andere in de risicoparagrafen. Laatstgenoemde ondervond afgelopen februari (niet het verslagjaar) de dreiging, toen het werd getroffen door cyberaanval met ransomware. De NWO noemt in het verslag diverse maatregelen die in respons op het incident versneld zijn opgepakt. Een duidelijke strategie in de strijd tegen cybercriminelen beschrijft het echter niet.
Ook de KNAW beperkt zich tot een drietal getroffen maatregelen en het benoemen van de urgentie en de aandacht die cyberdreigingen en informatiebeveiliging krijgen. Er zijn het afgelopen jaar bij de KNAW 424 informatiebeveiligingsincidenten gemeld. Daarvan hebben er twee (verloren of gestolen laptop en pc) geleid tot aangifte bij de politie en melding van een datalek bij de AP.
Geen woorden maar cybersecurity
Hoewel uit de jaarverslagen niet is af te leiden hoe weerbaar hogescholen en universiteiten zich in werkelijkheid hebben gemaakt tegen cyberdreigingen, lijkt er geen totaal gebrek aan bestuurlijke aandacht voor cyberveiligheid te zijn. Een meerderheid van de instellingen lijkt tenminste bezig te zijn met het formuleren van beleid en het nemen van maatregelen.
Tijd om stil te zitten is er ook niet. Het Dreigingsbeeld Statelijke Actoren, opgesteld door de AIVD, MIVD en NCTV, waarschuwde eerder dit jaar voor de cyberoffensieven van landen als China, Rusland en Iran. In het Cyberdreigingsbeeld 2021 dat SURF korter geleden naar buiten bracht valt te lezen dat, ondanks toegenomen bewustwording, het aantal incidenten toeneemt.
Zo kreeg het ROC Mondriaan uit Den Haag, waar voormalig DUO-baas Hans Schutte bestuursvoorzitter is, recent te maken met hackers. Kamerleden van zowel de VVD als D66 hebben demissionair minister Van Engelshoven hierover vragen gesteld. De VVD’ers vragen zich daarbij af hoe de ondersteuning vanuit SURF is verlopen; de D66’ers vragen de eigen minister hoe ze gaat voorkomen dat zulke hacks opnieuw plaatsvinden.
