Hoe een mbo-school door traag te reageren op aanval
18
Hoe langer
we op het
darkweb
zoeken, hoe
gevoeliger
de
informatie
wordt
Het is zeer per
soonlijke infor
matie die nie
mand zou mo
gen zien. Maar
het staat al we
ken op internet.
'E-mail van reclassering met me
dedeling dat J. verdachte is in een
nieuwe zaak en voor minimaal
veertien dagen in een huis van be
waring verblijft.' De passage komt
uit een van de twintig documen
ten vol gevoelige gegevens over J.
(19). Hij heeft schulden, spijbelt,
draagt een enkelband en maakte
ruzie met een docent. ,,Ik voelde
me bedreigd'', zei die.
J. is leerling van ROC Mondri
aan uit de regio Den Haag. En
slachtoffer van een datalek.
Buitenlandse cybercriminelen
legden de school in augustus plat.
Computersystemen op de ver
schillende locaties waren on
bruikbaar. E-mail en telefoons
functioneerden niet meer en zelfs
de koffieautomaten waren buiten
gebruik. Maar de criminelen sta
len ook zo'n 200.000 bestanden
van de servers.
Al sinds half september liggen
belangrijke en minder belangrijke
persoonsgegevens van honderden
medewerkers, stagiaires, freelan
cers en leerlingen van mbo-school
ROC Mondriaan op straat, klaar
om misbruikt te worden door cri
minelen. Van ogenschijnlijk on
schuldige woonadressen en
e-mailgegevens tot volledige cur
ricula vitae, bankrekeningnum
mers en tientallen paspoorten van
een deel van de 20.000 studenten,
5000 cursisten en 2100 medewer
kers op de in totaal zo'n twintig
vestigingen.
ROC Mondriaan werd welis
waar overrompeld, maar lijkt on
danks de ernst traag te reageren.
Het duurde drie weken voordat de
slachtoffers een telefoontje kre
gen met de boodschap: je belang
rijkste gegevens zijn voor ieder
een ter wereld te bekijken.
De cyberaanval op de onder
wijsinstelling wordt in de nacht
van 21 op 22 augustus ontdekt. Op
14 september, een week voor de
start van het nieuwe schooljaar,
onthullen de criminelen van de
buitenlandse bende Vice Society
alle gestolen data op hun website.
Het is niet uitgesloten dat de per
soonsgegevens op besloten, cri-
minele fora al veel langer worden
verhandeld, maar vanaf dat mo
ment ligt al die informatie op
straat.
Op een plek 'waar geen mens
ooit komt', merkte bestuursvoor
zitter Hans Schutte op in de Volks
krant. Dat is deels waar. De bende
plaatste de gegevens op het dark-
web: het minder toegankelijke
deel van het internet, waar de ten
takels van zoekmachine Google
niet kunnen komen. Je vindt er
drugs, wapens en kinderporno.
Maar criminelen weten er wel de
weg, en die vinden er een goud
mijn aan gestolen gegevens.
Eén muisklik
We nemen een kijkje op het dark-
web en zien de boodschap van
Vice Society. Het leest als een ad
vertentie voor potentiële kopers
van de data. Het levert eenvoudig
een beeld op van de grootte en
ernst van het lek. Verschillende
mappen en documenten die de
criminelen van de servers van
ROC Mondriaan plukten, zijn
met één muisklik in te zien. Vol
gens de school zijn de belangrijk
ste systemen niet geraakt door de
aanval: het leerlingvolgsysteem
en het personeelsinformatiesys
teem.
Op het eerste scherm zien we
veertien mappen die de crimine
len kopieerden vanaf de servers
van de onderwijsinstelling, met
Engels aandoende namen als
'klass students', 'finanse', 'clients',
'personal data', 'staff en 'inci
dents'. Ze bevatten heel veel en
diverse informatie: van relatief
onschuldig tot heel persoonlijk en
risicovol voor identiteitsfraude.
Na een paar muisklikken kun
nen we incidentverslagen inzien.
Een docente werd onwel tijdens
de les en een leerling meldde zich
met een pijnlijke schaafwond na
een val met een skateboard. Er
staan foto's van dertig klassen met
de pasfoto's en namen van in to
taal zo'n zeshonderd leerlingen.
Een karrenvracht aan persoons
gegevens is relatief eenvoudig te
vinden. Wellicht niet door de
buurvrouw of een nieuwsgierige
kennis. Maar wel voor criminelen
die de info willen gebruiken voor
oplichtingspraktijken. Met alleen
een gelekt telefoonnummer of
e-mailadres zijn de risico's nog te
overzien. Maar van tientallen me
dewerkers, oud-medewerkers en
sollicitanten stalen de criminelen
de cv's. Ze hebben daarmee een
stevig pakket informatie in han
den om hun phishingmails of
WhatsAppfraude veel nauwkeu
riger af te stemmen op de per
soonlijke situatie van hun be
oogde doelwit.
De mensen wiens gegevens nu
op internet rondzwerven moeten
extra alert zijn, zegt Gina Doek-
hie, cybercrimespecialist bij de
politie-eenheid Den Haag, die de
hack met het private cybersecuri-
tybedrijf NFIR onderzoekt. ,,Het
is mogelijk dat ze die slachtoffers
nu ook proberen te hacken. Let
dus extra op hackpogingen en
identiteitsfraude. En gebruik na
tuurlijk niet hetzelfde wacht
woord voor verschillende dien
sten en accounts."
Met de (gecombineerde) gege
vens kunnen criminelen heel
veel. Denk aan het huren van een
auto, een bankrekeningnummer
aanvragen, dure spullen op een
ander adres bestellen, abonne
menten afsluiten of zelfs een le
ning aangaan. ,,In het ergste geval
krijgen ze zelfs toegang tot jouw
banktransacties", zegt Tanya
Wijngaarde, woordvoerder van de
Fraudehelpdesk.
Wangedrag
Hoe langer we op het darkweb
zoeken, hoe gevoeliger de infor
matie wordt. Van leerlingen ont
vreemdden de criminelen lijsten
met achternamen en bedragen
van wanbetalers. En zo'n twintig
brieven aan leerlingen over hun
wangedrag: van officiële waar
schuwingen voor het roken van
een joint of het intikken van het
ruitje van het brandalarm tot
schorsingen vanwege vechtpar
tijen of zelfs intimiderend gedrag
naar een docente. De 'daders'
staan er met hun volledige naam
en huisadres in. Van docenten
ZATERDAG 23 OKTOBER 2021 GO
MICHIEL VAN GRUIJTHUIJSEN
WOUT VAN ARENSBERGEN