‘What the hack!’, klinkt het opgewekt in de wandelgangen van ROC Mondriaan

Het computersysteem van ROC Mondriaan in Den Haag ligt al ruim een maand plat als gevolg van een grote ransomware-aanval. De mbo-instelling weigert resoluut het geëiste losgeld van 4 miljoen euro aan de hackers te betalen.

Leerlingen van School voor Horeca en Facilitaire dienstverlening in Den Haag: 'Hoe zorgen we ervoor dat het onderwijs gewoon door kan gaan?' Beeld Guus Dubbelman / de Volkskrant
Leerlingen van School voor Horeca en Facilitaire dienstverlening in Den Haag: 'Hoe zorgen we ervoor dat het onderwijs gewoon door kan gaan?'Beeld Guus Dubbelman / de Volkskrant

Bij de koksopleiding in Den Haag, onderdeel van ROC Mondriaan, hebben de digiborden plaatsgemaakt voor flipovers met grote rollen papier. Docenten en studenten bedienen zichzelf met schriften en pennen. En direct bij de ingang zijn twee medewerkers koortsig in de weer met het afstrepen van papieren lijsten met namen. De aanwezigheidsadministratie van de studenten, zo blijkt.

Met het afzweren van de digitale revolutie heeft dit alles niets te maken, wel met een grote hack die het computersysteem van ROC Mondriaan ruim een maand geleden plat legde.

Een week voor ingang van het nieuwe studiejaar drongen cybercriminelen de onderwijsinstelling binnen met zogeheten gijzelsoftware. Bij dergelijke ‘ransomware’-aanvallen (ransom betekent losgeld in het Engels), die in toenemende mate bij bedrijven en instellingen plaatsvinden, worden alle bestanden digitaal op slot gezet. Alleen de aanvaller heeft de sleutel in handen. Die zal hij na betaling verstrekken.

De hackers, vermoedelijk afkomstig uit Russische hoek, eisten 4 miljoen euro losgeld van ROC Mondriaan. Graag uitbetalen in bitcoin, aldus het verzoek, dat per mail aan het bestuur werd medegedeeld.

Nachtelijke aanval

Het was een oplettende netwerkbeheerder die rond half 3 ’s nachts voor het eerst opmerkte dat er iets mis was: zijn beeldscherm begon voor zijn ogen te dansen. Foute boel, wist hij. Nog diezelfde nacht lichtte hij zijn leidinggevende in. De volgende ochtend ging het nieuws als een lopend vuurtje rond en werd ook Brigitte Laukens, directeur van de School voor Horeca en Facilitaire dienstverlening, ingelicht. Haar eerste gedachte was: hoe zorgen we ervoor dat het onderwijs gewoon door kan gaan?

Aangezien de mail eruit lag, werd de crisisappgroep ingeschakeld als leidend communicatiemiddel. ‘En dat werkte eigenlijk hartstikke goed’, zegt ze opgewekt. De studenten konden die maandag gewoon naar school. Bij de ingang was een oldschool bord geplaatst, waar met stift de roosters waren uitgetekend.

‘Deze aanpak is tekenend voor het mbo-onderwijs’, zegt Laukens. ‘Is er een probleem? Dan gaan we niet eerst analyseren, maar oplossen.’ Wijzend naar haar bureau: ‘Ik heb tegenwoordig ook weer een papieren agenda!’

Met dank aan het door ROC Mondriaan ingeschakelde securitybedrijf NFIR, dat eerder het Hof van Twente bijstond na een ransom-aanval, hebben medewerkers en studenten inmiddels weer toegang tot hun mail. Maar daarmee zijn de gevolgen van de hack nog niet voorbij. In het gebouw waar de koksopleiding is gevestigd, zijn de sporen nog overal zichtbaar.

Zo zijn de lockers buiten gebruik, worden er in het aanpalende restaurant handgeschreven bonnetjes aan de gasten meegegeven en laten alle in onbruik geraakte computerschermen dezelfde achtergrond zien: een smetteloos strand met indrukwekkende rotspartij. ‘Soms zie je op de schermen opeens wat tekentjes voorbij komen’, zegt Laukens. ‘Dan weet je dat het securitybedrijf bezig is met herstelwerkzaamheden.’

Beveiliging niet op orde

ROC Mondriaan is niet de eerste onderwijsinstelling die te maken heeft met een ransomware-aanval. Eerder moest de Universiteit van Maastricht eraan geloven en onlangs drong een hacker ook de systemen van de Hogeschool van Arnhem en Nijmegen binnen. De Onderwijsinspectie concludeerde vorige maand dat veel onderwijsinstellingen hun beveiliging onvoldoende op orde hebben.

Dit was bij ROC Mondriaan niet het geval, onderstreept bestuursvoorzitter Hans Schutte. ‘Uit onderzoek blijkt dat we ‘gemiddeld’ tot ‘gemiddeld plus’ scoren op het gebied van onze beveiliging.’ Dat de onderwijsinstelling ten prooi is gevallen aan hackers, is volgens hem domme pech. ‘De hackers proberen bij tientallen bedrijven in de wereld binnen te dringen, iedere dag weer. Als je bedenkt dat zelfs het Pentagon en Microsoft gehackt kunnen worden, dan lukt het bij ons ook wel. Mogelijk hadden ze niet eens door dat ze bij een onderwijsinstelling binnen waren gedrongen.’ Niettemin wordt de ict-beveiliging nu flink opgeschroefd.

Na overleg met het ministerie van Onderwijs besloot het ROC Mondriaan de geëiste vier miljoen euro niet te betalen. Deze beslissing is niet door Den Haag opgelegd, zegt een woordvoerder van het ministerie. ‘Onderwijsinstellingen zijn autonoom en zelf verantwoordelijk. Het ministerie en onderwijsinstellingen hebben wel afgesproken dat het in principe onwenselijk is om losgeld te betalen, omdat er geen geld naar criminelen toe moet vloeien.’

De Universiteit van Maastricht maakte na een ransomware-aanval in 2019 de geëiste 30 bitcoin (wat toentertijd gelijk stond aan 197 duizend euro) wél over aan de hackers, uit angst dat het onderwijs maandenlang plat zou liggen en bestanden met onderzoeksresultaten verloren zouden gaan.

Wat dat betreft bevindt het ROC Mondriaan zich in een comfortabelere positie, zegt bestuursvoorzitter Schutte. ‘We hadden overal back-ups van gemaakt, dus we waren niets kwijt.’ Aan de hackers werd ‘een keurige mail’ teruggestuurd. ‘Daarin legden we uit dat we een een publieke organisatie zijn die jonge mensen een toekomst willen geven, en dat we worden gefinancierd met publiek geld.’

Veel indruk maakte dat niet: toen de deadline voor het betalen van het losgeld verstreek, zetten de hackers alsnog documenten van de school online. Om wat voor documenten het gaat, wordt door securitybedrijf NFIR nog onderzocht. Mogelijk gaat het om personeelsdossiers, gemelde klachten en financiële stukken. Meevaller: het staat op het dark web. ‘Waar geen normaal mens ooit komt’, zegt Schutte.

Gratis koffie

Of studenten geen jacht maken op de documenten? ‘Niet dat ik weet’, zegt Michell van Ooijen (18), een derdejaars student aan de koksopleiding met een brandende ambitie (‘ik wil later een eigen zaak openen, het liefst met een ster’). ‘Iedereen heeft van het dark web gehoord natuurlijk, maar de school heeft heel duidelijk via Instagram gemeld: probeer de bestanden niet binnen te halen, want het is gevaarlijk voor jou, omdat de documenten geïnfecteerd kunnen zijn met virussen.’

De studenten genieten intussen van de kleine geneugten die de hack oplevert: de koffiezetapparaten in het gebouw schenken gratis warme dranken sinds er niet meer met pasjes betaald kan worden. ‘Bij ons in de klas wordt opeens heel veel warme chocolademelk gedronken’, grinnikt Van Ooijen. ‘We kunnen er wel om lachen. What the hack!, is een veel gebruikte uitdrukking op school geworden.’

Voordat ROC Mondriaan weer helemaal in de lucht is en de digiborden weer van stal gehaald kunnen worden, zullen er naar verwachting nog enkele weken verstrijken. Of de hack voor een blijvende cultuurverandering zal zorgen? Schooldirecteur Brigitte Laukens hoopt op ‘minder mail’. ‘Wel zo rustig, hebben we ervaren.’ En de papieren agenda? Die houdt ze voorlopig ook.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden