Phishingmails naar aanleiding van hack Iddink
14-06-2024
Oplichters sturen phishingmails naar ouders in Twente en de Achterhoek. Scholen waarschuwen de ouders om niet te betalen en niet op links te klikken. Deze phishingmails zijn het gevolg van een hack bij Iddink Learning Materials in april waarbij leerlinggegevens zijn gestolen. Over de hack is inmiddels bekend dat de gegevens te koop worden aangeboden via het dark web. Half mei heeft de groep criminelen meer data gepubliceerd. Daarbij is, op basis van de benaming van de files, geconstateerd dat bedrijfsgevoelige informatie en klantgegevens zijn gepubliceerd. Iddink kan niet met zekerheid aangeven welke data exact is vrijgegeven want het is te riskant om de data te downloaden voor analysedoeleinden. Betaalverzoeken Inmiddels heeft Iddink vernomen dat er phishingmails worden verstuurd vanuit de naam van Iddink Learning Materials. Ze roepen klanten op extra alert te zijn en adviseren scholen, ouders en leerlingen de volgende maatregelen te nemen: Deze week kregen ze van enkele scholen, die magister klant zijn, het bericht dat ze een mail hebben gekregen waarin een poging tot afpersing wordt gedaan. Iddink waarschuwt: reageer niet op de mail en verwijder hem direct. In de mails wordt aangegeven dat persoonsgegevens uit de “Magister databases” zijn gedownload en dat deze data zal worden gepubliceerd als er niet wordt betaald. Ook wordt er een link gelegd naar cyberaanval op Iddink Learning Materials. Zij benadrukken: de Magister applicatie is bij de cyberaanval op Iddink Learning Materials niet geraakt. Als RvT is het belangrijk dat je het onderwerp Digitale Veiligheid op de agenda zet en kritische vragen stelt. Vraag daarbij ook door als het antwoord niet concreet genoeg is. Lees hier meer over digitale veiligheid en de rol van de RvTGegevensdiefstal
Wat is jouw rol als RvT en welke vragen kun je stellen?
“Zijn jullie op de hoogte van de ontwikkelingen rond het Normenkader IBP Funderend Onderwijs? Hoe werken jullie daaraan? Hebben jullie de basismaatregelen bijvoorbeeld al op orde?”
“Hoe hebben jullie de verantwoordelijkheden voor IBP in de organisatie belegd? Hoe zorgen jullie ervoor dat het meer is dan alleen een ict-feestje, maar dat juist ook verantwoordelijken in andere afdelingen (P&O, financiën, onderwijs) hun rol vervullen?”
“Lukt het om centraal de regie te voeren op IBP-beleid? Stellen jullie beleid hiervoor inderdaad als bestuur vast, en hoe gaan de locaties daar dan mee om?”
“Welke dreigingen baren jullie de meeste zorgen? Hoe werkt dat door in de prioritering van jullie maatregelen?Baseren jullie dat ook op het Dreigingsbeeld Funderend Onderwijs?”
“Hoe houden jullie intern toezicht op de naleving van IBP-beleid? Hoe staat die naleving ervoor? Wat zijn belangrijke hordes om die naleving te verbeteren?” (tip: nodig bij dit punt eventueel ook een interne verantwoordelijke of toezichthouder op dit vlak uit, zoals het hoofd informatiebeveiliging of de FG)
“Welk deel van de ict van de organisatie is ongeveer uitbesteed? Hoe zorgen jullie ervoor dat IBP bij de aanschaf van ict-diensten consequent en op tijd ter sprake komt? Hebben jullie met alle relevante leveranciers inderdaad verwerkersovereenkomsten afgesloten?”