Vragen en antwoorden hack ROC Mondriaan

[Update 16 december 2021]

Hieronder vind je het meest recente overzicht van veelgestelde vragen en antwoorden over de hack. Het onderwijs is nog niet helemaal zoals het was voor de hack, maar er zijn wel flinke stappen gezet. Er zijn gelukkig steeds meer ICT-systemen beschikbaar voor studenten en medewerkers. We willen iedereen nogmaals heel hartelijk bedanken voor hun geduld, begrip en flexibiliteit.

VRAGEN OVER DE HACK

Wat is het laatste nieuws rondom de hack?

Zoals bekend hebben de hackers die in augustus het systeem van ROC Mondriaan zijn binnengedrongen, gegevens gepubliceerd op het darkweb. Wij hebben deze data inmiddels gescreend en een goed beeld van wat het betreft. Een gespecialiseerd bedrijf heeft de hack onderzocht, het eindrapport hebben wij inmiddels ontvangen.

Welke informatie hebben de hackers gepubliceerd?

De informatie is afkomstig van een beperkt aantal fysieke servers. Dat betekent dat de hackers geen toegang hebben gehad tot belangrijke applicaties: ons leerlingvolgsysteem Magister en HRM-systeem HR2day. Het grootste deel van de gevonden data betreft organisatie-informatie.

Wat is privacygevoelige informatie en wat moet ik me daarbij voorstellen?

Wat betreft privacygevoelige informatie maken wij onderscheid tussen twee vormen: identiteitsfraude gevoelige informatie en inhoudelijke, persoonlijke informatie. Bij identiteitsfraude gevoelige informatie gaat het om kopieën van een geldig identiteitsbewijs. Bij inhoudelijk en persoonlijke informatie gaat het om informatie over klachten, schorsingen en incidenten.

Wat zijn persoonsgegevens?

Bij persoonsgegevens gaat het om naam, contactgegevens, BSN-nummer en salarisgegevens.

Wat is identiteitsfraude?

Bij Identiteitsfraude probeert iemand zich geloofwaardig voor te doen als iemand anders. Met deze valse identiteit, kan hij anderen oplichten.

Hoeveel informatie hebben de hackers gepubliceerd?

Er is een beperkt aantal geldige identiteitsbewijzen gevonden. Slechts een klein deel hiervan is van (oud)studenten. De meeste mensen die dit betreft, hebben wij inmiddels persoonlijk op de hoogte gesteld.

Bij inhoudelijke en persoonlijke informatie gaat het om informatie over klachten, schorsingen en incidenten. Op dit moment hebben we gegevens van enkele tientallen personen gevonden.

Wat betreft de persoonsgegevens: dit hebben we van een deel van de medewerkers en studenten gevonden die werkten of studeerden bij ROC Mondriaan.

Hoe weet ik of er van mij privacygevoelige informatie is gelekt?

De mensen van wie we een geldige kopie van een identiteitsbewijs hebben gevonden, zijn inmiddels allemaal persoonlijk op de hoogte gebracht. Wij vergoeden de kosten voor een nieuw identiteitsbewijs en ondersteunen hen waar nodig. Dit doen we ook bij mensen waarvan we de komende periode nog een geldig ID-bewijs vinden en mensen waarvan we andere privacygevoelige informatie vinden. Soms is het informatie van lang geleden, maar ook dan doen we ons uiterste best om betrokkenen persoonlijk te informeren.

Wat moet ik doen als er van mij identiteitsfraude gevoelige informatie is gepubliceerd?

Dan moet je een nieuw identiteitsbewijs aanvragen. Uiteraard vergoeden wij de kosten hiervan en ondersteunen je bij eventuele vervolgschade. Wees verder alert op verdachte signalen. Een helder overzicht van deze signalen en wat je moet doen als je

vermoedt dat jouw identiteit is gestolen, vind je op deze site van de rijksoverheid. https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/hoe-herken-ik-identiteitsfraude

Hoe weet ik welke persoonsgegevens van mij zijn gepubliceerd?

Dat is helaas niet precies vast te stellen. Het gaat om zo’n omvangrijke hoeveelheid data, dat het voor ons niet mogelijk is dit op persoonsniveau volledig in beeld te krijgen. We raden je af om zelf op zoek te gaan naar deze gegevens. Het is namelijk niet uit te sluiten dat de bestanden geïnfecteerd zijn met een computervirus/malware. Het openen van bestanden kan schadelijke gevolgen hebben voor je device.

Wat kan er gebeuren als er van mij persoonsgegevens zijn gepubliceerd?

Het is vooral heel vervelend. Maar de kans is heel klein dat er fraude met jouw persoonsgegevens kan worden gepleegd, ook niet met jouw BSN-nummer. Het kan wel zijn dat je telefoontjes, appjes of post krijgt met details waardoor het geloofwaardig lijkt. Wees dus extra alert op verdachte dingen zoals phishing mail, vreemde post of WhatsApp fraudeberichten.

Wat kan ik zelf doen?

Dringend advies: ga niet zelf op zoek naar de gepubliceerde gegevens. Het is namelijk niet uit te sluiten dat de bestanden geïnfecteerd zijn met malware. Het openen van bestanden kan schadelijke gevolgen hebben voor je device. We kunnen niet uitsluiten dat Mondriaan e-mailadressen zijn gelekt. Daarom geven we je de volgende tips mee:

  • Wees extra alert op verdachte signalen zoals phishing mails. Klik nooit op links uit verdachte e-mails.

  • Gebruik je je Mondriaan wachtwoord voor andere websites? Pas deze wachtwoorden dan aan.

Denk ook aan de gebruikelijke veiligheidsmaatregelen:

  • Zorg voor een up-to-date antivirusprogramma.

  • Gebruik verschillende wachtwoorden voor verschillende diensten. Bijvoorbeeld social media en e-mail accounts.

Weten we zeker dat dit alles is wat de hackers in handen hebben? Lopen we risico dat de hackers nog meer informatie publiceren?

Dat weten we niet zeker, maar het is niet waarschijnlijk. Ervaring bij andere gevallen van ransomware is dat de hackers alles in één keer op het dark web plaatsen, als er niet wordt betaald.

Ik maak me nog zorgen. Bij wie kan ik terecht met mijn vragen?

Studenten kunnen terecht bij hun schooldirecteur.

Hoe is de hack ontstaan?

Uit forensisch onderzoek is gebleken dat de aanvallers door misbruik van een studentaccount en met ‘brute-force aanvallen’ (steeds wachtwoorden en encryptiesleutels uitproberen) toegang wisten te krijgen tot ons netwerk. Tot aan de ontdekking van de hack op 21 augustus, hebben de aanvallers gegevens van Mondriaan kunnen stelen en bestanden kunnen versleutelen.

Hoe zorgen jullie ervoor dat dit niet nog een keer gebeurt?

Beveiliging van data en bedrijfssystemen had en heeft onze voortdurende aandacht. 100% veiligheid bestaat echter niet; hackers vinden altijd een achterdeur. De afdeling ICT werkt hard om de beveiliging van gegevens verder te verbeteren. Zo wordt voor studenten ook een tweestaps-verificatie (Multifactor Authenticatie (MFA)) ingevoerd. Studenten ontvangen hierover binnenkort meer informatie. Daarbij kijken we ook kritisch naar de gegevens die zijn gelekt en onderzoeken in hoeverre we in de toekomst anders moeten omgaan met het bewaren van gegevens.