TU Delft en UU roepen Blackbaud op matje na datalek

Dit artikel delen:

De diefstal van persoonlijke gegevens van afgestudeerden aan de TU Delft en de Universiteit Utrecht (UU) kan nog een flink staartje krijgen. Beide instellingen zijn niet te spreken over de manier waarop het Amerikaanse softwarebedrijf Blackbaud dit data-veiligheidsincident heeft behandeld.

Ruim een maand nadat de leverancier van crm-systemen voor onderwijsinstellingen wist van een aanval met ransomware, kregen Delft en Utrecht hiervan bericht. Vervolgens duurde het nog eens een maand voordat beide universiteiten te horen kreeg welke bestanden waren gekaapt en wie daarin stonden. 

Annelies Waterlander, communicatie-adviseur van de Universiteit Utrecht: ‘We kregen pas vandaag toegang tot deze gegevens.’ Omvang en aard van de hack bleven lang onbekend. En dat terwijl enkele tientallen Amerikaanse, Canadese en Engelse instellingen drie weken geleden al van de hoed en de rand wisten.

Vervolgstappen

De TU Delft en de Universiteit Utrecht gaan hun leverancier hierover aan de tand voelen. Ze willen ook weten waarom er nog verouderde back-ups uit 2017 op de server van Blackbaud stonden. Deze back-up bevatte persoonsgegevens van afgestudeerden zoals naam, geslacht, geboortedatum en loopbaangegevens. In Utrecht raakten ook privégegevens van donateurs en relaties in verkeerde handen. Blackbaud heeft de hackers een onbekend bedrag aan losgeld betaald. De kopieën van de gestolen bestanden zijn vervolgens vernietigd, zo claimt de softwareleverancier. Bankgegevens en inlogdata stonden niet in deze back-ups. Vooralsnog is niet gebleken dat persoonlijke data op zwarte markten of in besloten Telegram-groepen worden verhandeld.

De aanval vond tussen 7 februari en 20 mei plaats. Beide Nederlandse universiteiten hebben het incident gemeld bij de Autoriteit Persoonsgegevens. Ze gaan ook de samenwerking met Blackbaud evalueren. Mogelijk worden ook vervolgstappen tegen het Amerikaanse bedrijf ondernomen. Ook de wijze waarop de universiteiten intern hun crm-database hebben georganiseerd, wordt onder de loep genomen. 

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Tja, alles geregeld op papier en dan toch, cloud dienst wordt gepowned en als kant ervan heb je dan maar te slikken. Ondanks je afspraken en betalingen voor de afspraken. De les is dat als het er op aan komt, je het risico van een data loss via een cloud leverancier niet kunt afdekken met afspraken en er voor te betalen. Datzelfde geldt voor 'gold support' op computer hardware bij bepaalde fabrikanten. Server stuk, jij hebt acuut probleem en het duurt zeker toch een paar uur voordat de support er is en die geven zelfs geen garanties dat die binnen een tijd een oplossing hebben. Vaak kun je dan voor een aantal jaar 'gold support' net zo goed een 2e server klaar op de plank hebben liggen... Jammer dat dat soort risicos en kosten analyses de managers bij hun cursusjes niet leren... ze gaan vaak voor de glossy folder of het warme fuzzy gevoel en de illusie dat ze de vinger kunnen wijzen naar een ander... een 2e server betalen da's dan uitgesloten, maar die 'gold support'? daar tekenen ze wel zo weer voor... Dus: let op; Cloud, het lijkt zo kosten effectief totdat...

Ik snap dat de communicatie-adviseur van UU de aandacht verlegd maar verouderde back-ups met persoonsgegevens op een server? En de wijze waarop de universiteiten intern hun crm-database hebben georganiseerd wordt onder de loep genomen? Ik wil niet in conclusies springen voordat het onderzoek is afgerond maar zou de verouderde back-up op de server een database dump kunnen zijn?

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Vacatures bij Universiteit Utrecht

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-08-11T15:06:00.000Z Alfred Monterie
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.