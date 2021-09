Nederlandse hoger onderwijsinstellingen hebben sinds de cyberaanval bij de Universiteit Maastricht in december 2019 meer aandacht besteed aan cyberveiligheid, maar het is nog niet genoeg. Dat concludeert de Onderwijsinspectie in een woensdag gepubliceerd rapport over cyberveiligheid in het hoger onderwijs. De aandacht gaat volgens de inspectie nog te vaak uit op slechts de bescherming van privacygegevens en niet op de algehele beveiliging van de informatie van de universiteit of hogeschool. Cyberveiligheid heeft daarbij nog niet de hoogste prioriteit.

De ransomware-aanval bij de Universiteit Maastricht legde in december 2019 interne websites en het e-mailsysteem plat. De Onderwijsinspectie concludeerde in juni vorig jaar dat de universiteit onvoldoende maatregelen had genomen om een aanval te voorkomen. Daardoor trof de cyberaanval de universiteit harder dan nodig. De afhandeling van de aanval verliep volgens de inspectie wel goed; de universiteit waarschuwde onder meer andere instellingen voor ransomware-aanvallen. Bij een ransomware-aanval verkrijgen cybercriminelen met bijvoorbeeld een phisingsmail toegang tot een systeem en worden gegevens ‘gegijzeld’.

Onderwijsinstellingen zijn momenteel voor een groot deel zelf verantwoordelijk voor de veiligheid van hun instelling. De inspectie oordeelt dat de overheid meer verantwoordelijkheid en regie moet nemen. „Kennis en kunde blijkt in het veld zeker aanwezig, maar sturing ontbreekt”, aldus Alida Oppers, de inspecteur-generaal van het Onderwijs in het rapport.

In het rapport noemt de Onderwijsinspectie welke stappen de instellingen binnen het hoger onderwijs wel kunnen nemen om de weerbaarheid te verhogen. Zo moet cyberveiligheid een integraal onderdeel worden van het risicomanagement, moeten instellingen de veiligheid blijven monitoren en verbeteren en moeten instellingen hun informatie over kwetsbaarheden vaker delen.