Nieuws
Cybersecurity universiteit nog steeds niet op orde
De digitale veiligheid van de universiteit schiet nog tekort. ‘We moeten nog een aantal stapjes maken.’
Vincent Bongers
donderdag 14 oktober 2021
Bas van der Schot

In de zomer publiceerde de Onderwijsinspectie een rapport over de cyberveiligheid van hoger onderwijsinstellingen. Uit het onderzoek, met de titel ‘Binnen zonder kloppen’, bleek dat de digitale bescherming nog tekortschiet. Er is niet altijd aandacht voor ‘in alle lagen van de organisatie en niet bij alle instellingen’, schrijft de Inspectie. ‘Ook ligt de focus vaak op beschermen van privacygegevens en minder op brede informatiebeveiliging.’

Onlangs bleek nog hoe kwetsbaar universiteiten zijn. De Universiteit van Maastricht werd eind 2019 getroffen door een aanval met ransomware en betaalde uiteindelijk 197.000 euro losgeld.

Afgelopen zomer werd de Universiteit Leiden op de korrel genomen. Hackers kraakten toen een webserver van de Sterrewacht die los stond van het universitaire netwerk en eisten zestien bitcoin (toen ongeveer 460.000 euro), anders zouden ze persoonlijke gegevens van Leidse medewerkers en collega’s in het buitenland publiceren. De universiteit betaalde niet.

'Medewerkers zien cyberveiligheid vaak niet als hoogste prioriteit'

De Inspectie schrijft dat universiteiten en hogescholen extra maatregelen hebben genomen. ‘Bijvoorbeeld op het gebied van monitoring en detectie, een strenger wachtwoordbeleid, investeringen in meer en betere back-ups.’

Dat is alleen nog niet voldoende. ‘De continue evaluatie van de informatiebeveiligingsaanpak in de praktijk kan worden versterkt; onderzoeks- en onderwijseenheden zien cyberveiligheid vaak niet als hoogste prioriteit. Instellingen controleren en evalueren niet altijd structureel, en aan leveranciers wordt niet altijd gevraagd of de beveiliging op orde is.’

Studentenpartij ONS wilde maandag tijdens de universiteitsraad van het college van bestuur weten hoe het met de Leidse digitale beveiliging is gesteld. ‘We moeten nog een aantal stapjes maken’, reageerde vice-collegevoorzitter Martijn Ridderbos. ‘Dat is ook precies de reden waarom we een cybersecurity-programma hebben. Dat was er al, maar we hebben het nog geïntensiveerd.’

Hij wilde niet specifiek ingaan op wat er nog moet gebeuren. ‘Ik zeg dit met grote voorzichtigheid, want je wil niet dat er informatie naar buiten komt. Dan zet je mensen misschien aan het denken.’

Veel van de verbeteringen worden doorgevoerd zonder dat studenten en medewerkers daar iets van merken, vertelde hij. Maar soms hebben de maatregelen wel direct effect op medewerkers. ‘Lang is er veel vrijheid gegeven aan onderzoekers om installaties decentraal neer te zetten.’ Dat beleid wordt nu aangescherpt. ‘Het college is aan het kijken of dat soort zaken wel veilig zijn.’