Rapport met succesfactoren, aandachtspunten en vervolgstappen

Het COT stelt dat het overkoepelend beeld is dat de crisisorganisatie veel zaken goed heeft opgepakt, in respons op deze crisis. Het COT ziet op enkele punten mogelijkheden om de respons te versterken, met het oog op toekomstige crises. Maak gebruik van het moment om informatiebeveiliging en omgang met persoonsgegevens verder te verbeteren, stelt het COT in het evaluatierapport.

In september 2021 wordt de HAN aan het einde van de dag getroffen door een datalek. Een dreigmail op 1 september 2021 aan de voorzitter van het College van Bestuur markeert de start van dit incident, waarbij een hacker claimt data te hebben gestolen en bovendien losgeld eist. Als na een eerste analyse blijkt dat de claim serieus lijkt, wordt nog diezelfde avond een crisismanagementteam (CMT) ingesteld en worden relevante stakeholders, zoals de Autoriteit Persoonsgegevens en de politie, geïnformeerd. Met hulp van in- en externe experts wordt het lek op 4 september 2021 gedicht.

Nadere analyse leert dat de hacker zich toegang heeft verschaft tot 1 server van de HAN waarop een grote hoeveelheid aan data is opgeslagen. Zo worden er op deze server ruim 530.000 unieke mailadressen aangetroffen. Of de hacker daadwerkelijk alle op de server beschikbare data in handen heeft, is niet bekend. De HAN besluit desondanks om iedereen van wie mogelijk gegevens zijn buitgemaakt, te informeren. Gezien de uiteenlopende aard van de (persoons)gegevens die zijn opgeslagen, vraagt dat in de voorbereiding veel tijd en zorgvuldigheid.

Halverwege oktober is iedereen die mogelijk getroffen is door het datalek persoonlijk via een (mail)bericht geïnformeerd. Daarbij is steeds, afhankelijk van het type persoonsgegevens, aangegeven welke acties iemand kon ondernemen om misbruik van de mogelijk gelekte data zoveel mogelijk te beperken. Denk bijvoorbeeld aan het aanpassen van een wachtwoord. 

De HAN heeft gedurende de periode van het datalek haar crisisorganisatie, inclusief crisismanagementteam, operationeel gehad. Op het moment dat de crisis zich in de afrondende fase bevond heeft het College van Bestuur van de HAN besloten om de crisisorganisatie te evalueren. Het onafhankelijk bureau COT heeft deze evaluatie uitgevoerd.  

Succesfactoren 

In haar bevindingen stelt het COT dat het overkoepelend beeld is dat de crisisorganisatie veel zaken goed heeft opgepakt, in respons op deze crisis. Als succesfactoren worden onder andere genoemd: 

• de snelle opschaling van het CMT;  
• de goed werkende en geoefende crisisstructuur met een centraal CMT en enkele gespecialiseerde ondersteunende teams;  
• duidelijk opgestelde uitgangspunten: ‘niet betalen’ en ‘transparant communiceren’;  
• de inzet van 1 extern informatiekanaal: han.nl/datalek, waarmee duidelijk was waar informatie beschikbaar was.  

Aandachtspunten 

Het COT ziet op enkele punten mogelijkheden om de respons te versterken, met het oog op toekomstige crises. Enkele punten die worden benoemd, zijn:  

• het volwassenheidsniveau van de HAN met betrekking tot privacy/AVG verdient aandacht;  
• de afstemming van de informatiebehoefte van het CMT versus de uitvoeringstijd en de informatiebehoefte van de ondersteunende teams;  
• in het verlengde van het vorige punt kan ook de terugkoppeling van besluiten en ratio hierachter van het CMT naar andere ondersteunende teams scherper; 
• het zicht van een aantal betrokkenen op de hele crisisstructuur en de verdeling van taken tussen teams. Welke overleggen zijn er? Waar liggen de mandaten? 

Yvonne de Haan, vicevoorzitter van het College van Bestuur van de HAN en voorzitter van het CMT tijdens de crisis kan zich uitstekend vinden in de evaluatie. “Deze evaluatie laat zien dat onze crisisorganisatie inmiddels de nodige ervaring heeft opgedaan. Onze ervaringen tijdens de coronacrisis in combinatie met het regelmatig oefenen werpt zijn vruchten af. Met name de door SURF georganiseerde OZON-oefening in maart 2021 waarbij cyberveiligheid aan bod kwam, heeft ons veel geleerd.” 

“De aandachtspunten die het COT noemt voor de crisisaanpak en crisisstructuur hebben we ter harte genomen. Een groot compliment en woord van dank gaat uit naar alle medewerkers van de HAN en externe experts die ons tijdens het datalek-incident hebben bijgestaan. Tegelijk heeft het datalek nogmaals aangetoond dat de thema’s cyberveiligheid en privacy prioriteit verdienen binnen de bedrijfsvoering van onze hogeschool. We zijn daarom extra gemotiveerd om voort te gaan op de ingeslagen weg waarin we al de nodige stappen hebben gezet.”

Een belangrijke aanbeveling die het COT doet, is om dit ‘momentum’ te benutten om de kennis en kunde van medewerkers en studenten verder te verhogen. Hieraan wordt reeds invulling gegeven via het project ‘Versterken informatiebeveiliging en privacy’ dat al voor het datalek in voorbereiding was. Met dit project wordt in een versneld tempo, met meer capaciteit en investeringen, gewerkt aan: 

• het verhogen van het bewustzijn bij medewerkers en studenten; 
• de verdere versterking van preventieve, detectieve en responsieve maatregelen; 
• het verbeteren van de omgang met persoonsgegevens.  

Op deze manier wordt binnen de HAN invulling gegeven aan de groei in volwassenheid op het gebied van informatiebeveiliging en privacy. Een ontwikkeling die in de gehele onderwijssector aan de orde is en waarin, ook in SURF-verband, nauw wordt samengewerkt.