Onderwijsinspectie laat ruimte voor het betalen van cybercriminelen
Het onderzoek naar cyberweerbaarheid binnen het hoger onderwijs is, naar aanleiding van de hack bij de Universiteit Maastricht, door de Inspectie uitgevoerd tussen juli 2020 en juni 2021. Tijdens die periode kregen ook de Universiteit Utrecht, de TU Delft, de Universiteit van Amsterdam, de Hogeschool van Amsterdam en Hogeschool Inholland te maken met cyberproblematiek. Later werd de Hogeschool van Arnhem en Nijmegen belaagd door cybercriminelen.
De Inspectie baseert haar conclusies in het rapport ‘Binnen zonder kloppen’ op gesprekken met deskundigen en belanghebbenden, analyses van instellingswebsites en jaarverslagen over 2018 en 2019 van alle bekostigde ho-instellingen, gesprekken met een veertiental hoger onderwijsinstellingen, en analyses van documenten die tijdens het onderzoek zijn verkregen.
Aangezien het onderzoek zich richt op het bestuurlijke handelen rondom cyberveiligheid in het hoger onderwijs, gebruikt de Inspectie een normenkader om dat te toetsen. Vanwege het ontbreken van een dergelijk kader rond cyberveiligheid in de Wet op het hoger onderwijs, wordt een normenkader voor overheidsbestuurders gebruikt. De normen worden zowel op instellingsniveau als stelselbreed onderzocht.
Bewustzijn groot, maar niet bij wetenschappers, VH en VSNU
De eerste norm betreft het vergroten van het bewustzijn van informatiebeveiliging onder studenten en medewerkers. De Inspectie concludeert dat hoger onderwijsinstellingen veel doen rond het vergroten van bewustzijn bij het verwerken van persoonsgegevens, maar dat er minder aandacht is voor brede informatiebeveiliging. Daarnaast verdampt het bewustzijn vaak zodra de risico’s zijn geweken.
Ook de cultuur van hoger onderwijsinstellingen, die sterk bepaald is door het principe van academische vrijheid, bemoeilijkt een veilige ICT-inrichting. Wetenschappers hebben vaak weinig aandacht voor cyberveilig werken en hierop gerichte voorlichting, schrijft de Inspectie. Wetenschappers kunnen vaak zelfstanding hard- of software aanschaffen, waardoor het voor instellingen moeilijker is om zicht op de cyberveiligheid te houden. “Vrijwel alle gesprekspartners geven aan dat het netwerk van de organisatie minder vrijblijvend en open moet worden, om te kunnen voldoen aan de huidige cyberveiligheidsstandaarden”, schrijft de Inspectie. “In plaats van medewerkers de vrije keuze te geven voor verschillende soorten ICT-techniek, wordt daarom door steeds meer instellingen in de bestaande techniek zoveel mogelijk zichtbare en onzichtbare preventie ingebouwd.”
De Vereniging Hogescholen en de VSNU hebben echter beperkt aandacht voor dit onderwerp, zegt de Inspectie. “Net zoals cyberveiligheid binnen een instelling niet alleen de taak van de ICT-afdeling is, is het in het stelsel ook niet alleen de taak van de instellingen. Het Platform IV-HO (platform Integrale Veiligheid Hoger Onderwijs) van de VH en VSNU zou een grotere rol kunnen spelen in het verbinden van al deze partijen”, schrijft de inspectie. Daarnaast hangt veel af van de initiatieven van instellingen zelf. Aangezien die in verschillende mate weerbaar zijn tegen cyberdreiging, maakt dit het stelsel als geheel kwetsbaar.
Wel schrijft de Inspectie onder de zesde norm, controleren en evalueren, dat de cyberrisico’s vrijwel altijd een lagere prioritering hebben dan onderwijskundige thema’s. “Uit de gesprekken blijkt dat niemand het belang van cyber ontkent, maar dat het onderwerp cyber niet vaak onderdeel is van de managementrapportages van onderwijsdirecties of faculteiten, tenzij daar vanuit het CvB soms specifiek naar is gevraagd. ‘Echte’ onderwijsonderwerpen blijven de boventoon voeren: de agenda van overleggen is vaak vol en is primair gericht op onderwerpen die het onderwijsproces direct raken.”
Doorbreek het binaire stelsel voor meer veiligheid
Met betrekking tot een veilige en open cultuur, de tweede bestuurlijke norm, concludeert de Inspectie dat er op instellingsniveau te veel aandacht gaat naar acute dreigingen, waardoor structurele dreigingen minder goed worden doorzien. “Daarmee ontstaat een disbalans en het risico dat veiligheid bij het ene onderwerp meer en het andere minder aandacht krijgt, terwijl deze pas echt goed werkt als het integraal wordt aangepakt”, aldus de Inspectie.
Ook stelselbreed is ruimte voor verbetering, met name waar dat de verschillen tussen zowel kleinere als grotere instellingen als tussen bekostigde en niet-bekostigde instellingen betreft. “Niet alle partijen zien dat bekostigde en niet-bekostigde instellingen op dit onderwerp behoren tot dezelfde doelgroep”, schrijft de Inspectie. “Daarmee zit er een blinde vlek in het stelsel, waardoor een aantal spelers niet (kunnen) deelnemen aan het open gesprek of het creëren van een veilige cultuur.” Deze harde scheidslijn tussen de hoger onderwijsinstellingen maakt het stelsel als geheel kwetsbaarder. Daarom beveelt de Inspectie aan de traditionele scheiding tussen hogescholen en universiteiten alsook tussen bekostigde en niet-bekostigde hoger onderwijsinstellingen met betrekking tot cyberveiligheid waar mogelijk op te heffen.
Daarnaast verschillen de behoeften van grotere en kleinere instellingen sterk. Waar bestuurders van grote universiteiten aangeven alleen de huidige informatievoorziening vanuit SURF nodig te hebben, bestaat er bij kleinere instellingen meer behoefte om onderling informatie over kwetsbaarheden te delen. Daarnaast vinden deze kleinere instellingen wegens kleinere budgetten en ICT-afdelingen minder aansluiting bij initiatieven van SURF.
Lof voor Universiteit Maastricht
Wel heeft de Inspectie lof voor de communicatie tussen instellingen na de hack bij de Universiteit Maastricht (UM). Andere universiteiten, die tevens aanboden de UM te helpen, werden destijds meteen geïnformeerd en op de hoogte gehouden door de UM en SURF. “De UM heeft al snel besloten haar lessen met anderen te delen vanuit de overtuiging dat dit bij alle universiteiten had kunnen gebeuren. Een gevolg hiervan is dat instellingen intern en onderling zijn gaan nadenken, zowel over directe concrete acties die nodig waren als op de lange termijn na te denken over de inbedding van ICT-beveiliging in het risicomanagement van de instelling”, schrijft de Inspectie.
Verder beveelt de Inspectie aan om stelselbreed meer en breder informatie te delen. Dat kan door alle hoger onderwijsinstellingen toegang te geven tot informatie over kwetsbaarheden en specifieke cyberdreigingen. Wanneer dit niet gebeurt, vreest de Inspectie dat de verschillen in de cyberweerbaarheid tussen instellingen verder zullen toenemen.
Kleine instellingen afhankelijk, grote instellingen onoverzichtelijk
Het verschil tussen kleinere en grotere instellingen is ook werkzaam in het inrichten van een risicoteam, de derde bestuurlijke norm. Kleinere instellingen vinden zichzelf operationeel slagvaardig in het crisismanagement, aangezien men elkaar binnen een kleinere organisatie beter weet te vinden, maar tegelijkertijd zijn ze voor de detectie en afhandeling van cyberproblematiek afhankelijk van slechts enkele ICT-medewerkers.
Ook voor het borgen van het risicomanagement, een vierde norm, heeft de kleinere capaciteit van kleinere instellingen gevolgen. Met slechts een aantal bevlogen ICT’ers kan de beveiliging soms overzichtelijk en goed zijn, maar de afhankelijkheid van slechts een aantal personen kan de instelling kwetsbaar maken. Bij grote universiteiten werkt de problematiek juist andersom; daar is de ICT-inrichting juist onoverzichtelijker vanwege het decentrale karakter ervan. Wanneer faculteiten of individuele wetenschappers zelf software kunnen aanschaffen, is het voor de instelling moeilijker om goed zicht te hebben op de ICT-huishouding.
Universiteiten lopen echter wel voorop in de aandacht voor cyberveiligheid. Zij controleren en evalueren hun cyberveiligheid vaker dan kleine instellingen en maken risicoprofielen die op een breed palet aan cyberdreigingen zijn gericht. Bij kleinere instellingen ontbreekt het opstellen of controleren van een dergelijk profiel vaak.
Goed overzicht cyberveiligheid onmogelijk
Stelselbreed bezien wordt het risicomanagement vooral bedreigd door de autonomie van instellingen. Risicomanagement wordt gezien als een taak van individuele instellingen, wat de onderlinge informatie-uitwisseling niet bevordert. Dit leidt er mede toe dat het structureel analyseren van de cyberrisico’s bij geen enkele partij in het stelsel vast is belegd, schrijft de Inspectie. “Gebrek aan sturing en coördinatie kan leiden tot te laat detecteren van risico’s en kan ertoe leiden dat iedereen het eigen wiel moet uitvinden.” De inspectie beveelt daarom aan het eigenaarschap van cyberveiligheid expliciet te beleggen binnen het stelsel.
Waar de eigen verantwoordelijkheid van instellingen maatwerk mogelijk maakt, leidt de huidige aanpak echter ook tot isolering van met name de kleine en niet-bekostigde hoger onderwijsinstellingen en maakt het een stelselbreed overzicht onmogelijk. Het stelsel ontbeert namelijk een sluitende informatievoorziening, een escalatieladder en een gedeeld normenkader. “Hierdoor is het op dit moment niet mogelijk om vast te stellen hoe het gesteld is met de cyberveiligheid van hoger onderwijsinstellingen”, schrijft de Inspectie.
Losgeld betalen is onrechtmatige besteding publieke middelen
Inzake de kosten van cyberveiligheid laat de Inspectie opvallend veel ruimte voor het betalen van losgeld in het geval van een losgeldeis na een cyberaanval. Aangezien goede cyberbeveiliging enorm duur is, kan het voor individuele instellingen financieel aantrekkelijker zijn om losgeld te betalen in plaats van het gehele ICT-huis opnieuw in te richten. “Het bestuur [is] verantwoordelijk voor de continuïteit van onderwijs en onderzoek en de betaling van losgeld is op het eerste gezicht een manier om snel over te kunnen gaan tot de orde van de dag”, schrijft de Inspectie. Het uitgangspunt van de Nederlandse overheid is echter dat er geen losgeld wordt betaald aan cybercriminelen, en de Inspectie waarschuwt dat het betalen van losgeld kan worden gezien als een onrechtmatige besteding van publieke middelen.
“Met het oog op het uitgangspunt van de Nederlandse overheid worden betalingen aan criminele organisaties en/of voor criminele activiteiten, zoals het afpersen voor toegang tot het onderwijs, als niet rechtmatig beschouwd”, aldus de Inspectie. Een betaling van losgeld kan echter wel dienen om het onderwijs zo snel mogelijk te herstellen, waarmee het wel voldoet aan de eis van een doelmatige besteding van publieke middelen. Een doorslag in de balans tussen rechtmatigheid en doelmatigheid kan daarom per hack verschillen, aldus de Inspectie.
