Op 11 april is Iddink Learning Materials getroffen door een cyberaanval. We stelden schoolbesturen daarvan afgelopen vrijdag 12 april op de hoogte. In dit bericht een update.
We hebben, samen met het CERT, de afgelopen dagen intensief contact gehad met Iddink over deze cyberaanval en de gevolgen daarvan. Iddink heeft op hun website een pagina geplaatst met veelgestelde vragen. Op deze pagina vind je meer informatie over de gevolgen van deze cyberaanval en welke stappen Iddink zet.
In deze update gaan we onder andere in op het wel of niet wijzigen van het wachtwoord. In het vorige nieuwsbericht schreven we dat er signalen zijn dat hackers toegang hebben tot persoonlijke gegevens. We krijgen van scholen veel vragen of ook wachtwoorden bij de cyberaanval betrokken zijn. Daarom gaan we in deze update in op de vraag of het wachtwoord wel of niet gewijzigd moet worden. Onderstaande stappen zijn alleen nodig voor scholen of besturen die gebruik maken van Iddink Learning Materials of hier in het verleden gebruik van hebben gemaakt.
Is er aanleiding om wachtwoorden te wijzigen?
Iddink geeft in haar communicatie aan dat zij naar aanleiding van dit incident geen aanleiding ziet om het wachtwoord te wijzigen. In de veelgestelde vragen staat hun uitleg hierover.
SIVON ziet drie verschillende groepen die gebruik maken van Iddink Learning Materials. De leerlingen, ouders en medewerkers van de school.
- Op basis van de informatie die we van Iddink hebben vernomen, is het op dit moment niet noodzakelijk voor leerlingen om hun wachtwoord te wijzigen.
- Voor ouders blijft ons eerdere advies gehandhaafd: Ouders hoeven hun wachtwoord voor Iddink Learning Materials niet te resetten, tenzij ze dit wachtwoord op meerdere plaatsen gebruiken. Als het wachtwoord wel op meerdere plaatsen is gebruikt, wijzig het dan in elke applicatie waarin het is hergebruikt.
- Voor medewerkers, die voor 13 april 2021 ingelogd zijn bij Iddink Learning Materials raden we aan om het wachtwoord te resetten. Als het wachtwoord op meerdere plaatsen is gebruikt, wijzig het dan in elke applicatie waarin het is hergebruikt.
In alle gevallen is het advies: zorg dat je voor iedere applicatie een uniek wachtwoord gebruikt. Wij raden ook aan om multifactor authenticatie aan te zetten bij die applicaties die dat aanbieden. Dat is een extra maatregel die ervoor zorgt dat misbruik maken van jouw gegevens moeilijker wordt.
Webinar
Op maandag 15 april van 12.00 tot 13.00 lichten we in een webinar samen met Iddink en het CERT (van Kennisnet/SIVON) de stand van zaken toe en beantwoorden vragen van scholen. Meld je aan voor de webinar via deze link.
Wat kunnen scholen verder doen?
In onze ledenbrief, van 12 april jl., hebben wij het volgende geadviseerd. Dit blijft staan.
- Meld dit datalek bij de Autoriteit Persoonsgegevens. Bekijk onze pagina op sivon.nl hoe je dit kan doen.
- Wij adviseren scholen om ouders zo spoedig mogelijk, indien nog niet gedaan, te informeren. Hiervoor hebben wij een voorbeeldbrief opgesteld, die scholen kunnen gebruiken richting de ouders.
- Wees extra alert op ongebruikelijke e-mailactiviteiten. De gelekte gegevens kunnen misbruikt worden door kwaadwillenden. Zij sturen bijvoorbeeld phishing mails uit naam van een school.
Daarnaast kan je ook medewerkers als betrokkenen informeren, omdat zij mogelijk ook geraakt zijn. Hiervoor hebben we een voorbeeldmail opgesteld.
Wat kun je verder van ons verwachten?
Bij nieuwe informatie wordt de pagina op sivon.nl aangevuld. Leden van SIVON sturen we dan ook weer de ledenbrief. Hou ook de pagina met veelgestelde vragen van Iddink in de gaten.