image

Gegevens groot aantal leerlingen mogelijk gestolen bij hack

zaterdag 16 juli 2016, 07:36 door Redactie, 18 reacties

De gegevens van veel leerlingen in het Voortgezet Onderwijs en het Middelbaar Beroepsonderwijs zijn mogelijk gestolen bij een hack van het centrale registratiesysteem Edu-IX, zo heeft de VO-raad bekendgemaakt. Het systeem fungeert als schoolportaal dat leerlingen in Nederland toegang biedt tot digitaal lesmateriaal in opdracht van leveranciers van digitale leermiddelen, zoals Iddink en Van Dijk.

Bij de hack zijn mogelijk naam, adres, woonplaats, geboortedatum, e-mailadres en het versleutelde wachtwoord van accounts buitgemaakt. Hoe de aanvaller het systeem wist binnen te komen is nog niet bekendgemaakt. Volgens de Stichting Eduroute, de organisatie achter het registratiesysteem, was er sprake van een gerichte aanval en is het lek inmiddels gedicht. Ook is het incident bij de Autoriteit Persoonsgegevens gemeld en worden alle betrokkenen ingelicht.

"Op de korte termijn is de belangrijkste consequentie dat leerlingen om te kunnen inloggen een nieuw wachtwoord moeten aanmaken", aldus de VO-raad. Dit geldt ook voor de contactpersonen op de scholen, die bij het inloggen gevraagd wordt een nieuw wachtwoord in te stellen. Daarnaast adviseren de leveranciers gebruikers, als zij ergens anders ook hetzelfde wachtwoord gebruiken, dit ook te wijzingen.

Reacties (18)
16-07-2016, 11:23 door Anoniem
Had Eduroute voor de hack ooit een beveiligingsonderzoek naar het centraal registratiesysteem Edu-IX laten doen?
Als dat wel zo is, hoe kan het dan dat er kennelijk een simpel lek in bleek te zitten met grote gevolgen? Het misbruik van het lek is immers op dezelfde dag opgemerkt en al gefixed.
Als dat niet zo is, waarom niet en hoe is het dan mogelijk dat meerdere leveranciers toch gebruik maken van dat portaal en heel veel scholen er gebruik van maken om de persoonsgegevens van leerlingen in te verwerken?

Op de website van de VO-raad staan recente berichten dat alle partijen nu pas bezich waren met het opstellen van een privacyconventant. In die berichten staat dat is overeengekomen dat de scholen de eigenaren van de data zijn. Wat er niet in staat is om wie het gaat en hoe deze personen er bij zijn betrokken: honderdduizend personen genaamd leerlingen en studenten.

De persoonsgegevens zijn niet in eigendom van de scholen, hoe leuk een VO-raad dat ook samen weet te bekokstoven met de organisaties met geld. Ieder persoonsgegeven is in eigendom van ieder persoon. Die persoon kan dan wellicht minderjarig zijn, maar dat maakt een onderwijsinstelling nog niet de eigenaar of bevoegd gezag om te bepalen wat ze met die gegevens doen. En uit niets blijkt dat de onderwijsinstellingen, de leveranciers, EduRoute of de VO-raad maar iets hebben gedaan om zeker te zijn dat de gegevens veilig verwerkt worden. Wat wel blijkt dat al deze organisaties heel goed zijn in het heel lang doen om te bedenken dat de personen door wie ze werk hebben rechten hebben waaronder het recht op privacy. En als reactie daarop zijn ze als een stel juristen stukjes tekst met mooie woorden op gaan stellen waar de leerlingen en studenten in de praktijk niets aan blijken te hebben.

Mogelijk dat de VO-raad, euduroute, de leverancier en de onderwijsinstellingen er heel anders over hun handelen met andermans gegevens denken. Het diep trieste feit is dat de personen van wie de persoonsgegevens nu waarschijnlijk gestolen zijn er helemaal niets meer aan kunnen doen en met de gevolgen zitten en het de hele groep die het systeem bedacht en in gebruikgenomen hebben er verder geen last van hebben.

Ik hoop dat de AP hier een voorbeeld gaat stellen door te kijken wat voor eisen de scholen aan de leveranciers hebben gesteld voordat ze de persoonsgegevens van hun opdrachtgevers hierin gingen verwerken en wat de bedrijven en stichtingen hebben gedaan om te voorkomen dat dit soort lekken in de verwerking konden zitten. En dan het liefst met de bril in het belang van de leerlingen en niet die van het onderwijs bedrijven of stichtingen die met flinke subsidie en winsten zaken doen over de rug van de slachtoffers. Het recht op privacy ligt veel te veel in handen van personen die er weinig of geen belang in zien om dat in de praktijk te behartigen. Onderwijsinstellingen waren een van de eerste in Nederland die persoonsgegevens digitaal zijn gaan verwerken. In 2015/2016 eens een convenant over privacy gaan opstellen is 30 jaar te laat, toont aanhoudend gebrek aan en respect richting de privacy leerlingen en toont gebrek aan bekwaamheid om practisch de privacy te beschermen. Het verschuilen achter onderhandelen en stukjes papier is niet in het voordeel van de personen om wie het gaat.
16-07-2016, 12:19 door Anoniem
Ja, het is weer super geregeld. Je moet verplicht al je gegevens afstaan aan dergelijke sites, want vrije marktwerking is er niet voor schoolboeken maar er moet wel door partijen aan verdiend worden. Gedwongen winkelnering met een winstopslag. En zorgvuldig op de gegevens letten ho maar.

Gezien het een commerciele partij betreft, zou ik een boete wel eens op zijn plaats gaan vinden.
Het nut van informatiebeveiliging en de wet WBP zijn toch allebei niet bepaald nieuw.
16-07-2016, 12:21 door Anoniem
En BSNs neem ik aan?
16-07-2016, 12:28 door karma4
Het moest zo goedkoop mogelijk. Bij de scholen is er onvoldoende kennis en wordt de verantwoordelijkheid niet genomen. Veel gemakkelijker om het zonder degelijk na te gaan te outsourcen en in de cloud te gooien.

Het zijn de scholen die leerlingen inschrijven en beoordelen zij stellen de onderwijzers daarvoor aan. Die gegevens is een verantwoordelijkheid voor de scholen niet voor een door hun ingeschakelde dienstverlener. Studenten Leerlingen die cijfers gaan aanpassen omdat het hun gegevens zouden zijn. Dat is echt fout, het gaat over ze maar daarmee zijn er nog eigenaar van.
16-07-2016, 12:34 door Anoniem
Door karma4: Het moest zo goedkoop mogelijk. Bij de scholen is er onvoldoende kennis en wordt de verantwoordelijkheid niet genomen. Veel gemakkelijker om het zonder degelijk na te gaan te outsourcen en in de cloud te gooien.

Het zijn de scholen die leerlingen inschrijven en beoordelen zij stellen de onderwijzers daarvoor aan. Die gegevens is een verantwoordelijkheid voor de scholen niet voor een door hun ingeschakelde dienstverlener. Studenten Leerlingen die cijfers gaan aanpassen omdat het hun gegevens zouden zijn. Dat is echt fout, het gaat over ze maar daarmee zijn er nog eigenaar van.
Nou, nou nou....met wat voor een stelligheid kom jij hier iets beweren zeg!
Wees wat voorzichtiger in je oordelen zou ik zeggen!
16-07-2016, 19:01 door karma4 - Bijgewerkt: 17-07-2016, 16:01
Door Anoniem: 13:34
Nou, nou nou....met wat voor een stelligheid kom jij hier iets beweren zeg!
Wees wat voorzichtiger in je oordelen zou ik zeggen!
Ik oordeel niet, ik kijk alleen maar naar beschikbare informatie.
http://blog.iusmentis.com/2013/03/11/mag-een-school-zijn-informatiesystemen-wel-uitbesteden/
http://www.kohnstamminstituut.uva.nl/rapporten/pdf/ki849.pdf
http://downloads.kennisnet.nl/algemeen/ictopschoolkoopwijzer5.pdf
https://www.kennisnet.nl/artikel/leerlingvolgsysteem-in-de-cloud-deze-afspraken-moet-je-maken/
http://www.schoolfacilities.nl/ict/hardware/2660-jan-meere-wij-hebben-de-ict-infrastructuur-uitbesteed-aan-een-professionele-dienstverlener
https://www.computable.nl/artikel/opinie/virtualisatie/4814238/1509029/outsourcing-binnen-het-onderwijs.html

De waarheid uit die informatie komt niet iedereen uit. Ongewenst met de eigen visies en ideeën begint met het met het vingertje wijzen het kan gaan tot en met onethisch wegwerken. Je moet de situatie rond klokkenluiders vast wel kennen.
16-07-2016, 21:52 door Anoniem
Ben wel nieuwsgierig wat er nou precies gebeurd is. Wat is er gehackt en hoe en hoe zijn ze daarachter gekomen en wat gaan ze eraan doen dat het niet weer gebeurt?
17-07-2016, 11:53 door Anoniem
Door karma4: Het moest zo goedkoop mogelijk. Bij de scholen is er onvoldoende kennis en wordt de verantwoordelijkheid niet genomen. Veel gemakkelijker om het zonder degelijk na te gaan

Veronderstellingen als waarheden poneren staat wel heel stoer maar tellen uiteindelijk niet aan dek, wel aan de wal.
17-07-2016, 13:08 door Anoniem
Door Anoniem:
Door karma4: Het moest zo goedkoop mogelijk. Bij de scholen is er onvoldoende kennis en wordt de verantwoordelijkheid niet genomen. Veel gemakkelijker om het zonder degelijk na te gaan te outsourcen en in de cloud te gooien.

Het zijn de scholen die leerlingen inschrijven en beoordelen zij stellen de onderwijzers daarvoor aan. Die gegevens is een verantwoordelijkheid voor de scholen niet voor een door hun ingeschakelde dienstverlener. Studenten Leerlingen die cijfers gaan aanpassen omdat het hun gegevens zouden zijn. Dat is echt fout, het gaat over ze maar daarmee zijn er nog eigenaar van.
Nou, nou nou....met wat voor een stelligheid kom jij hier iets beweren zeg!
Wees wat voorzichtiger in je oordelen zou ik zeggen!

Helaas kan ik dit onderstrepen. Zowel uit persoonlijke ervaring als vader en als ICter. Scholen snappen over het algemeen helemaal niks van privacy en wetgeving. Een standaard mail bevat alle ouder in de TO of CC veld. Als je een docent er op wijst dat je dit niet op prijs stelt vinden ze je een zeur kees. Dit is het topje van de ijsberg. Informatie wordt zonder blikken of blozen tussen scholen onderling en de GGD gedeeld. Als oude moet je hier proactief mee aan de slag.

Nu zal het niet op elke school zo zijn, maar er is nog een hoop voorlichting nodig.
17-07-2016, 20:15 door Ron625 - Bijgewerkt: 17-07-2016, 20:16
Een hoop scholen werken met Magister en dan de oude versie, waarbij Silverlight nodig is.
Deze versie is afgekeurd, omdat het met openstandaarden moet werken.
Overgaan naar de oude versie, die wel werkte zonder Silverlight is te moeilijk en investeren in een wel goedgekeurd systeem lukt ze ook vaak niet.
Dit geeft alleen maar aan, dat onderwijs-instellingen zich niets aantrekken van (wettelijke) ICT regels.

Met één onderwijs-instelling heb ik al eens een meningsverschil gehad, omdat ze eisten dat een werkstuk in Word gemaakt werd en als DOC, of DOCx file, werd aangeleverd.
Hier heb ik toen gezorgd, dat er een ODT file werd ingeleverd, dat is tenslotte de wettelijke standaard voor documenten, naast PDF.
Na mijn uitleg bleek dat e.e.a. ook bij de ICT afdeling van de school onbekend was.
18-07-2016, 07:52 door Anoniem
Dit heb ik van verre zien aankomen. Dit is inderdaad het topje van de ijsberg. Er is hier veel meer mis. Om hier een serieuze security onderzoeker op te zetten zou geen overbodige luxe zijn...
18-07-2016, 09:47 door Angel Ruyter
Door Ron625:
Met één onderwijs-instelling heb ik al eens een meningsverschil gehad, omdat ze eisten dat een werkstuk in Word gemaakt werd en als DOC, of DOCx file, werd aangeleverd.
Hier heb ik toen gezorgd, dat er een ODT file werd ingeleverd, dat is tenslotte de wettelijke standaard voor documenten, naast PDF.
Na mijn uitleg bleek dat e.e.a. ook bij de ICT afdeling van de school onbekend was.

Beste Ron, ik ben zeer geinteresseerd in de wettelijke standaarden voor documenten. Dat ze bestaan is nieuw voor mij, dus ik hoor graag waar ik ze vinden kan. En wat het bezwaar is van inleveren van .doc files? Of .xls, want dat zal vergelijkbaar zijn.
18-07-2016, 10:09 door Angel Ruyter
Door karma4:
Door Anoniem: 13:34
Nou, nou nou....met wat voor een stelligheid kom jij hier iets beweren zeg!
Wees wat voorzichtiger in je oordelen zou ik zeggen!
Ik oordeel niet, ik kijk alleen maar naar beschikbare informatie.
http://blog.iusmentis.com/2013/03/11/mag-een-school-zijn-informatiesystemen-wel-uitbesteden/
http://www.kohnstamminstituut.uva.nl/rapporten/pdf/ki849.pdf
http://downloads.kennisnet.nl/algemeen/ictopschoolkoopwijzer5.pdf
https://www.kennisnet.nl/artikel/leerlingvolgsysteem-in-de-cloud-deze-afspraken-moet-je-maken/
http://www.schoolfacilities.nl/ict/hardware/2660-jan-meere-wij-hebben-de-ict-infrastructuur-uitbesteed-aan-een-professionele-dienstverlener
https://www.computable.nl/artikel/opinie/virtualisatie/4814238/1509029/outsourcing-binnen-het-onderwijs.html

De waarheid uit die informatie komt niet iedereen uit. Ongewenst met de eigen visies en ideeën begint met het met het vingertje wijzen het kan gaan tot en met onethisch wegwerken. Je moet de situatie rond klokkenluiders vast wel kennen.

Wat me opvalt is dat je links hebt naar informatie uit 2013, en zelfs uit 2007. De mogelijkheden en wetten veranderen in een snel tempo. Vanaf 2018 is wetgeving vanuit de EU aan de orde. Minder harde eisen, maar compliance en accountability. Bedrijven en scholen moeten aantonen dat ze genoeg gedaan hebben om de privacy te waarborgen. De VO-raad is daarvan doordrongen, maar het is nog niet duidelijk wat er nodig is. Wat precies "genoeg" is, wordt niet ge-expliciteerd.
In het algemeen wordt er integer gewerkt, maar er werken zoveel mensen in het onderwijs. Een aantal van hen zal ongetwijfeld af en toe fouten maken. Maar applicatie- en systeembeheerders zijn zich zeer bewust van hun verantwoordelijkheden in deze, is mijn ervaring. Docenten en onderwijzers zijn soms naiever.
We gaan een tijd tegemoet waarin veel kan, en waarin ook veel mis kan gaan. Hebben jullie kinderen al porno via de Pokemon app? Laten we vooral hopen dat de gegevens van onze leerlingen niet interessant genoeg zijn om veel geld voor hacken in te steken. En laten we zaken die er voor ons onderwijs en de begeleiding van onze leerlingen niet toe doen niet registreren.
18-07-2016, 19:55 door karma4
Door Angel Ruyter:
Wat me opvalt is dat je links hebt naar informatie uit 2013, en zelfs uit 2007
...
En laten we zaken die er voor ons onderwijs en de begeleiding van onze leerlingen niet toe doen niet registreren.
Angel, Ik wou dat ik ze nog van veel oudere tijden had gevonden. Sommige zaken veranderen niet zo snel, juist in het onderwijs zou men zich daar bewust van moeten zijn. Phytagoras (oppervlkate driehoek) Archimedes Plato Socrates dan praat je over duizenden jaren van wetenswaardigheden die in hun context op zullen blijven gaan. Met Newton Copernicus Watt Bacon Descartes heb je een andere erfenis met waar onze nieuwe tijd nog steeds mee verder gaat.

Iedere generatie leert en bouwt voort met wat daarvoor goed is neergezet tijdens het leerproces zal men vaak de oude fouten gaan herhalen, niets is zo leerzaam om het zelf fout te doen en dan te kijken hoe dat goed gedaan worden.
Nieuwe tijd met data-governance? Ik zie het al tientallen jaren langs komen, het lijkt wel of we gewoon stilstaan.

De kostprijs is anders geworden, waar vroeger de (ook nog duur betaalde) manuren wegvielen tegen de kosten van machines is dat nu geheel anders. Het is makkelijker je ICT zaken te veroorloven de vroeger ondenkbaar waren. De algemene basis kennis waar je op moet letten en aan moet denken heeft men nooit tijdens een opleiding geleerd. Dat is fnuikend voor de huidige beslissers. De WBP is een begin met strictere regels, RACI. Met BIA en CIA zijn oude klassiekers welke er aan hangen voordat je techniek induikt.

Ik ben geen tegenstander van outsourcing, echter je kan het op vele manieren doen. Het is nu heel veel supplier gericht (de marktpartijen bepalen) je zou ook veel meer demand (door VO raad) kunnen denken.

Die laatste opmerking van je is een sterke niets opslaan wat niet echt nodig is.
Je kunt je ook afvragen waarom alles op externe machines moet staan. Met de grote scholengemeenschappen is vast wel ergens ruimte voor een goed fysiek afgeschermde computerruimte. Dan kun je daar machines beheerd door externe partijen (gecontroleerde niet vrije toegang) laten draaien met een externe backup / DR. Niet nodig voor bestellijsten maar voor educatief materiaal met toetsen/resultaten een mogelijke overweging.
18-07-2016, 21:12 door Ron625 - Bijgewerkt: 20-07-2016, 10:27
Door Angel Ruyter:Beste Ron, ik ben zeer geinteresseerd in de wettelijke standaarden voor documenten. Dat ze bestaan is nieuw voor mij, dus ik hoor graag waar ik ze vinden kan. En wat het bezwaar is van inleveren van .doc files? Of .xls, want dat zal vergelijkbaar zijn.
Iedere overheid en gesubsidieerde instelling, zoals scholen, moeten naar buiten communiceren in open-standaarden (m.i. ook intern).
De eerste publicatie was in de Staatscourant, in november 2008, en na 24 uur is het wettelijk.
De overheid heeft er een website over: https://www.forumstandaardisatie.nl, waar ook de lijst staat met goedgekeurde standaarden.
Een standaard moet aan een aantal dingen voldoen, om een OpenStandaard volgens de EU regels te zijn.
Dit heb ik ooit samengevat op de pagina http://www.dwarsligger.org/!OpenStandaarden.
Het bezwaar tegen het inleveren van b.v. DOC files (als voorbeeld) is simpel, niemand kan mij verplichten om een Microsoft Office pakket te kopen, want dan krijg je een vendor-lock-in, iets dat de overheid juist wil voorkomen en/of afschaffen.
Natuurlijk zijn er ook gratis pakketten, maar die hebben vaak problemen, met de ongedocumenteerde opties in de files.
Een mooi voorbeeld hiervoor is een exel sheet importeren in Word en de DOC file daarna in een ander office-pakket openen, vaak is dan de hele opmaak en dus de inhoud helemaal in de war.
Daarnaast moeten documenten van en voor overheden ook over b.v. 200 jaar nog gelezen kunnen worden, dan gaat dus niet, wanneer de opbouw van de file geheim/gesloten is.
20-07-2016, 21:22 door karma4
Ron625 je link naar open standaarden is achter een login gezet, niet meer open.
Wat nog wel te vinden is is: [ur]http://noraonline.nl/wiki/Lijst_Open_Standaarden_voor_Pas_Toe_of_Leg_Uit[/url]
De 27k, pdf voor bewaartermijnen, SAML met SSO, StUF, XBRL, DKIm en DNSSEC.

Wat er aan de hand is, weet ik niet, recent was het nog wel toegankelijk.
21-07-2016, 20:12 door Ron625
Kan het
Door karma4: Ron625 je link naar open standaarden is achter een login gezet,
Vreemd.
De website op https://www.forumstandaardisatie.nl/thema/open-standaarden is gewoon toegankelijk, wel is de site aangepast, misschien net toen je het probeerde?
De pagina op dwarsligger.org bevat hoofdletters en een uitroepteken, maar dat is volgens het W3C gewoon toegestaan en zij bepalen de standaard..........

Voor Angel Ruyter, definitie, waaraan een OpenStandaard minimaal moet voldoen:
1. De standaard is goedgekeurd en zal worden gehandhaafd door een not-for-profit organisatie, en de lopende ontwikkeling gebeurt op basis van een open besluitvormingsprocedure die toegankelijk is voor alle belanghebbende partijen (consensus of meerderheidsbeschikking enz.);
2. De standaard is gepubliceerd en over het specificatie document van de standaard kan vrijelijk worden beschikt of het is te verkrijgen tegen een nominale bijdrage. Het moet voor een ieder mogelijk zijn om het te kopiëren, beschikbaar te stellen en te gebruiken om niet of tegen een nominale prijs;
3. Het intellectuele eigendom - m.b.t. mogelijk aanwezige patenten - van (delen van) de standaard is onherroepelijk ter beschikking gesteld op een royalty-free basis;
4. Er zijn geen beperkingen omtrent het hergebruik van de standaard;
22-07-2016, 06:33 door karma4
Ron, hij is er inderdaad weer en behoorlijk aangepast. Mogelijk verhuisd. Ik zal het wel net op een moment geprobeerd hebben tijdens die veranderingen. Dan is de terugkoppeling daarvan slordig verlopen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.