Hoger onderwijs communiceert slecht bij cyberaanval

| HOP, Inge Schouten

Universiteiten en hogescholen weten steeds beter wat ze moeten doen bij een cyberaanval. Toch laat de communicatie nog te wensen over en zijn er te weinig experts die het probleem kunnen oplossen.

Afgelopen najaar viel een hacker vijftig instellingen aan. Niemand kon meer bij zijn bestanden. De hacker had ze versleuteld met gijzelsoftware en wilde geld zien voordat hij ze weer toegankelijk maakte. De hack was georganiseerd door SURFnet, de ICT-samenwerkingsorganisatie van het onderwijs en onderzoek. Die simuleerde voor de tweede keer een cyberoefening waar veel universiteiten en hogescholen aan meededen.

Tijdens de nagebootste cyberaanval bleek vooral de interne communicatie een groot struikelblok, blijkt uit de evaluatie. Ict’ers gebruikten technisch vakjargon dat door bestuurders niet altijd werd begrepen. Ze gingen er te vaak vanuit dat bestuurders wel enige ict-kennis hadden.

Frustrerend

Als de boodschap wel goed aankwam, zeiden bestuurders vervolgens niet wat ze met die informatie gedaan hadden of gebruikten ze heel ambtelijke taal, zegt woordvoerder Charlie van Genuchten. ‘Het is voor ict’ers heel frustrerend als ze niet weten welke beslissingen er van hogerhand worden genomen.’

Ook kwam tijdens de ‘digitale brandoefening’ naar voren dat veel instellingen geen crisisplan voor cyberaanvallen paraat hebben. En de handboeken die er liggen, zijn vaak verouderd. Daarnaast waren er vaak te weinig mensen in huis met de vereiste specialistische kennis, waardoor het langer duurde om de aanval onder controle te krijgen. 

‘De meeste instellingen in het hoger onderwijs hebben cyberexperts’, zegt Van Genuchten. ‘Sommigen van hen deden niet mee met de oefening en dus waren hun collega’s aan zet. We zagen dat de kennis voor een specifiek probleem vaak maar bij één persoon ligt. Als die onbereikbaar is, heb je een probleem.’

Rommelig

De organisatie rond een crisissituatie is rommelig te noemen. In crisisteams op hoger niveau is de rolverdeling vaak wel duidelijk, maar binnen ict-teams veel minder. Dat roept de vraag op of er niet één coördinerende partij moet zijn die de regie neemt bij een cybercrisis, zoals het ministerie van Onderwijs. Daarover is SURFnet nu samen met universiteiten en hogescholen in gesprek.

Overigens kwamen de instellingen wel sneller in actie bij de cyberoefening dan twee jaar geleden. Ze zochten direct contact met elkaar en kregen eerder grip op de situatie. Ook deden er twee keer zoveel deelnemers mee, waaronder ook mbo-scholen, academische ziekenhuizen en onderzoeksinstellingen.

Stay tuned

Sign up for our weekly newsletter.