Intern datalek bij Fontys door openbaar document op OneDrive
Omroep Brabant bericht vandaag dat Fontys een datalek heeft en dat studenten en medewerkers gevoelige informatie konden inzien. Uit onderzoek van Fontys zelf blijkt tot nu toe dat het gaat om één document dat een medewerker onterecht op ‘public’ had gezet. Dit document bevatte geen gevoelige informatie.
Het neemt niet weg dat Fontys deze situatie uiterst serieus neemt en dat er intern een melding van is gemaakt bij het ISP-office, dat verantwoordelijk is voor de informatieveiligheid bij Fontys. Zij gaan het incident verder onderzoeken om te kijken waar dit nog meer is gebeurd en om maatregelen te nemen.
Tip van student
De regionale omroep baseert zijn bericht op een tip van een student. Die stuurde screenshots naar de omroep. Uit een zoektocht in de OneDrive-bestanden van Fontys was de student gestuit op meerdere documenten die niet voor hem bedoeld waren.
Omroep Brabant heeft daarvan 13 documenten naar Fontys doorgestuurd, zodat de hogeschool kon zien waarover het gaat. Hieruit blijkt dat 12 van deze documenten van studenten zijn. In principe mogen die openbaar staan als studenten dat zelf aangeven. Het gaat daarbij onder meer om een proeftentamen, dat een student zelf openbaar heeft gezet.
Maar één bestand stond echter onterecht op ‘public’ en was van een medewerker. Het ging hierbij om de organisatie van een evenement. Zichtbaar waren de namen van de workshopleiders en een kostenoverzicht.
Standaardinstelling
Of de student meer bestanden in handen heeft die onterecht op ‘public’ staan is nu niet bekend. Overigens is in principe de standaardinstelling van Fontys bij alle OneDrive-documenten ‘privé’. Studenten en medewerkers moeten bewust ‘public’ aanzetten. Dit is al ingebouwd om te voorkomen dat bestanden onnodig openbaar zijn.
Dit incident maakt volgens corporate information security officer Hub Gerats wel weer duidelijk hoe belangrijk bewustwording rondom informatieveiligheid is. ‘Hiervoor voeren we regelmatig campagnes, om medewerkers en studenten bewust te maken van het veilig omgaan met (vertrouwelijke) informatie en informatieveilig handelen.’
Fontys gaat nu verder onderzoeken of er nog meer aan de hand is en of dit incident gemeld moet worden bij de Autoriteit Persoonsgegevens. Er is ook contact opgenomen met de betreffende medewerker.
Contact
Maak je je zorgen of heb je vragen naar aanleiding van het bericht op Omroep Brabant, neem dan contact op met de ISP-contactpersoon van je instituut of de dienst. De namen zijn te vinden op de ISP-portal. ISP staat voor Information Security & Privacy. Ontdek je zelf wel eens een verkeerde instelling of zwakte in een van de systemen, meld dit dan bij Responsible disclosure Fontys Hogeschool.
Auteur: Petra Merkx
Wil jij weten hoe je informatie veilig opslaat? Het project Informatieveiligheid werkte afgelopen jaar aan een betere digitale veiligheid bij Fontys. Informatie veilig opslaan en veilig delen waren andere aandachtspunten. Meer daarover lees je hier.