Johan van Boven
Johan van Boven Nieuws 27 sep 2018
Leestijd: 6 minuten

Scholen zijn zeer makkelijk doelwit voor hackers

Cijfers aanpassen, identiteitsfraude plegen met paspoortkopieën en leerlingen chanteren met gevoelige informatie. Voor hackers zijn scholen een soort speeltuin, omdat er in veel gevallen totaal geen sprake is van digitale beveiliging. De gegevens van tienduizenden leerlingen liggen voor het oprapen.

Uit een onderzoek van SLBdiensten onder 303 onderwijsprofessionals blijkt dat bijna de helft vindt dat hun onderwijsinstelling onvoldoende beveiligd is tegen hackers. Een derde geeft aan dat de onderwijsinstellingen waar zij werken de online privacy van de leerlingen niet kan garanderen.

„Zorgwekkend”, zegt Jeroen Borgsteede, algemeen directeur van SLBdiensten, dat in 1992 werd opgericht als intermediair tussen de softwarebranche en het voortgezet en middelbaar (beroeps)onderwijs. „Ik ken een voorbeeld van een leerling die naar een andere stad verhuisde omdat ze niet uitgehuwelijkt wilde worden door haar ouders. Als haar gegevens op straat zouden komen te liggen, omdat haar nieuwe school gehackt wordt, zou dat heel vervelende gevolgen kunnen hebben. De cijfers uit het onderzoek stemmen tot nadenken over het niveau van online security binnen onderwijsorganisaties. Ook met de komst van de nieuwe wetgeving op het gebied van databeveiliging en bescherming van persoonsgegevens is het onderwijsinstellingen er veel aan gelegen hun IT-infrastructuur en data goed te beveiligen.”

Wakker

Sinds het ingaan van die nieuwe wet zijn onderwijsinstellingen eindelijk een beetje wakker geschrokken, zegt Maria Genova. Ze is de auteur van het boek ‘Komt een vrouw bij de hacker’ en ze geeft lezingen over hacken. Ook op scholen. „Het is schrikbarend hoe laag het kennisniveau daar op dit gebied is. Tijdens zo’n lezing moet ik dan echt helemaal op nul beginnen. Mijn inschatting is dat 90 procent van de Nederlandse scholen te hacken is. Het gebeurt ook heel vaak, maar niemand hangt dat aan de grote klok omdat ze bang zijn voor imagoschade. Het probleem is dat scholen denken dat ze niet interessant zijn voor hackers. Wat valt hier nou te halen, denken ze.”

Het antwoord is: veel. Genova geeft een (digitale) kopie van een paspoort als voorbeeld. „Scholen zijn verplicht die van de docenten te bewaren. Stel dat een hacker 2.000 van die kopieën weet te bemachtigen door via een phishingmail in het netwerk van de school te komen. Dan kan hij daar op het darkweb ongelooflijk veel geld voor krijgen. Ook kunnen ze met dat kopietje een lening afsluiten of een woning huren. Als in dat huis een wietplantage wordt ontdekt, komt de politie bij degene uit van wie het paspoort is. Of de hackers leggen het hele schoolsysteem plat en eisen vervolgens een geldbedrag, voordat ze het netwerk weer laten werken. Ik ken een bedrijf, overigens geen onderwijsinstelling, dat 8600 euro heeft overgemaakt omdat ze toen dachten overal van af te zijn. Maar vervolgens moesten alle computers worden opgeschoond en maatregelen worden genomen zodat de hackers niet opnieuw konden toeslaan. Totale kosten: 60.000 euro.”

Prooi

Gegevens van leerlingen worden vandaag de dag allemaal online bijgehouden en eenvoudig via het interne netwerk gedeeld. Ook maken onderwijsinstelling veelvuldig gebruik van digitale leermiddelen. Zonder goede beveiliging zijn scholen daardoor een makkelijke prooi voor hackers, weet Edwin van Andel als geen ander. Hij is de directeur van Zerocopter, een organisatie die met behulp van ethische hackers bedrijven helpt zich beter online te beveiligen door IT-zwakheden bloot te leggen.

„Het is heel eenvoudig om met simpele software alle wachtwoorden te verzamelen en vervolgens met deze accounts zelf in te loggen”, zegt Van Andel. „Hackers hebben daardoor de mogelijkheid om digitaal te pesten, saboteren, chanteren en manipuleren.” En die hackers hoeven niet per se van buitenaf te komen. Ook handige medeleerlingen kunnen in die rol kruipen. „Op YouTube kun je vinden hoe je een schoolsysteem kan hacken, zo moeilijk is dat niet. Als een leerling dat voor elkaar heeft gekregen kan hij andere leerlingen dreigen hun voldoendes om te zetten in onvoldoendes als ze een bepaald bedrag niet betalen. Dat soort dingen gebeurt echt. Vroeger werd je bij je keel gepakt en tegen de kluisjes gedrukt, nu gaat het op een andere manier. Er zijn ook voorbeelden van leerlingen die een DDos-aanval op hun eigen school uitvoerden, zodat het examen niet kon doorgaan.”

Specialisten

Onderwijsinstellingen proberen het gebrek aan online beveiliging vaak op te vangen door docenten de verantwoordelijkheid voor de ICT te geven. Maar daarvoor hebben de betreffende medewerkers vaak onvoldoende kennis in huis. Borgsteede: „Veel bedrijven zijn op zoek naar privacyspecialisten, maar die zijn moeilijk te vinden omdat ze aan een breed eisenpakket moeten voldoen. Ze moeten technisch onderlegd zijn, voldoende juridische kennis hebben en de onderwijswereld begrijpen. Onderwijsinstellingen zouden meer geld en tijd moeten vrijmaken om experts aan te nemen of op te leiden, zodat de online veiligheid van hun leerlingen en werknemers wél gegarandeerd kan worden. Soms is de oplossing eenvoudig. Docenten sturen bestanden met gegevens van leerlingen vaak naar hun privémail, omdat ze thuis verder willen werken. Dat kun je met bepaalde software vrij gemakkelijk beveiligen. Maar de bewustwording bij leerkrachten is misschien nog wel belangrijker. Ik snap dat ze het heel druk hebben, maar dit is wel een heel belangrijk onderdeel.”

Genova sluit zich daar volledig bij aan. „Na een lezing van mij gaan docenten vaak in shock snel hun wachtwoorden veranderen. Omdat ze erachter zijn gekomen dat het niet verstandig is om wachtwoorden als Welkom01 en Zomer2018 te gebruiken. Je zou denken dat mensen zoiets anno 2018 wel zouden weten, maar dat is dus niet het geval. Ik adviseer het gebruik van veel langere wachtwoorden. Laten we zeggen: ikgabijnaopvakantie. En als je dan een wachtwoord voor Marktplaats nodig hebt, gebruik je ikgabijnaopvm. En voor Netflix: ikgabijnaopvn. En Spotify: ikgabijnaopvs. Ga zo maar door. Maak het wachtwoord nog sterker met twee cijfers en een hashtag, want dat is de vereiste van de meeste sites. Zulke wachtwoorden worden in geen honderd jaar gehackt. Dat is in ieder geval een beginnetje.”

Geen excuus

De belangenorganisatie van scholen in het voortgezet onderwijs onderstreept dat privacy van leerlingen én leerkrachten zeer serieus genomen moet worden. „Er is dan ook veel aandacht voor”, aldus Stan Termeer, woordvoerder van de VO-raad. „De ene school heeft zijn zaakjes op dit gebied prima op orde, de andere school is slechts mondjesmaat op weg in de bewustwording. Wij als VO-raad proberen scholen hier zo veel mogelijk in te ondersteunen, maar dat is een langdurig proces. Zeker sinds de nieuwe privacywet komt er heel veel bij kijken. We horen vaak: moeten we dit er óók nog bij doen? Er is niet altijd tijd en geld voor. Dat is natuurlijk geen excuus, maar wel een verzachtende omstandigheid. Het is in ieder geval duidelijk dat er nog veel moet gebeuren.”

Foutje gezien? Mail ons. Wij zijn je dankbaar.

Het beste van Metro in je inbox 🌐

Meld je aan voor onze nieuwsbrief en ontvang tot drie keer per week een selectie van onze mooiste verhalen.