Digitaal Veilig Onderwijs
Binnen het onderwijs is digitalisering niet meer weg te denken. Het biedt prachtige kansen, zoals meer flexibiliteit en maatwerk. Digitalisering betekent ook dat gevoelige informatie en gegevens digitaal worden verwerkt....
Eén klik met grote gevolgen
Een cyberincident lijkt misschien een ver-van-mijn-bed-show. Want hoe groot is nu de kans dat je daadwerkelijk wordt gehackt? De Willem van Oranje Onderwijsgroep overkwam het. In maart 2025 werden via phishing twee keer accounts van medewerkers overgenomen. André Poot vertelt wat er vervolgens gebeurde.
“Vijf collega’s kregen in de voorjaarsvakantie een phishingmail van een gehackt account”, vertelt André Poot, Strategisch Adviseur en teamleider Onderwijs en Innovatie bij de Willem van Oranje Onderwijsgroep in Gorinchem. Hij is ook Privacy Officer en - inmiddels - crisismanager bij cyberincidenten. “In die mail stond ‘er staat een bestand voor je klaar’ en een Office 365-link. Twee van onze collega’s hebben op die link geklikt. Toen ze vervolgens inlogden via two factor authentication met hun telefoon kreeg de hacker controle over hun account.”
In totaal is de hacker de eerste keer iets meer dan een uur binnen geweest. Toen greep het ICT-systeem van de organisatie zelf in. “Omdat de hacker niets deed nadat hij was binnengekomen, schakelde de beveiligingssoftware de overgenomen accounts pas na een uur uit. Toen de twee collega’s hier na de voorjaarsvakantie melding van maakten, dacht de ICT-afdeling dat er ergens een fout was gemaakt. De accounts werden gewoon weer aangezet.”
450 mailadressen buitgemaakt
Maar toen kwam aanval twee. “In een andere organisatie waar wij mee samenwerken, trapte ook iemand in een phishingmail. Dat account verstuurde op zijn beurt weer nieuwe phishingmails. Twintig van onze medewerkers kregen die, en vijf collega’s klikten op een link in die mail.” Hoewel het systeem nu snel ingreep, heeft de hacker binnen zeven minuten 450 mailadressen buitgemaakt, veelal van externen.
Ook dit hadden André en collega’s in eerste instantie niet door. “We werkten aan de doorontwikkeling van onze identity-manager en dat veroorzaakte geregeld fouten. Dus zelfs toen de vijf collega’s bij de ICT-afdeling meldden dat hun laptop ‘raar’ deed, vermoedden we niets. Pas toen we van de organisatie van waaruit de phishingmails deze keer waren verstuurd, een waarschuwing kregen dat zij waren gehackt, kwamen we erachter dat dat ook bij ons was gebeurd.”
Alarmbellen
Alle alarmbellen gingen af. Mede omdat André in het verleden heeft gewerkt voor het Netwerk IBP en omdat hij recent een training had gevolgd over cyberincidenten, realiseerde hij zich wat de impact van een hack zou kunnen zijn. “Gelukkig hadden we net met een externe partij een incident-retainercontract gesloten. Dat betekent dat ze je meteen helpen als je gehackt wordt. Ik heb direct gebeld.” Hun advies was: reset alle accounts, want je weet niet of de hacker nog binnen is. “Dat betekende nogal wat, want het was kwart over een op een maandagmiddag. Al onze scholen waren volop in bedrijf.”
“Ik ben samen met de manager ICT meteen naar het college van bestuur gestapt. Er werd besloten dat eerst alle directeuren geïnformeerd zouden worden dat alle accounts van medewerkers binnen een half uur gereset zouden worden. ’s Avonds zou hetzelfde gebeuren met de accounts van de leerlingen. Iedereen moest dus opnieuw inloggen, met een nieuw wachtwoord. Dat had grote impact.”
Razendsnel schakelen
Op de dag dat dit gebeurde, had de Willem van Oranje Onderwijsgroep nog geen crisismanagementteam. André nam de rol van crisismanager op zich. Het ad-hoc-crisismanagementteam bestond verder uit de twee bestuurders, de manager ICT, de directeur van het bureau en een schooldirecteur die bij toeval op het bestuursbureau was die middag.
Samen waren ze tot zeven uur ’s avonds op school en schakelden ze razendsnel: “De externe partij die ons bijstond vertelde onze ICT-afdeling op afstand wat ze precies moesten onderzoeken.” De ICT-afdeling begeleidde ondertussen medewerkers die niet wisten hoe ze een nieuw wachtwoord moesten instellen. “Dat waren er best veel. Om daarover informatie te geven, hebben we zelfs de informatieschermen op de scholen ‘gekaapt’.” De directeur van het bureau en de schooldirecteur die er toevallig was, bogen zich over de communicatie naar ouders en leerlingen. Verder sprak het crisismanagementteam af dat alleen het hoofd communicatie en André de woordvoering richting de pers zouden doen. André belde ook meteen het School-CERT, dat vanaf dat moment actief meedacht over de te nemen stappen en de Willem van Oranje Onderwijsgroep adviseerde.
We realiseerden ons inmiddels dat we niet konden overzien hoe groot de hack was.
Datalek
De volgende ochtend vroeg kwam het crisismanagementteam meteen weer bij elkaar. “We realiseerden ons inmiddels dat we niet konden overzien hoe groot de hack was. En we zagen ook dat de hackers nog steeds aanvallen uitvoerden op de gehackte accounts. Dat maakte ons nerveus. Samen hebben we besloten dat we toch graag fysiek ondersteuning van die externe partij die ons bijstond, wilden hebben. Zij zijn toen meteen hier naartoe gekomen en onderzoek gaan doen samen met onze ICT-afdeling. ”Het crisismanagementteam werkte tegelijkertijd continu aan de communicatie richting de directeuren en alle andere medewerkers.
Pas woensdagochtend, twee dagen na het ontdekken van de hack, kon André het sein ‘veilig’ geven en ging de organisatie uit crisismodus. Toen was duidelijk dat bijna alles in orde was, behalve het datalek van 450 mailadressen uit een van de gehackte mailboxen. In overleg met de eigenaar van de getroffen mailbox heeft André alle mails bekeken en alle betrokkenen geïnformeerd, net als de Autoriteit Persoonsgegevens. “Daar ben ik nog anderhalve week mee bezig geweest.”
Geleerde lessen
Gedurende de hele crisis gebruikten André en zijn collega’s de zgn. BOB-methodiek voor crisisbeheersing: “Dat staat voor Beeldvorming, Oordeelsvorming en Besluitvorming. Het volgen van die methodiek gaf duidelijkheid, want er komt ongelooflijk veel informatie op je af die je steeds moet wegen. Verder spraken we zoveel mogelijk vaste tijden af met het hele crisismanagementteam. We stuurden elkaar dus niet de hele tijd appjes, maar spaarden vragen op tot we allemaal samen waren.”
De gevolgen van de hack hadden veel groter kunnen zijn, realiseert André zich: “Omdat medewerkers bij ons niets mogen installeren op hun laptop, kon de hacker geen ransomware plaatsen. Dat heeft ons echt gered, net als de betaalde E5-licentie van Microsoft 365, omdat daar een uitgebreide versie van Defender zit die snel accounts afsloot. Ook ons retainercontract voor digitale incidenten heeft enorm geholpen.” De verstoring van het onderwijs viel uiteindelijk mee. “Toen wij alle accounts resetten konden docenten niet bij hun materiaal, maar daar is maar een half uur lestijd mee verloren gegaan. En de dagen erna zijn nog enkele toetsen uitgesteld.”
Wake-up call
De dagen na de hack heeft André nazorg verleend aan een van de medewerkers die op de phishinglink had geklikt. “Zij voelde zich schuldig, omdat die ene muisklik zulke grote gevolgen had gehad. En ook de ICT’er die de hack in eerste instantie niet had herkend, had behoefte aan een goed gesprek. ”Het geheel ging André zelf ook niet in zijn koude kleren zitten. “Het bestuur gaf mij en de ICT-manager na afloop het compliment dat we zo rustig waren gebleven. Dat klopt ook, maar eerlijk gezegd greep het me ’s avonds thuis best aan.”
De hack was een wake-up call voor iedereen, vertelt André: “Niet alleen weten we nu hoe belangrijk goede beveiliging is, maar ook dat de kosten van een hack enorm kunnen zijn. We hebben hier met zijn allen zoveel tijd en energie aan besteed, dat loopt echt in de tienduizenden euro’s. ”Voorzorgsmaatregelen zijn dan ook getroffen, ook om bij een volgende hack nog beter voorbereid te zijn: “Dat zijn grote én kleine dingen. Natuurlijk zorgen we ervoor dat we op ICT-gebied de beveiliging zo goed mogelijk op orde hebben. Maar we weten nu ook dat je, als alle accounts gereset worden, geen mensen meer kunt bellen met je zakelijke telefoon. Belangrijke nummers heb ik daarom nu in mijn privételefoon. En we hebben een papieren lijst met telefoonnummers in een kluis gelegd.”
Eerste hulp bij cybercrises - Gratis ondersteuning voor schoolbesturen
Weet jij wat je moet doen als jouw school of bestuur wordt getroffen door ransomware, een phishingaanval, datalek of een andere cybercrisis? Vanaf 15 oktober kun je in zo’n geval…
Nu beschikbaar: belangrijke tool voor zelfevaluatie van Normenkader IBP
Het ministerie van OCW verwacht van schoolbesturen dat zij vanaf 2026 inzicht hebben in de digitale veiligheid van hun schoolomgeving. Daarom roepen OCW, Kennisnet, SIVON, de PO-Raad en VO-raad schoolbesturen…
