Op donderdag 11 april is Iddink Learning Materials getroffen door een cyberaanval van de criminele cybergroep Cactus. Daardoor zijn bepaalde gegevens uit het systeem van Iddink Learning Materials geraakt. Het gaat om persoonlijke informatie zoals namen, e-mailadressen en bankgegevens van klanten van Iddink Learning Materials. Er zijn onmiddellijk de nodige stappen ondernomen om het effect van de aanval in te dammen en te beperken.
De afgelopen dagen heeft Magister ook vragen ontvangen van scholen, zoals is Magister ook geraakt? Moet ik mijn wachtwoorden resetten? In deze speciale nieuwsbrief willen wij u informeren en antwoorden geven op uw vragen.
[informatie voor scholen klik hier, inlog nodig]
Is Magister ook getroffen door deze cyberaanval?
Magister is geen onderdeel van de cyberaanval van 11 april. Magister draait op een andere infrastructuur. Alle voorzorgsmaatregelen die nodig zijn voor Magister zijn getroffen. De Magister-applicatie is niet geraakt door de aanval.
Hoe goed is Magister beveiligd?
Informatiebeveiliging is een prioriteit voor ons en een essentieel onderdeel van onze dienstverlening. Wij volgen marktconforme standaarden voor het organiseren en implementeren van informatiebeveiliging. De implementatie van informatiebeveiliging binnen het bedrijf kenmerkt zich door een breed scala aan technische en organisatorische maatregelen met als doel gegevens goed te beschermen. Deze omvatten het scannen en oplossen van beveiligingsproblemen, het laten uitvoeren van beveiligingstests, het monitoren van de omgeving en regelmatige rapportages aan het management.
Moeten we als school voor de zekerheid onze login/password reset doen?
Op dit moment zien wij geen aanleiding dat u de login/wachtwoorden van Magister voor uw leerlingen en docenten zou moeten wijzigen. Waarom? Bij het huidige cyberincident bij Iddink Learning Materials zijn wachtwoorden geen onderdeel van het datalek. Wachtwoorden worden niet opgeslagen, alleen de crypto grafische waarde. Daarmee kan het wachtwoord gecontroleerd worden, maar niet worden teruggehaald.
Wat is het advies van Magister?
Wij raden Magister-gebruikers (zoals altijd) het volgende aan:
- Gebruik voor iedere applicatie een uniek wachtwoord. Mocht je dat in het verleden niet hebben gedaan, dan is het verstandig om je wachtwoorden te wijzigen, zodat elke applicatie een uniek wachtwoord heeft.
- Gebruik voor iedere applicatie een unieke gebruikersnaam.
- Wij raden multi-factor authenticatie (2FA/MFA) aan waar het kan. Dat is een extra maatregel die ervoor zorgt dat misbruik maken van gegevens moeilijker wordt.
Kunt u mij meer vertellen over het cyberincident bij Iddink Learning Materials?
Voor de actuele status over het cyberincident bij Iddink verwijzen wij u naar www.iddink.nl/nieuws-blog. Op de Magister Service Kennisbank vindt u de actuele informatie met betrekking tot Magister.
Moet ik voor Magister.learn nog een extra handeling te doen?
Nee. Er is een SSO tussen Magister en Magister.learn. U hoeft niet een aparte wachtwoord reset te doen voor Magister.learn.
Kan ik ook gebruik maken van 2FA binnen Magister?
Magister biedt de mogelijkheid voor alle gebruikers van 2FA. Voor gebruikers die werkzaam zijn op een school (Docenten/OOP) is het gebruik van 2FA verplicht in Magister. Wij adviseren om ook voor ouders 2FA in te stellen. Deze maatregel biedt extra beveiliging en bescherming tegen hacks. Voor leerlingen is dit moeilijker, aangezien ‘mobieltjes’ niet meer zijn toegestaan in de klaslokalen.
Op de Kennisbank kunt u meer informatie vinden hierover.
Ik wil alle koppelingen met Magister uitzetten omdat ik bang ben dat Magister getroffen is.
Magister en Iddink Learning Materials hebben een gescheiden infrastructuur. De netwerken, domeinen, servers en internetverbindingen zijn gescheiden. De Magister applicatie is niet getroffen door het cyberincident. In verband met continuïteit van uw school adviseren wij om deze maatregel niet te nemen.
Heeft Magister ook een melding gedaan naar de Autoriteit Persoonsgegevens?
Nee. Er is geen indicatie dat Magister onderdeel uitmaakt van de potentieel gelekte gegevens. Er hoeft dus geen melding gedaan te worden bij de Autoriteit Persoonsgegevens.
