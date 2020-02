De Inspectie van het Onderwijs zal onderzoeken of de Universiteit Maastricht (UM) voldoende was voorbereid op een ransomware-aanval en of de universiteit voldoende maatregelen heeft getroffen om herhaling in de toekomst te voorkomen. Het onderzoek zou voor de zomer moeten zijn afgerond.

Dat heeft minister van Engelshoven van Onderwijs in een brief aan de Tweede Kamer laten weten. Volgens Van Engelshoven zien onderwijsinstellingen een dilemma tussen openheid aan de ene kant en cyberveiligheid aan de andere kant. "Juist de openheid van onderwijsinstellingen maakt dat de veiligheid goed op orde moet zijn. Daarbij zie ik dat een grote mate van decentrale aansturing van de bedrijfsprocessen van met name universiteiten, een effectieve aanpak van digitale veiligheid in de weg kan staan. Wel erken ik dat er een balans moet worden gevonden tussen het te behalen niveau van cyberveiligheid en de te maken kosten ", aldus de minister.

Volgens Van Engelshoven is het incident bij de Universiteit Maastricht primair een lokale aangelegenheid. "Dit laat onverlet dat ik mij vanwege de maatschappelijke impact actief heb laten informeren. Daarnaast heb ik erop toegezien dat andere instellingen zo snel mogelijk zijn geïnformeerd om adequate maatregelen te kunnen treffen", zo laat ze aan de Tweede Kamer weten.

Onderzoek

Naar aanleiding van de aanval is ook de Onderwijsinspectie geïnformeerd en een onderzoek gestart. Ten eerste onderzoekt de Inspectie of de universiteit in redelijkheid voldoende was voorbereid op een ransomware-aanval en of de universiteit voldoende voorzieningen treft om herhaling van een dergelijke calamiteit te voorkomen. Daarbij zal de Inspectie zich ook baseren op het eerder verschenen onderzoek van Fox-IT.

"Uit het rapport van Fox-IT blijkt dat de oorzaak van dit incident kon ontstaan door een combinatie van enkele ontbrekende belangrijke beveiligingsupdates, beperkte segmentatie binnen het netwerk, het niet opvolgen van verschillende alarmsignalen en ongelukkig menselijk handelen", voegt Van Engelshoven toe. Ten tweede zal de Inspectie op stelselniveau onderzoeken in hoeverre er "lessons learned" zijn, zodat ook andere universiteiten en onderwijsinstellingen zich een beeld kunnen vormen van mogelijke kwetsbaarheden op het terrein van cyberveiligheid en passende maatregelen kunnen nemen.

"Cybersecurity is een vraagstuk dat overal in de samenleving en dus ook in de onderwijssector aandacht behoeft. Uit het voorgaande blijkt dat de onderwijssectoren reeds serieus bezig waren met het vraagstuk van cybersecurity. En ook dat het incident bij de Universiteit Maastricht extra aandacht voor dit onderwerp heeft gegenereerd. Daarbij zijn op korte termijn voornemens geformuleerd om mogelijke incidenten zoals bij Universiteit Maastricht zo veel mogelijk te voorkomen", gaat de minister verder, die toevoegt dat incidenten als bij de Universiteit Maastricht en de Citrix-kwetsbaarheid de kans bieden van elkaar te leren en de sector als geheel te versterken.