Het losgeld dat de Universiteit Maastricht in december heeft betaald aan de cyberhackers die de computersystemen hadden gegijzeld, komt uit private middelen van de universiteit. Dat geldt ook voor alle andere gemaakte kosten, schrijft de minister.
Eerder deze maand gaf het bestuur van de Universiteit Maastricht (UM) toe dat het in december 197 duizend euro losgeld heeft betaald aan hackers die vlak voor kerst een grootschalige cyberaanval uitvoerden. Zonder deze betaling had het maanden kunnen duren om onderwijs en onderzoek te hervatten.
Het losgeld en “alle overige kosten die samenhangen met de ransomware-aanval” zijn volgens de minister bekostigd uit “de verkoop van een deelneming van de holding Universiteit Maastricht”. Universiteiten en hogescholen zijn zelf verantwoordelijk voor hun informatieveiligheid, benadrukt ze.
De vraag is wat er precies onder die overige kosten valt. Betreft dit bijvoorbeeld ook de hulp van beveiligingsbedrijf Fox-IT, dat na de cyberaanval onderzocht wat er misging?
Tijdelijke dijkbewaking
Dat klopt, zegt een woordvoerder van de UM. “Het inschakelen van derden, zoals Fox-IT valt eronder, maar ook de tijdelijke dijkbewaking met extra ict-personeel. Maar alle toekomstige kosten om de digitale veiligheid van de universiteit te verbeteren, zullen wel uit de reguliere begroting komen.”
Het is nooit een geheim geweest dat het losgeld niet is betaald uit onderwijs- en onderzoeksgeld, stelt hij. Maar in alle mediaberichten over de cyberaanval is dat tot nog toe niet gemeld.
De minister maakt ook voor het eerst bekend dat het kabinet de UM in december heeft aangeraden om géén losgeld te betalen aan de hackers. “Voordat de Universiteit Maastricht hiertoe over is gegaan, heb ik de universiteit kenbaar gemaakt dat de regering van mening is dat er geen geld naar criminelen toe moet vloeien”, schrijft Van Engelshoven. Maar het bestuur besloot anders.
De Onderwijsinspectie doet momenteel onderzoek naar de cyberaanval in Maastricht en naar de digitale veiligheid in het hele hoge onderwijs. De minister verwacht dat dit onderzoek na de zomer is afgerond.
Nieuw plan
De instellingen zitten zelf ook niet stil. Zij komen al voor de zomer met een plan voor extra veiligheidsmaatregelen, zoals meer (externe) controles en het beter informeren van medewerkers en studenten over cyberdreigingen.
Ict-samenwerkingsorganisatie SURF waarschuwde onlangs dat het Nederlandse onderwijs en onderzoek steeds kwetsbaarder wordt voor cybercriminelen. Universiteiten en hogescholen moeten alles op alles zetten om hen buiten de deur te houden.