Onderwijsorganisatie viel ten prooi aan hackers "Hoe groot de gevaren zijn, besef je pas als je erdoor getroffen wordt"

Hoe kwamen jullie erachter dat er iets aan de hand was?

"Op een avond kregen we als bestuur een WhatsApp-bericht binnen met de vraag of we aan het experimenteren waren. Bij het bericht zat een screenshot van een mailtje met een klikbare link, zogenaamd namens het bestuurskantoor verstuurd aan alle medewerkers. Toen bleek dat ik dat mailtje zelf ook had ontvangen, gingen alle alarmbellen af. Via onze WhatsApp-groepen hebben we iedereen gewaarschuwd dat er een phishingmail in omloop was, met de oproep vooral niet op die link te klikken. Dat is gelukkig ook niet gebeurd, maar vervolgens zijn er wel direct maatregelen genomen. Toch ontving de volgende avond iedereen weer een phishingbericht. Ook daarop is niet geklikt, maar we waren er niet gerust op. Daarom hebben we via onze cyberverzekering aangeklopt bij KPMG. Zij hebben een cybersecurity-expert ingeschakeld die onze data grondig heeft geanalyseerd, in samenwerking met Heutink ICT."

Wat leverde de data-analyse op?

"Het bleek dat kwaadwillenden in het verleden via phishing het wachtwoord van een leerkracht hadden bemachtigd en zo toegang hadden gekregen tot het account van die leerkracht. Nader onderzoek door Heutink ICT wees uit dat er in dat account door een bot regels waren ingesteld voor het forwarden van mailtjes met bankgegevens in het Engels. Gelukkig komen zulke mailtjes bij de gemiddelde leerkracht niet binnen. Maar het enge was dat we het initieel niet als kwaadwillende acties hadden opgemerkt. Alleen in de diepere data was er iets van terug te vinden. Gelukkig bleek uit de data-analyse dat er verder niets was gebeurd, er is geen datalek geweest."

Zijn jullie nu anders naar security gaan kijken?

"Zeker, deze bevindingen waren voor ons een wake-up call. Voorheen waren we nooit zo streng bezig met security. Natuurlijk hadden we er wel oog voor, maar onze IT moest vooral praktisch en werkbaar zijn. Met het oog op het gebruikersgemak van de medewerkers was inloggen met alleen een gebruikersnaam en wachtwoord op dat moment bijvoorbeeld goed genoeg. Hoe groot de gevaren zijn, besef je pas als je erdoor getroffen wordt. In gesprekken met collega's van andere onderwijsorganisaties merk ik dat er in de hele sector geen heel groot urgentiebesef leeft. De risico's worden onderschat. Maar wie echt kwaad wil, kan makkelijk zijn slag slaan. Wanneer je als hacker bijvoorbeeld een e-mailadres hebt, is het vaak mogelijk om daar door een bot een hele stroom wachtwoorden op te laten afvuren, net zo lang tot je binnen bent. Een ander voorbeeld is een bekend administratieprogramma in het onderwijs waarin scholen nog steeds de optie hebben om de maximale beveiliging niet helemaal aan te zetten."

Wat is er nu gedaan om de veiligheid te waarborgen?

"Samen met Heutink ICT hebben we een project opgezet om onze data beter te gaan beveiligen. Daar is een aantal extra maatregelen uit voortgekomen. Zo werken we nu met Multi Factor Authenticatie. Dat is best lastig; soms moet je meerdere keren op een dag inloggen, waarbij je dan ook je telefoon nodig hebt. Maar het is wel dé manier om veilig met je data om te gaan. Intussen zijn we samen met Heutink ICT bezig nog een aantal verdere efficiencystappen te zetten en beveiligingsmaatregelen te treffen. Ik zou alle schoolbestuurders willen adviseren om op zijn minst eens een cyberspecialist naar de IT-omgeving en de security-instellingen te laten kijken. Levert dat twijfels op, laat dan aansluitend een data-analyse uitvoeren om te bepalen of er al indringers in je netwerk zijn geweest. Wij zijn achteraf heel blij dat we het hebben gedaan."

Uit veiligheidsoverwegingen heeft de geïnterviewde ons verzocht dit artikel te anonimiseren.