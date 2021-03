Beeld Jakob Van Vliet

1. Wat is de schade?

Op de UvA en HvA is de schade beperkt, zegt woordvoerder Yasha Lange. “We hebben snel doorgehad dat ze probeerden ons systeem binnen te komen. Zo konden we voorkomen dat we gegijzeld werden.”

De hack bij Hogeschool InHolland lag al in een verder gevorderd stadium: gegevens van studenten en werknemers werden op een forum aangeboden. Iedereen is verzocht zijn wachtwoord te veranderen, zeker als dat wachtwoord ook voor andere accounts wordt gebruikt.

2. Waarom zijn onderwijsinstellingen het doelwit?

“Hackers focussen op instellingen die kwetsbaar zijn,” zegt Marianne Junger, hoogleraar cybersecurity aan de Universiteit Twente. “Zo zag je vorig jaar dat hackers ook ziekenhuizen hebben aangevallen, en dan specifiek de middelgrote, omdat de grote toch wel goed beschermd zijn en de kleine geen geld hebben.”

Michel van Eeten plaatst daar wel een kanttekening bij. Zo zegt de hoogleraar cybersecurity aan de Technische Universiteit Delft: “Het lijkt nu alsof enkel onderwijsinstellingen doelwit zijn, maar hackers speuren gewoon het hele internet af naar onbeveiligde databases. Ze kijken of ze interessante databases vinden.”

De universiteiten communiceren bovendien transparant over de hacks, zeggen beide hoogleraren. Junger: “De meeste organisaties vertellen niet dat ze zijn gehackt en ook niet of ze al dan niet betalen.”

3. Wat willen de hackers?

Junger: “De Universiteit Maastricht was zo vriendelijk om te zeggen: we gaan geld betalen aan de hackers om het onderzoek en onderwijs door te laten gaan.” Dat heeft ook het Staring College in Gelderland gedaan. “Dat maakt dat ransomware vermoedelijk een lucratieve business is.”

Ook kunnen gestolen gegevens gebruikt worden voor criminele handelingen zoals spoofen, identiteitsfraude. “Het komt voor, maar de meeste mensen zullen daarmee niet in aanraking komen,” zegt Van Eeten. “Ook bij gestolen creditcardgegevens wordt uiteindelijk maar een paar procent van die gegevens echt gebruikt.”

4. Wat kun je hier als student of medewerker tegen doen?

Eigenlijk niet zo veel, zegt Van Eeten: je moet erop vertrouwen dat je onderwijsinstelling adequaat beveiligd is. “Maar dat is complex, en een foutje is snel gemaakt.”

Bovendien helpt het wat betreft ict-veiligheid niet dat de academische wereld zo gebrand is op openheid, zegt Junger. “Onderzoekers zijn gericht op het delen van data, onze e-mailadressen staan altijd online, dus in die zin zijn we een makkelijke prooi. Probeer maar eens een e-mailadres van een politieman te vinden.”

Berichten van een universiteit of hogeschool kun je bovendien online vinden, waardoor je bij een phishing-aanval – zoals ook bij de UvA en HvA na de cyberaanval gebeurde – je makkelijk kunt uitgeven voor de onderwijsinstelling. Opletten geblazen dus.

5. Wat voor straf kan een hacker verwachten?

Jonge hackers die het voor de lol doen – ‘veredelde kwajongensstreken’, noemt Van Eeten het – kunnen naar de rehabilitatiecursus Hack_Right gestuurd worden. Daar leren ze onder begeleiding van politie en het Openbaar Ministerie hoe ze ethisch kunnen hacken.

Anders kom je in het strafrecht terecht. Op computervredebreuk staat een maximale straf van 2 jaar cel, of een boete van 21.750 euro. “Wat de rechter precies qua straf oplegt hangt af van de omvang van de schade, opzet, en of er sprake is van georganiseerde criminaliteit,” zegt Wouter Stol, lector cybersafety die ook bij de Amsterdamse politie heeft gewerkt.

Maar dan moet de politie de hackers überhaupt nog te pakken krijgen. Stol: “Dat is vaak ronduit lastig. Soms lijkt het alsof ze vanuit het buitenland opereren, of doen ze dat ook echt. Het is geen fluitje van een cent, maar gelukkig heeft de politie daar specialisten voor.”