Cyberveiligheid moet niet alleen een IT-feestje zijn

Nieuws | door Sicco de Knecht
13 februari 2020 | “We moeten ons realiseren dat dit een integraal onderdeel is van de moderne bedrijfsvoering op instellingen." Volgens Remco Poortinga - Van Wijnen (SURF) is de ransomware aanval bij de Maastrichtse universiteit niet de eerste, en deze zal zeker niet de laatste zijn die het hoger onderwijs treft.

Hij stond pontificaal opgesteld in de Maastrichtse aula: patient zero, de laptop waarmee een medewerker op 15 oktober 2019 een zogenaamde phishing link opende. “Het is gemeld bij de servicedesk, door twee mensen zelfs,” vertelt De Chief Information Officer (CIO) is verantwoordelijk voor het opzetten en uitvoeren van de instellingbrede IT-strategie. Michiel Borgers (Maastricht University), “de mails leken echter zo veel op elkaar dat de tweede melding als ‘dezelfde mail’ werd gezien.”

Vanaf dat moment stond het de handlanger(s) vrij om zich door het netwerk van de instelling heen te bewegen. Op zo’n wijze dat op 19 december zelfs de antivirus aangeslagen werd. Tegen die tijd had de handlanger al een zodanige toegang dat deze de antivirus op de betreffende computer op afstand kon de-installeren. Vanaf 23 december werd de ransomware op 267 servers van de instelling uitgerold, en was het kwaad geschied.

Inschakelen professionals noodzakelijk

Op de dag voor Kerst, 24 december 2019, schakelt de universiteit het cyberbeveiligingsbureau Fox-IT in, dat vanaf dat moment de opdracht had de e-mailservers, bestandsservers en back-up servers te redden, en voor meer kwaad te behoeden. “Dat we dit allemaal mogen vertellen is echt bijzonder,” zegt directielid Frank Groenewegen van Fox-IT die oprecht onder de indruk is van de openheid die de universiteit geeft op dit terrein. “Veel andere organisaties zouden dit zeker niet doen.”

Nu de zaak is afgehandeld, en waar nodig is overgedragen aan de autoriteiten, is het tijd om met de sector lering te trekken uit het voorval. Een universiteit, en een hoger onderwijssector in de leerstand. Remco Poortinga – van Wijnen, teamhoofd Security en Privacy bij SURF sluit zich aan bij de pluim die wordt gegeven voor de openheid. “Dit is echt zoals we het graag zien.”

Poortinga – van Wijnen heeft de casus sinds de kerstvakantie op de voet gevolgd, en heeft er begrip voor dat er aanvankelijk nog weinig bekend was over de toedracht. “Dat had er denk ik ook echt mee te maken dat men het nog niet wist. Wat ze konden delen is destijds gedeeld.” Het inschakelen van een professionele partij als Fox-IT is in zo’n situatie ook echt noodzakelijk.

“Wij kunnen vanuit de samenwerking binnen SURF natuurlijk een hoop doen aan preventie, scholing en voorbereiding, maar op het moment dat het echt raak is heb je gespecialiseerde partijen nodig.” Elk jaar brengt SURF een cyberbedreigingsbeeld uit waarin de laatste ontwikkelingen en risico’s in beeld worden gebracht. Daarin probeert de organisatie inzicht te bieden in wat momenteel de belangrijkste gevaren zijn waar instellingen zich tegen moeten wapenen.

Twee maanden stilstand is onacceptabel

Tijdens de afgelopen OZON, een landelijke cybersecurity-oefening, in 2018 was een aanval met ransomware niet geheel toevallig de casus die gekozen werd, vertelt Poortinga – van Wijnen. “We zien dat dit type aanvallen toeneemt. De universiteit in Maastricht is zeker niet de eerste die hiermee in aanraking komt, en zal ook niet de laatste zijn. Instellingen worden voortdurend aangevallen dus het is onvermijdelijk dat het nog eens mis zal gaan.”

Waar de instelling ook naar eigen zeggen veel aan heeft gehad zijn de werkwijzen en protocollen die voortkomen uit een dergelijke oefening. Maar wat volgens vicevoorzitter van de MU Nick Bos ook duidelijk is geworden uit deze casus, is dat de theorie iets anders is dan de praktijk. “We zijn zelfs nog enigszins naïef begonnen door te denken dat we zelf wel de decryptor konden ontwikkelen voor de versleuteling, maar daar is uiteindelijk geen beginnen aan.”

De keuze was dus tussen het jaar beginnen met een aanzienlijke vertraging en een fors risico op verlies van gegevens, of betalen. Op 29 december nam het bestuur van de universiteit het weloverwogen besluit de 30 bitcoins (€197.000) over te maken naar de eiser. “Het niet verwerven van de sleutel zou betekenen dat de MU alle systemen opnieuw moest opbouwen.” Er vonden geen onderhandelingen plaats over het bedrag, zegt Bos in reactie op een vraag uit de zaal.

“In de oefeningen zeggen we altijd: we betalen niet. Maar in de praktijk is het een heel ander verhaal”, zegt Frank Kuipers van het Instituut voor Veiligheids- en Crisismanagement COT bij de persconferentie. Volgens hem geeft deze casus vooral aan dat de discussie over wel of niet betalen uiteindelijk een virtuele discussie is. “Die discussie loopt altijd vast op de ‘tenzij’, en daar kom je pas achter als het je treft. Dan kijk je ineens aan tegen de realiteit dat je twee maanden niet vooruit kunt met je onderwijs en onderzoek, en dat is onacceptabel.”

Grotere organisaties zijn interessantere slachtoffers

Was het geld nu werkelijk alles waar het de dader(s) uiteindelijk om te doen was? Het heeft er alle schijn van, zo vertelt Groenewegen (Fox-IT). “Het doel was financieel, we hebben geen sporen gevonden dat de daders op zoek waren naar een specifiek ‘kroonjuweel’.” Die daders, die Fox-IT identificeert als de Russisch sprekende hackersgroep Grace-RAT of TA505, is een groep die al sinds 2014 bekend is.

De Maastricht University gaf aanvankelijk al aan dat het niet uitging van een gerichte aanval Poortinga – van Wijnen sluit zich daarbij aan. “Vaak is de modus operandi dat phishing mails onder heel veel adressen worden uitgezet. Criminelen kijken natuurlijk wel naar wat voor partijen daarbij horen. Als dat een grotere organisatie is, dan is dat wel een interessanter slachtoffer.”

Wat het drama in zo’n geval compleet maakt is dat de aanval precies in de vakantieperiode valt. Houden cybercriminelen rekening met dergelijke aspecten? “Zeker wel,” stelt Groenewegen, “dat zien we wel vaker, dat het vlak voor het weekend of rondom feestdagen is.”

Onderzoek Inspectie

Wat had de Maastrichtse universiteit kunnen doen om deze aanval te voorkomen of af te slaan? Dat was de vraag waar iedereen, inclusief het ministerie, een antwoord op wil hebben. Momenteel loopt er een onderzoek van de Inspectie. Dit onderzoek bestaat uit twee delen, vertelt woordvoerder Daan Jansen.

“We doen onderzoek naar de vraag of de Maastricht University zich beter had kunnen beschermen tegen een dergelijke aanval, en of de universiteit in de toekomst nu wel voldoende voorbereid is.” De Inspectie gaat hierbij uit van het onafhankelijke interne onderzoek van de universiteit en verwacht de resultaten in het voorjaar te kunnen presenteren. “Ook doen we breder onderzoek naar de cyberbeveiliging van de hele sector hoger onderwijs, dat verwachten we later af te hebben.”

Gemeten langs de SURF audit benchmark is er sinds 2017 een gestage verbetering bij de Maastricht University. In het voorjaar van 2019 deed de instelling een grote ICT-investering om aan de nieuwe AVG wetgeving te voldoen en bestuur en medezeggenschap waren najaar 2019 overeengekomen een nieuwe investering te doen om onder andere een 24/7 beveiliging van de ICT-systemen mogelijk te maken.

Veiligheidscultuur

Volgens Borgers moet er zeker intern geleerd worden van deze casus. In de reactie op het rapport van Fox-IT worden al de eerste lessen getrokken en maatregelen afgekondigd. Zo gaat de instelling onder andere het accuraat updaten van software bevorderen, het Windows-domein beter segmenteren en dubbele backups maken. Ook kijkt hij om zich heen. “Internationaal gezien zijn er goede voorbeelden, zo werken instellingen in Canada samen aan gedeelde beveiliging en ik kijk ook naar de minister of ze ons hierin kan helpen.”

Als het gaat om wat er op instellingen zelf gedaan kan worden om de veiligheidscultuur te verbeteren heeft Poortinga – van Wijnen ook nog een paar ideeën. “Wat kan helpen is het belonen van medewerkers die per ongeluk op zo’n link klikken wanneer ze zich melden.” Het klinkt misschien vreemd, maar wanneer een instelling een aanmoedigingsbeleid heeft wat betreft melding komt er veel meer boven water dan wanneer er een taboe op rust.

“We moeten ons ook realiseren dat dit een integraal onderdeel is van de moderne bedrijfsvoering op instellingen. Het moet niet louter een IT-feestje zijn om met deze uitdagingen om te gaan.” Het gaat ook om het aanmoedigen en aanspreken van medewerkers en studenten om naast gemak ook veiligheid mee te nemen in hun besluit. “Je moet als onderzoeker bijvoorbeeld gewoon geen onderzoeksdata op een eigen Dropbox zetten, hoe verleidelijk het ook is.” Maar een instelling moet daar dan wel een aantrekkelijk alternatief tegenover zetten.”


«
Schrijf je in voor onze nieuwsbrief
ScienceGuide is bij wet verplicht je toestemming te vragen voor het gebruik van cookies.
Lees hier over ons cookiebeleid en klik op OK om akkoord te gaan
OK