van computerkrakers leerlingen in verlegenheid brengt
19
Cybércriminelen braken in bij ROC Mondriaan in Den Haag,^isten
4 miljoen euro losgeld en dumpten allerlei persoonsgegevens van
studenten en medewerkers op straat. Waarom trok de school pas
na drie weken aan de bel? Een reconstructie.
In het
ergste
geval
krijgen
criminelen
toegang tot
bank-
transacties
- -■- s_ w
een halve dag alle gegevens ge
vonden die in dit artikel worden
beschreven. ROC Mondriaan trok
pas na drie weken bij de meeste
slachtoffers aan de bel, maar zegt
dat niet eerder kon: ,,Omdat we
niet eerder een goed beeld hadden
van de aard en omvang van de ge
publiceerde info", aldus een
woordvoerder. ,,Dat deden we zo
snel mogelijk, maar zeker ook
zorgvuldig. Wij zijn al vanaf be
gin oktober bezig met het per
soonlijk bellen van mensen. Dat
vraagt ook zorgvuldigheid, men
sen vertrouwen ons telefoontje
logischerwijze niet direct en er is
vaak meerdere malen contact."
Pas nadat de criminelen de data
op 14 september onthulden, kon
het ingehuurde cybersecurity-
bedrijf volgens hem aan de slag
om de informatie veilig te down
loaden en analyseren. Hij beaamt
dat 'enkele tientallen' identiteits
bewijzen zijn gelekt. En dat nog
niet alle betrokkenen zijn bereikt.
Dat leerling J. nog niets van het
lek weet, komt doordat eerst is ge
focust op de identiteitsbewijzen.
,,Naar de andere gegevens moeten
we nog goed kijken."
Veel slachtoffers lijken het ge
vaar niet helemaal te zien. ,,Ik
vind het moeilijk in te schatten
wat ze ermee kunnen", zegt
oud-stagiaire Van der Sluijs. De
Rotterdamse docent Olaf Schut
(52) realiseert zich wel dat crimi
nelen met al zijn gegevens bij
voorbeeld een online bankreke
ning zouden kunnen openen op
zijn naam. Toch vindt hij het lek
'niet zo spannend'. ,,Bij mij is het
grote geld niet te halen." Hij
schrikt wel wanneer hij hoort dat
niet alleen z'n paspoort, maar ook
z'n bankrekeningnummer en cv
met woonadres zijn gelekt. Die
details had hij nog niet van ROC
Mondriaan gekregen. ,,O jee, is dat
allemaal te zien?"
Oud-stagiair Sander Vis (45) uit
Naaldwijk vroeg met spoed een
nieuw paspoort aan. ,,Er kwam
vast veel op de school af", zegt hij
begripvol. ,,Ik denk dat mijn rela
tie met het ROC daarin een rol
speelt. Ik heb er heel fijn ge
werkt." Als hij hoort dat ook zijn
burgerservicenummer, bankreke
ningnummer en thuisadres on
line staan, is het kort stil. ,,Goh."
Oud-stagiaire Van der Sluijs
belt na ons telefoontje met ROC
Mondriaan. Haar paspoort stond
opgeslagen als WhatsApp-afbeel-
ding, daarom had de school die
over het hoofd gezien. De instel
ling zal de database opnieuw uit
pluizen, hoorde ze. Een afspraak
voor een nieuw identiteitsdocu
ment is inmiddels gemaakt. Toen
ze bij de gemeente hoorden wat
de reden van de aanvraag was,
kreeg ze voorrang en kon ze een
dag later terecht. ROC Mondriaan
betaalt alle slachtoffers daarvoor
150 euro.
Onderbezet
Tijdens zo'n aanval als bij ROC
Mondriaan is er al snel hulp van
een cybersecuritybedrijf bij het
herstellen van de beveiliging,
maar hulp bij het afhandelen van
het datalek lijkt nog niet helemaal
op orde te zijn. De politie richt
zich op het onderzoek en de Au
toriteit Persoonsgegevens - zwaar
onderbemand en met te weinig
budget - kan zich hooguit op de
zwaarste zaken richten. In veel ge
vallen moet een getroffen bedrijf
het dus met dringende adviezen
en enkele richtlijnen doen.
,,Bij ernstige datalekken moni-
tort de AP de situatie'', laat het
weten. ,,Zij controleert of de orga
nisatie waar het lek plaatsvond de
juiste stappen neemt, en stuurt
bij waar nodig. Bijvoorbeeld waar
het gaat om het informeren van
de getroffen mensen, en door de
organisatie te wijzen op de te ne
men beveiligingsmaatregelen."
In het verleden waren onder
andere de Universiteit Maastricht
en de Hogeschool van Arnhem en
Nijmegen doelwit van een hack.
De universiteit betaalde zelfs
bijna 200.000 euro aan bitcoins
om weer toegang te krijgen tot de
eigen systemen.
Volgens de bende Vice Society
staan alle gestolen data van ROC
Mondriaan nu online. Althans,
dat antwoordt iemand die na
mens de digitale inbrekers het
woord voert wanneer we vragen
mailen naar het e-mailadres dat
op het darkweb staat. Hebben ze
meer data? En hoe kwamen ze
binnen? 'We publiceren altijd alle
data die is gedownload. We zeggen
niets over hoe we toegang krijgen of
hoe we werken', zo luidt het ant
woord in vertaling.
Er gaan geruchten dat ROC
Mondriaan toch (een deel van de)
geëiste 4 miljoen euro losgeld
heeft betaald. Onzin, aldus de on
bekende mailer: 'Als je iemand
aantreft op onze website, dan bete
kent dit dat degene niet heeft be
taald.
lekten de criminelen overzichten
van alle ziekmeldingen vanaf
schooljaar 2009-2010. Een docent
kreeg een onderzoek aan z'n
broek naar mogelijke examen
fraude. De man zou volgens een
klagende leerling de examenuit
slag van tenminste twee andere
leerlingen onterecht hebben ver
hoogd.
ROC Mondriaan communi
ceerde vrij uitgebreid over het lek
Maar niet alle slachtoffers blijken
gewaarschuwd. Zo weet de 19-ja-
rige leerling én delinquent J. - van
wie de criminelen een heel gevoe
lig dossier stalen - volgens zijn
broer nog van niks. Het mobiele
nummer van zijn reclasserings-
ambtenaar is ook te vinden. Ook
hij is nog niet geïnformeerd.
Sanne van der Sluijs (22) uit
Delft liep vorig jaar stage op de
school. We kunnen haar bellen
omdat haar telefoonnummer op
een inschrijfformulier staat. En
we vinden de jackpot voor crimi
nelen: haar nog geldige paspoort
staat al weken online. Ook zij wist
nog van niets. ROC Mondriaan
had haar nog niet geïnformeerd.
Het paspoort van een voorma
lige freelance docente uit Delft zit
er eveneens tussen. Ze wil van
wege de relatie met de school
anoniem blijven. Vanaf het mo
ment dat de school haar op 5 ok
tober belde over het datalek - drie
weken nadat criminelen haar per
soonsgegevens openbaar maakten
- maakt ze zich zorgen. Want
welke informatie gaat nu rond
op het darkweb en wat moet
je er aan doen?
De vrouw hoorde tij
dens het telefoontje niet
precies welke data van
haar zijn uitgelekt. ,,En je
weet niet waar je op zo'n
moment naar moet vra
gen." Dat niet alleen een
afbeelding van haar pas
poort online staat, maar
ook een detacheringscon
tract met haar bankreke
ningnummer was dus
nog niet tot haar door
gedrongen. Ze is 'erg te
leurgesteld' dat het drie
weken duurde voor
dat ze een tele
foontje kreeg
van ROC
Mondriaan.
,,Ik had veel
eerder alles
kunnen blokkeren."
Geen precieze deadlines
Maar hoe snel moet je slachtoffers
inlichten? Een datalek moet bin
nen 72 uur worden gemeld aan de
Autoriteit Persoonsgegevens
(AP), dat is helder. Maar voor het
informeren van slachtoffers
schrijven de regels geen precieze
deadlines voor, zegt Jan-Jan
Lowijs, privacyexpert van De-
loitte. Het moet 'onverwijld', dus
zo snel mogelijk. Dat is de enige
instructie.
Deze krant had binnen
GO ZATERDAG 23 OKTOBER 2021
- J