Tijdens de webinar op maandag 15 april hebben SIVON en het CERT de schoolbesturen nader geïnformeerd over de cyberaanval bij Iddink Learning Materials. In dit webinar waarin ook Iddink een toelichting gaf, zijn door de deelnemers heel veel vragen gesteld. De vragen kunnen we als volgt categoriseren:
- Hoe is deze cyberaanval ontstaan/hoe is het gekomen?
- Leveringszekerheid leermiddelen
- Wachtwoorden
- Welke data is gelekt, wiens data is gelekt en hoe oud is de gelekte data? Inclusief bewaartermijnen en vernietiging van gegevens van oud-klanten
- Melding AP
- Totstandkoming aanval en beveiligingsbeleid Iddink
Op een aantal categorieën komen we in deze mail terug. Een aantal categorieën parkeren we naar een later moment, omdat op dit moment het antwoord nog niet bekend is en/of nog in onderzoek is. En op een groot deel van de vragen kan alleen Iddink het antwoord geven. Volg hiervoor hun website voor de veelgestelde vragen.
De cyberaanval
Op 11 april is Iddink Learning Materials getroffen door een cyberaanval. We stelden schoolbesturen daarvan afgelopen vrijdag 12 april op de hoogte. Op de website van Iddink staat meer informatie over de cyberaanval. Dit is op dit moment het enige wat Iddink hierover kan zeggen. We hopen binnenkort hier meer informatie over te kunnen delen. Dit kan zodra het onderzoek bij Iddink is afgerond. SIVON zal heel alert op de voortgang zijn, gezien het belang voor scholen, leerlingen en ouders.
Leermiddelenproces en leveringszekerheid leermiddelen
We hebben veel vragen gekregen over het kunnen aanleveren van de leermiddelenlijst. De gebruikelijke datum voor het aanleveren van de leermiddelenlijst is 1 mei. Dit om te zorgen dat er tijdig bestellingen gedaan kunnen worden bij uitgevers. Sommige scholen hadden deze al opgeleverd of deels opgeleverd, andere scholen niet. We zijn in gesprek met Iddink over een oplossing voor deze situatie van hun kant en welke stappen hiervoor vanuit de scholen nodig zijn. Wij streven ernaar om hierover scholen het einde van deze week een update te geven.
Wachtwoorden
Tijdens de webinar gaf Iddink aan dat de wachtwoorden die tot 13 april 2021 zijn opgeslagen zijn geraakt door de aanval. Wachtwoorden die na deze datum zijn aangemaakt, zijn volgens Iddink niet gehackt omdat ze opgeslagen waren in een aparte database.
De wachtwoorden die voor 13 april 2021 zijn aangemaakt bij Iddink, zijn volgens Iddink versleuteld opgeslagen. Als een leerling, ouder of medewerker van school in het verleden bij Iddink een wachtwoord heeft gebruikt dat ook bij andere applicaties en diensten is gebruikt (bijvoorbeeld online bankieren, e-mail of social media), dan is het advies om het wachtwoord bij die andere diensten te wijzigen. Zoals dat voor alle software en digitale diensten geldt, is het advies om multi-factor authenticatie aan te zetten bij die applicaties die dat aanbieden.
Omdat de systemen van Iddink Learning Materials nog niet werken, is het niet mogelijk om het wachtwoord voor iddink.nl te wijzigen. SIVON heeft Iddink gevraagd om in het geval dat de gegevens uit een back-up door Iddink teruggezet kunnen worden, de wachtwoorden niet terug te zetten. Dat betekent dat leerlingen, ouders en medewerkers dan bij het inloggen een nieuw wachtwoord moeten aanmaken.
Gelekte gegevens
In de FAQ van Iddink is opgenomen welke gegevens er gehackt zijn:
• Namen en adressen van studenten en mogelijk ouders
• Persoonlijke contactinformatie zoals e-mailadressen en telefoonnummers
• Geboortedatum
• Schoolgegevens, zoals contactgegevens, verzonden facturen
• Bankrekeningnummers
• Gearchiveerde e-mails (particulieren en scholen)
Iddink heeft tijdens de webinar bevestigd dat Iddink alleen beschikt over het bankrekeningnummer van ouders (en leerlingen) alzij voor eigen rekening aanvullend lesmateriaal en of schoolspullen hebben besteld. Van ouders en leerlingen die alleen boeken hebben laten bezorgen (en niets aanvullend hebben besteld en betaald), heeft Iddink dus geen bankrekeningnummer.
Informeren oud-leerlingen en hun ouders/verzorgers
Het is mogelijk dat in de systemen van Iddink Learning Materials ook gegevens staan van leerlingen en hun ouders die voorgaande jaren schoolboeken en schoolspullen hebben besteld en de school inmiddels verlaten hebben (oud-leerlingen).
Het advies is daarom om ook oud-leerlingen en hun ouders te informeren over het datalek bij Iddink. SIVON maakt hiervoor een voorbeeldbrief. Deze brief komt, net als de voorbeeldbrief voor de huidige leerlingen en hun ouders, en de voorbeeldtekst voor medewerkers, op deze pagina. Download hier de voorbeeldbrief voor oud-leerlingen en hun ouders/verzorgers.
Oud-klanten Iddink
Iddink zoekt nog uit of de gegevens van oud-klanten (scholen die in het verleden klant waren bij Iddink) bij de cyberaanval betrokken zijn. Het is dit moment nog niet bekend hoever de data teruggaat in de gehackte database en of de data van oud-klanten is verwijderd. Daarom is het advies aan scholen die in het verleden klant zijn geweest bij Iddink, om zekerheidshalve een voorlopige melding te doen van een datalek bij de Autoriteit Persoonsgegevens. Het gaat namelijk mogelijk om data waarvoor de school verwerkingsverantwoordelijke is (was). Bij de datalekmelding is het verstandig om te melden dat het contract met Iddink al beëindigd is, maar dat het nu nog niet zeker is of Iddink de data heeft vernietigd. Als Iddink duidelijk maakt welke data uit welke periode in de gehackte database staat, kan de voorlopige melding bij de Autoriteit Persoonsgegevens met die informatie worden aangevuld of de melding worden ingetrokken.
Totstandkoming aanval en beveiligingsbeleid Iddink
Scholen hebben ook vragen gesteld over hoe de aanval tot stand is gekomen en of Iddink afdoende beveiligingsmaatregelen heeft genomen. De focus ligt nu op het oplossen van het incident en het onderzoek dat daarvoor nodig is. Na afronding daarvan gaan we met Iddink in gesprek over de achtergrond van de aanval, beveiliging en eventuele leer-verbeterpunten.