| Ingediend | 30 december 2019 |
|---|---|
| Beantwoord | 14 februari 2020 (na 46 dagen) |
| Indieners | Dennis Wiersma (VVD), Chantal Nijkerken-de Haan (VVD) |
| Beantwoord door | Ingrid van Engelshoven (minister onderwijs, cultuur en wetenschap) (D66) |
| Onderwerpen | economie ict openbare orde en veiligheid terrorisme |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2019Z26211.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20192020-1833.html |
Ja.
Na de cyberaanval heeft de Universiteit Maastricht gespecialiseerd bureau Fox-IT in de arm genomen om onderzoek te doen naar wat er is gebeurd. Uit het rapport van Fox-IT2 blijkt dat de aanvaller halverwege oktober via phishing e-mails eerste toegang heeft gekregen tot het netwerk van de Universiteit Maastricht. Vervolgens heeft de aanvaller in een periode van ruim twee maanden zichzelf toegang verschaft tot de rest van het netwerk van de Universiteit Maastricht. Dit heeft er uiteindelijk toe geleid dat aan het begin van de avond van 23 december de zogenaamde ransomware is uitgerold in het systeem, waarmee op 267 servers alle bestanden zijn versleuteld. Onder de getroffen systemen bevonden zich zeer kritieke systemen voor de bedrijfsvoering en zijn enkele back-upservers getroffen. Vervolgens is door de hackers losgeld geëist om de versleuteling van de databestanden op te heffen.
In de kerstvakantie is een groot deel van de data niet beschikbaar geweest voor studenten en zijn systemen niet toegankelijk geweest. Op 6 januari is het onderwijs en onderzoek hervat. De centrale systemen zijn snel weer beschikbaar gesteld en ook de decentrale systemen waren in de loop van januari weer te gebruiken. Een beperkte segmentatie binnen het netwerk was één van de redenen dat dit incident kon ontstaan. De Universiteit Maastricht heeft aangekondigd de aanbevelingen van Fox-IT op dit vlak op te zullen volgen. De Universiteit Maastricht geeft bovendien aan dat er voor elk cruciaal systeem inmiddels beter afgeschermde back-ups zijn gemaakt. Er zijn vooralsnog geen aanwijzingen over verminderde beschikbaarheid van data.
In het door Fox-IT uitgevoerde onderzoek is uitdrukkelijk aandacht besteed aan eventuele data-extractie. Fox-IT concludeert: «Tijdens het onderzoek zijn sporen aangetroffen die aantonen dat de aanvaller data heeft verzameld aangaande de topologie van het netwerk, gebruikersnamen en wachtwoorden van meerdere accounts, en andere netwerkarchitectuur-informatie. Fox-IT heeft binnen de scope van het onderzoek geen sporen aangetroffen die wijzen op het verzamelen van andersoortige data. Additioneel forensisch onderzoek op kritieke systemen, ook wel aangeduid als kroonjuwelen, zou hier meer inzicht in kunnen bieden.» De Universiteit Maastricht heeft aangekondigd vervolgonderzoek te (laten) doen. De Universiteit Maastricht heeft studenten en andere betrokken nagenoeg dagelijks op de hoogte gesteld via de website en sociale media. Studenten hebben hier volgens de Universiteit Maastricht in algemene zin waardering voor geuit.
Zie antwoord vraag 4.
Door de Universiteit Maastricht ben ik op de hoogte gesteld van het feit dat er losgeld is betaald aan de criminele organisatie, inclusief de hoogte van het bedrag. Voordat de Universiteit Maastricht hiertoe over is gegaan, heb ik de universiteit kenbaar gemaakt dat de regering van mening is dat er geen geld naar criminelen toe moet vloeien. Het is de eigen afweging van het college van bestuur van de Universiteit Maastricht geweest om het losgeld te betalen. De universiteit heeft mij te kennen gegeven dat de betaling van het losgeld, inclusief alle overige kosten die samenhangen met de ransomware-aanval, bekostigd zijn uit de verkoop van een deelneming van de holding Universiteit Maastricht.
Zie antwoord vraag 6.
Na het betalen van het losgeld zijn alle versleutelde gegevens van de Universiteit Maastricht ontsleuteld. Daarvoor en daarna heeft de Universiteit Maastricht mitigerende maatregelen getroffen zodat de criminelen geen toegang meer hadden tot het netwerk.
Kort na de cyberaanval heeft de UM contact opgenomen met het Ministerie van OCW en gedurende de aanval is er nauw contact onderhouden tussen de Universiteit Maastricht, het Ministerie van OCW, de Inspectie, de NCTV, het NCSC en SURF om een volledig beeld te verkrijgen en te adviseren.
Universiteiten en Hogescholen hebben met ondersteuning van OCW in 2018 een Platform Integrale Veiligheid Hoger Onderwijs (Platform IV-HO) opgericht om expertise te bundelen en grip te krijgen op incidenten en veiligheidsrisico’s in het hoger onderwijs waaronder in het cyberdomein. Daarnaast heeft onderwijs-ICT-organisatie SURF veel expertise op het gebied van digitale veiligheid. SURF en het Platform IV-HO staan met elkaar in nauw contact en bundelen zo hun kracht om universiteiten en hogescholen zo goed mogelijk bij te staan en voor te bereiden op dergelijke situaties. Ook in deze situatie hebben het Platform IV-HO en SURF hun expertise beschikbaar gesteld.
Cyberaanvallen op grote instellingen in de private en publieke sector zijn aan de orde van de dag. Zo ook bij universiteiten. De universiteiten hebben mij aangegeven dat zij maatregelen hebben aangescherpt om aanvallen af te slaan of de gevolgen van aanvallen te beperken. Daarbij is het goed te realiseren dat 100% veiligheid niet bestaat, zo concludeert ook de Wetenschappelijke Raad voor Regeringsbeleid in het rapport «Voorbereiden op digitale ontwrichting».4 De WRR stelt daarin dat het volledig voorkomen van digitale incidenten een illusie is.
Het instellingstoezicht door de Inspectie van het Onderwijs (hierna: Inspectie) vindt in het hoger onderwijs plaats naar aanleiding van incidenten of signalen van niet-naleving. De Wet op het hoger onderwijs en wetenschappelijk onderzoek geeft geen specifieke voorschriften voor informatieveiligheid. Van het bestuur mag worden verwacht dat zij zorgdraagt voor de goede voortgang van het onderwijs en daartoe verantwoorde beslissingen neemt over alle aspecten die dat mogelijk maken. Daaronder valt ook de verantwoordelijkheid voor informatieveiligheid. In dat kader heeft de Inspectie een onderzoek ingesteld.
Fox-IT geeft aan dat de werkwijze van de aanvaller overeenkomt met een bij hen bekende criminele groepering, publiek bekend als «TA505», die – volgens hun informatie – al meer dan 150 slachtoffers heeft gemaakt in 2019. De werkwijze is vergelijkbaar met die van de aanval op de Universiteit Antwerpen.
In de Kamerbrief «Cyberveiligheid in het onderwijs» heb ik aangekondigd dat in het mbo en hoger onderwijs aanvullende acties worden gepleegd om de cyberveiligheid te versterken. In de acties is aandacht voor de lessen die zijn getrokken uit de aanval op Universiteit Maastricht, de toetsing van digitale veiligheid in het onderwijs, de monitoring en scanfunctie en voor vergroten van awareness. Vanuit mijn rol als verantwoordelijke voor de continuïteit van het gehele stelsel, zal ik mij ervan vergewissen dat de continuïteit ook in dit geval geborgd is en mij met enige regelmaat laten informeren over de voortgang van de aangekondigde acties.
Op 30 december 2019 jongstleden hebben de leden Wiersma en Nijkerken-de Haan (beiden VVD) van uw Kamer schriftelijke vragen gesteld over het bericht «Cyberaanval Universiteit Maastricht duurt mogelijk tot na de kerstvakantie». Tot mijn spijt is beantwoording binnen de gestelde termijn niet mogelijk, omdat de vragen pas na de uitkomst van het onderzoek van de Universiteit Maastricht kunnen worden beantwoord. Dit onderzoek zal in begin februari worden opgeleverd. Bij de regeling van werkzaamheden op 14 januari jl. heeft het lid Wiersma bovendien verzocht om een debat met daaraan voorafgaand een brief over de cyberaanval op de Universiteit Maastricht. Ook is tijdens de procedurevergadering van de vaste commissie OCW het verzoek om aanvullende informatie gedaan. Ik zal de vragen van de leden Wiersma en Nijkerken-de Haan (beiden VVD) parallel aan zowel de brief als de reactie op dit verzoek om aanvullende informatie beantwoorden.