Plus

Hacken van school is een koud kunstje

Scholieren breken met gemak in op het computersysteem van hun school. Of scholen raken gegevens kwijt. Waarom gaat het zo vaak mis en wat kan eraan worden gedaan?

Beeld Sophia den Breems

De handige leerling die thuis al veel op de computer zit, had een plan. Hij kocht met vrienden een keylogger en plaatste die heimelijk in een computer op school. De keylogger, die er in dit geval uitzag als een gewone usb-stick, hield al het typgedrag van de computergebruiker bij.

Zo konden de jongens makkelijk de wachtwoorden van alle gebruikers van het apparaat achterhalen. Maar het gouden ei was de inlogcode van een van de docenten voor het leerlingvolgsysteem Magister. Toen die code binnen was, moeten ze hebben gejuicht. Cijfers aanpassen was nu een fluitje van een cent.

Helaas voor de jongens, een paar vierdeklassers van het Hyperion Lyceum, kreeg de schoolleiding lucht van hun werk en werden ze geschorst. Een jongen is zelfs van school gestuurd.

Vraag een gemiddelde puber of hij of zij van een hack op school heeft gehoord en je zult meestal een bevestigend antwoord krijgen. Vol dedain spreken ze over de onhandigheid van docenten die hun inlogcode en wachtwoord invoeren terwijl de beamer aanstaat en de hele klas kan meekijken.

Ook een keylogger aanschaffen is een fluitje van een cent en zelfs een ddos-aanval, waardoor een heel schoolsysteem plat kan liggen, is voor 5 euro online aan te schaffen. Je hoeft er niet eens voor te kunnen hacken.

"We hebben meer dan eens geprobeerd toetsen van tevoren te bemachtigen," vertelt een Amsterdamse gymnasiast. "Het is mij nooit gelukt, maar het had makkelijk gekund, want leraren verspreiden de toetsen gewoon via de mail."

Computerveiligheid is geen randzaak
Dat is nou typisch een voorbeeld waarover iemand als Job Vos, privacy-expert bij Kennisnet, de publieke organisatie voor onderwijs en ICT, zich kan opwinden.

"Docenten boven de 50 zijn niet opgegroeid met computers. Je ziet dat sommigen daardoor onhandige dingen doen. Het klinkt kinderachtig: maar plak niet je wachtwoord op een geel briefje op je computer. Dat komt nog steeds voor."

De eenvoud waarmee op schoolsysteem is in te breken, ze te hacken, baart scholen en onderwijsorganisaties zorgen. Vos adviseert scholen daarom serieus werk te maken van computerveiligheid. Dat lijkt een randzaak, maar steeds meer schoolzaken worden digitaal geregeld. Van cijferadministratie en absentieregeling via Magister, tot het aanvragen van boeken of hele les­pakketten. Op een iPad-onlyschool gebeurt zelfs niets meer zonder gebruik van digitale middelen.

Als iets misgaat, heeft dat grote consequenties. Ter illustratie beschrijft Vos een school die precies voor het afnemen van de rekentoets te maken kreeg met een ddos-aanval, waardoor de toets moest worden uitgesteld.

Maar scholieren hebben het ook vaak gemunt op het leerlingvolgsysteem. Het aanpassen van cijfers is natuurlijk erg aantrekkelijk. Een 3,7 voor wiskunde? Een 7,3 is een stuk beter en zou zo maar eens kunnen doorgaan voor een tikfout. Te vaak gespijbeld? Van een week absentie maak je makkelijk een week 'aanwezig'.

Magister, dat op 75 procent van de middelbare scholen wordt gebruikt en is ontwikkeld door softwarebedrijf Iddink Groep, weet dat er wel eens gehackt wordt, maar benadrukt dat het meestal om gestolen wachtwoorden gaat, dus dat het niet ligt aan de veiligheid van hun systeem.

Scholen maken ook zelf fouten. Leerlinggegevens via een online document delen - waarbij het document niet met leraren maar met leerlingen werd gedeeld - bijvoorbeeld. De privé-­informatie kan zomaar in verkeerde handen komen.

Dat gebeurde op het Spinoza Lyceum vorige maand. In het document stonden details over honderden leerlingen. De school onderzoekt nu of ze dataverkeer tussen leerlingen en docenten kan scheiden, een advies dat Kennisnet al jaren geeft.

Digitale kattenkwaad
Maar het is niet alleen onhandigheid die scholen parten kan spelen. Het hacken is op zijn best jeugdige balorigheid en op zijn slechtst crimineel. "De meeste jongeren hacken zoals ze vroeger misschien een vuurtje in het fietsenhok zouden stoken. Digitaal kattenkwaad," zegt Vos.

Het kan echter ook kwaadaardiger worden. Scholieren kunnen persoonlijke mailaccounts van leraren binnendringen of examens stelen. Zulke zaken kunnen het slachtoffer flinke emotionele en financiële schade toebrengen.

Toch is het niet alleen de schuld van baldadige jongeren, scholen moeten zich ook beter wapenen. De Autoriteit Persoonsgegevens waarschuwt dat het niet gaat om de vraag of je wordt gehackt, maar wanneer je wordt gehackt. "Bereid je er dus op voor."

Beeld Laura van der Bijl

Een simpele tip: gebruik geen usb-sticks meer. Ze zijn virusgevoelig, onbetrouwbaar, makkelijk te hacken en zo kwijt te raken, zegt Kennisnet.

Het zijn zaken waar het onderwijs zich maar langzaam bewust van lijkt te worden. Niet zelden wordt geroepen dat de scholen al zo veel taken hebben dat niet verwacht mag worden dat , ze ook weten hoe je internetsystemen beveiligt.

Vos is het daar niet mee eens. "Het kost misschien een paar duizend euro, maar de kosten van een ddos-aanval op de dag van een examen zijn nog hoger. Stel dat een systeem van een schoolbestuur van dertig scholen wordt gehackt: dan zijn de kosten voor het inhalen van toetsen en lessen vele malen hoger dan een beter veiligheidssysteem."

Kies ervoor je beveiliging zelf goed te regelen, of besteed het uit, zegt Vos, want het is begrijpelijk dat niet elke school daar de kennis voor in huis heeft.

Educatieve aanpak
Het Hyperion Lyceum in Amsterdam schorste de vier hackende scholieren. Vervolgens veranderde men alle wachtwoorden en werd de maker van Magister gevraagd een extra beveiligingslaag toe te voegen. Ook scholen als het Barlaeus Gymnasium en de Spieringshoek in Schiedam namen stevige maatregelen nadat ze door scholieren waren gehackt. Het leverde de scholieren een schorsing op en er werd aangifte gedaan bij de politie.

Andere scholen pakken het educatiever aan. Zo heeft het Picasso College in Zoetermeer na een ddos-aanval een speciaal klasje opgericht van handige ICT-leerlingen. Zij krijgen extra lessen maar worden ook ingezet om leerlingen tips over ICT te geven.

Scholengemeenschap Helinium in Hellevoetssluis heeft een leerling zelfs officieel toestemming gegeven de school te blijven hacken om zo gaten in de beveiliging op te sporen.

Vos: "Scholen zijn ook plekken waar leerlingen kunnen leren van hun fouten. Beveilig je systeem goed, maar ga ook in gesprek met leerlingen, zij moeten ook leren hoe ze moeten omgaan met de privacy van medeleerlingen, en wachtwoorden. Maak ze digitaal vaardige burgers."

Aantal meldingen groeit gestaag

Sinds 2016 zijn scholen wettelijk verplicht datalekken te melden bij de Autoriteit Persoonsgegevens (AP). Niet alles hoeft echter gemeld te worden en niet elke school brengt de hacks naar buiten. En er zijn natuurlijk ook scholen die er niet van op de hoogte zijn dat hun systeem is gehackt.

Bij de AP groeit het aantal meldingen van datalekken en privacyschendingen gestaag. In het onderwijs ging het om 220 meldingen in 2016, en 157 in het eerste half jaar van 2017.

Die meldingen gaan over hacks zoals bij het Spinoza Lyceum, maar kunnen ook gaan over hacks of inbraken door gestolen wachtwoorden door scholieren. Want een datalek is volgens de AP ook 'toegang tot of vernietiging, wijzi­ging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.'

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden