In de zomer publiceerde de Onderwijsinspectie een rapport over de cyberveiligheid van hoger onderwijsinstellingen. Uit het onderzoek, met de titel ‘Binnen zonder kloppen’, bleek dat de digitale bescherming nog tekortschiet. Er is niet altijd aandacht voor ‘in alle lagen van de organisatie en niet bij alle instellingen’, schrijft de Inspectie. ‘Ook ligt de focus vaak op beschermen van privacygegevens en minder op brede informatiebeveiliging.’

Onlangs bleek nog hoe kwetsbaar universiteiten zijn. De Universiteit van Maastricht werd eind 2019 getroffen door een aanval met ransomware en betaalde uiteindelijk 197.000 euro losgeld.

Afgelopen zomer werd de Universiteit Leiden op de korrel genomen. Hackers kraakten toen een webserver van de Sterrewacht die los stond van het universitaire netwerk en eisten zestien bitcoin (toen ongeveer 460.000 euro), anders zouden ze persoonlijke gegevens van Leidse medewerkers en collega’s in het buitenland publiceren. De universiteit betaalde niet.

De Inspectie schrijft dat universiteiten en hogescholen extra maatregelen hebben genomen. ‘Bijvoorbeeld op het gebied van monitoring en detectie, een strenger wachtwoordbeleid, investeringen in meer en betere back-ups.’

Dat is alleen nog niet voldoende. ‘De continue evaluatie van de informatiebeveiligingsaanpak in de praktijk kan worden versterkt; onderzoeks- en onderwijseenheden zien cyberveiligheid vaak niet als hoogste prioriteit. Instellingen controleren en evalueren niet altijd structureel, en aan leveranciers wordt niet altijd gevraagd of de beveiliging op orde is.’

Studentenpartij ONS wilde maandag tijdens de universiteitsraad van het college van bestuur weten hoe het met de Leidse digitale beveiliging is gesteld. ‘We moeten nog een aantal stapjes maken’, reageerde vice-collegevoorzitter Martijn Ridderbos. ‘Dat is ook precies de reden waarom we een cybersecurity-programma hebben. Dat was er al, maar we hebben het nog geïntensiveerd.’

Hij wilde niet specifiek ingaan op wat er nog moet gebeuren. ‘Ik zeg dit met grote voorzichtigheid, want je wil niet dat er informatie naar buiten komt. Dan zet je mensen misschien aan het denken.’

Veel van de verbeteringen worden doorgevoerd zonder dat studenten en medewerkers daar iets van merken, vertelde hij. Maar soms hebben de maatregelen wel direct effect op medewerkers. ‘Lang is er veel vrijheid gegeven aan onderzoekers om installaties decentraal neer te zetten.’ Dat beleid wordt nu aangescherpt. ‘Het college is aan het kijken of dat soort zaken wel veilig zijn.’

Update 4 november 2021:

De universiteit meldt dat er in de zomer geen server is gehackt. Wel is er in januari een hack van een externe webserver van de Sterrewacht geweest. Daarbij zijn gegevens buitgemaakt. Het gaat om e-mailadressen, adressen van onderzoekers en onderzoeksomschrijvingen. Die werden te koop aangeboden op het dark web. Het incident is gemeld bij de Autoriteit Persoonsgegevens en bij de betrokken medewerkers en studenten. De externe webserver is afgesloten.

In juni is er opnieuw data gepubliceerd op het dark web. De universiteit heeft toen onderzoek laten doen naar een 'vermoedelijk tweede datalek'. Dat bleek niet het geval te zijn. Het betrof namelijk een nieuwe upload van eerder gelekte gegevens. 'In het forensisch onderzoek zijn geen versleutelde data of sporen van hacks aangetroffen', aldus de universiteit.