| Ingediend | 30 augustus 2021 |
|---|---|
| Beantwoord | 20 september 2021 (na 21 dagen) |
| Indieners | Queeny Rajkowski (VVD), Zohair El Yassini (VVD) |
| Beantwoord door | Ingrid van Engelshoven (minister onderwijs, cultuur en wetenschap) (D66) |
| Onderwerpen | beroepsonderwijs economie ict onderwijs en wetenschap |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z14667.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20202021-4087.html |
Ja.
Er is inderdaad sprake van ransomware. Hierbij is er losgeld gevraagd aan ROC Mondriaan.
ROC Mondriaan heeft geen losgeld betaald aan de hackers.
Het uitgangspunt van het kabinet is dat het onwenselijk is om losgeld te betalen, omdat de regering van mening is dat er geen geld naar criminelen toe moet vloeien.
De hackers hebben op 14 september 2021 voor het eerst gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.
Zodra ROC Mondriaan de hack constateerde, heeft de instelling SURFcert ingelicht en een gespecialiseerd forensisch IT-bedrijf ingeschakeld. SURF ondersteunt ROC Mondriaan in het onderzoek naar de oorzaak en omvang van de hack.
ROC Mondriaan heeft meteen na het ontdekken van de hack de Autoriteit Persoonsgegevens ingelicht. Vrijdag 4 september en dinsdag 14 september is er wederom contact geweest met de Autoriteit Persoonsgegevens om hen bij te praten met de laatste stand van zaken. Ook is de afspraak gemaakt dat ROC Mondriaan de Autoriteit Persoonsgegevens informeert zodra er meer relevante informatie beschikbaar is.
Uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar en ik kan dan ook geen uitspraken doen over de scores van individuele instellingen.
De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar. Ik kan dan ook geen uitspraken doen over de scores van individuele instellingen. In algemene zin is het volwassenheidsniveau van de benchmark IBP-E de afgelopen jaren gegroeid: voor informatiebeveiliging was de gemiddelde score in 2018 een 2,4, in 2019 een 2,5 en in 2020 een 2,8 op een schaal van 1 tot 5.
De benchmark IBP-E meet aan de hand van ruim 100 statements de volwassenheid van de informatiebeveiliging van de instelling op een schaal van 1 tot 5. Daarbij is niveau 3 het ambitieniveau. Een gemiddeld volwassenheidsniveau van 3 wordt beschouwd als een goede balans tussen kosten en baten van de informatiebeveiliging. Het klopt dat het volwassenheidsniveau van de benchmark IBP-E gemiddeld uitkwam op 2,8. Net onder het gestelde ambitieniveau. De benchmark IBP-E heeft een tweeledig doel. Enerzijds geeft deze een goed beeld van de gemiddelde volwassenheid van de mbo-sector op het gebied van informatiebeveiliging. Anderzijds geeft deze benchmark individuele mbo-instellingen inzicht in de mate waarin hun maatregelen rond informatiebeveiliging succesvol zijn geïmplementeerd en levert zo een roadmap voor de mbo-instelling. Voor de betrouwbaarheid – en daarmee het nut – van deze benchmark is het belangrijk dat de mbo-instellingen zonder enige terughoudendheid hun kwetsbaarheden kunnen aangeven. Daarom is ervoor gekozen om de resultaten anoniem te verwerken: uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. Een tweede belangrijke reden om deze resultaten niet openbaar te maken is dat het hier om gevoelige informatie gaat.
Ik ga met de mbo-sector in gesprek over de impact van de hack bij ROC Mondriaan op de door de sector te nemen maatregelen. Ik neem hierin de aanbevelingen uit het Inspectierapport over de digitale weerbaarheid in het Hoger Onderwijs mee4.
Bij ROC Mondriaan zijn vijf personen betrokken bij de informatiebeveiliging. Een incident zoals de hack bij ROC Mondriaan is vaak het gevolg van menselijk handelen. Informatiebeveiliging gaat daarmee elke medewerker, docent en student aan.
De hackers hebben op 14 september jl. buitgemaakte gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.
Maandag 30 augustus jl. zijn de scholen van ROC Mondriaan open gegaan en kregen de studenten ook weer fysiek les. Dit ging wel in aangepaste vorm, omdat bestanden en de meeste applicaties niet toegankelijk waren. De vorm waarin het onderwijs wordt gegeven hangt uiteraard af van hoe afhankelijk een opleiding is van de geautomatiseerde systemen. Een ict-opleiding is uiteraard meer afhankelijk van de inzet van digitale leermiddelen dan andere mbo-opleidingen.
Op dit moment is er nog geen duidelijk beeld of en in welke mate er sprake is van door deze situatie ontstane onderwijsachterstanden. ROC Mondriaan zet alles op alles om er voor te zorgen dat het onderwijs zo goed mogelijk door gaat. Om dit te bereiken worden bijvoorbeeld, in het belang van de continuïteit van het onderwijs, examens afgenomen bij andere instellingen.
ROC Mondriaan is nog druk bezig met de herstelwerkzaamheden als gevolg van de hack. Er is nog geen inschatting van de schade en kosten.
Ja.
Ja.