Een cyberaanval zoals in Maastricht: de kans is klein, maar de impact gigantisch

Raoul Vernède en Henk Verkolf. Foto: DUB

Met de kerstdagen zat Henk Verkolf, UU's plaatsvervangend manager van het cluster infrastructure, niet rozig aan de glühwein bij de boom, maar was hij aan het werk. In de nacht van 23 op 24 december werd de Universiteit Maastricht immers slachtoffer van een cyberaanval met clop-ransomware. De criminelen eisten losgeld voor ze de gegijzelde bestanden teruggaven. De hele kerstvakantie lagen de systemen van de Universiteit Maastricht compleet plat door de gijzelsoftware en ook voor Utrecht was het opletten geblazen.

Verkolf: “De dag dat Maastricht het virus constateerde, hoorden wij dat meteen. We hebben een heel korte lijn via ict-samenwerkingsorganisatie Surf. Dat bericht ging direct naar alle universiteiten. Wat we in een dergelijke situatie doen is in eerste instantie kijken of er iets gebeurt bij ons eigen systeem, en vervolgens proberen we te achterhalen wat er nou precies aan de hand is bij – in dit geval – Maastricht, en kijken we of we daar kwetsbaar voor zijn.”

Al snel werd geconstateerd dat een aantal pogingen van dezelfde aanval ook bij de UU aangekomen was. De anti-ransomware software, die twee jaar terug geïnstalleerd is, hield de aanval echter tegen. “De ransomware werd herkend, gelukkig. Het is altijd nog de vraag of de ransom die je binnenkrijgt zó nieuw is dat het nog niet herkend wordt door je beveiligingssoftware. Want je kunt je nog zo goed beveiligen, je loopt altijd achter de crimineel aan. Net zoals de politie; wanneer ze eenmaal ontdekt hebben dat de drugs bij de bananen zitten, zitten ze alweer bij de barbiepoppen. Dat werkt ook zo bij de cybersecurity.”

Je kunt je nog zo goed beveiligen, je loopt altijd achter de crimineel aan.

Of de Universiteit Maastricht dan niet dezelfde beveiligingssoftware had als de UU om de aanval af te vangen, durft Verkolf niet te zeggen. Raoul Vernède, chief information security officer van de UU, kan wel vertellen dat het systeem van de UU gesegmenteerd is, wat betekent dat het IT-landschap op zo’n manier opgebouwd is dat wanneer er één stukje ‘corrupt’ is, nog niet direct het hele systeem platligt. Daarnaast maakt de UU ook offline back-ups, wat voor een extra vangnet zorgt.

Na de aanval op Maastricht moesten alle beheerders van de UU wel direct hun wachtwoorden wijzigen, voor de zekerheid. Ze werden met kerst gewoon thuis gebeld. “Eentje heeft dat zelfs vanuit Peru gedaan”, lacht Verkolf. De dagen erna volgde een tijd van verhoogde bewaking. Met een team van acht man is Verkolf bezig geweest. Ook ontvingen ze van Maastricht een noodoproep voor hun studenten: “We hebben voor de studenten van Maastricht een noodvoorziening gemaakt waardoor ze alsnog in de online bibliotheek konden, want er was een aantal studenten wiens afstuderen in gevaar kwam.”

Spray

Dat de aanval rond kerstmis kwam, vindt het duo niet vreemd. “Het is bekend dat hackers rond vakantieperioden en feestdagen toeslaan, omdat ze denken dat er dan wat minder opgelet wordt”, vertelt Vernède. Maar waren universiteiten dan specifiek het doelwit, als ook de UU de aanval binnengekregen heeft? “Dat niet. Ransomware wordt in een willekeurige, geautomatiseerde spray de wereld ingegooid, en dan wordt er gekeken wie er ontvankelijk voor is. Dat had net zo goed een bank kunnen zijn. Waarschijnlijk hebben nog honderd bedrijven in Nederland deze aanval gehad”, aldus Verkolf.

Door de open cultuur zijn universiteiten wel een relatief aantrekkelijk doelwit. “Als universiteit ben je kwetsbaarder omdat je erop gericht bent kennis en informatie te delen en samen te werken. Dat is bij banken en bedrijven wel anders.” Eigenlijk is de stelregel; hoe geslotener je bent, hoe veiliger. Zo is helemaal geen internetverbinding hebben dus ontzettend veilig.

Hebben universiteiten ook iets specifieks wat mensen graag willen hebben? “Voor ransomcriminelen niet echt. Je moet onderscheid maken tussen ransomaanvallen van criminelen die op geld uit zijn, en aanvallen van mensen die kennis en onderzoeksresultaten willen stelen; de spionnen. Die aanvallen zijn vaak wel gericht op universiteiten, ziekenhuizen of overheidsinstellingen.”

Losgeld

Hoe moet je die ransomware, het gijzelen van data, eigenlijk voor je zien? Een blauw scherm met een pop-up en daarin ‘we hebben je documenten, klik hier voor een iDEAL-betaling’? Verkolf lacht: “Zoiets. Alleen dan in Bitcoins, anders kan het getraceerd worden natuurlijk. Je krijgt een mooie Engelse tekst op je scherm dat je systemen overgenomen zijn, dat ze versleuteld zijn en dat je mag betalen om ze terug te krijgen. En dat dat binnen een bepaalde tijd moet gebeuren, omdat ze anders de data wissen, de gijzeling in stand houden, of alles publiceren, bijvoorbeeld.”

Het landelijk advies, onder andere van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), is: betaal niet.

In Maastricht zou er daadwerkelijk losgeld betaald zijn aan de, vermoedelijk Russische, criminelen. Is daar bij de UU beleid over? “Het landelijk advies, onder andere van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), is: betaal niet.” Dat advies komt ook uit de ‘brandoefening’ die Surf met een aantal universiteiten, waaronder Utrecht en Maastricht, deed. Verkolf: “Maar als je níets meer zou hebben, wanneer je jaren aan onderzoek kwijt zou zijn, en je alles al geprobeerd hebt… Tja, dan weet ik niet hoelang je dat beleid blijft volgen.”

Bij de UU is alleen op kleine schaal data gegijzeld. Dat was twee jaar terug, toen zulke ransomware net gebruikt werd. Verkolf: “Op werkplekniveau hebben we toen een aantal incidenten gehad, van gebruikers die bijvoorbeeld op een verkeerde link hadden geklikt. Toen hebben we gewoon het systeem gewist, een back-up teruggezet en geen Bitcoins betaald.”

Verder zien de digitale poortwachters dagelijks wel pogingen van malware (kwaadaardige software) of ransom-achtige toestanden in hun monitor terug. Een fractie van de gevaarlijke ‘phishingmails’ komt uiteindelijk in de mailboxen van medewerkers en studenten terecht, wanneer ze niet opgemerkt worden door het systeem. Hoeveel dat er precies zijn, is moeilijk te zeggen, omdat juist die mails onopgemerkt zijn. Verdachte mails kunnen door medewerkers en studenten wel gemeld worden bij het Computer Emergency Response Team (Cert). “Die meldingen pieken af en toe. Dat verschilt van tien tot honderdvijftig meldingen in een week.”

Phishing

Een tijd terug zijn campagneposters gericht op cybersecurity over de hele campus verspreid. Eén daarvan is een poster met een grapje over ‘fishing’.

“We hameren vooral op awareness voor phishing; want je kunt je schil nog zo dik maken, maar als iemand de achterdeur openzet heeft dat geen zin”, vertelt Verkolf. Dat is het geval bij phishing, waarbij iemand zijn username en password afstaat aan een derde partij. Wanneer dat gebeurt, kan iemand in je systeem en kunnen ze bijvoorbeeld je documenten gijzelen. Dat kun je vaak weer oplossen door goede back-ups te hebben, maar dat kost wel veel tijd. En je kunt alsnog een bepaalde hoeveelheid data verliezen. Wat de potentiële schade is, ligt bovendien aan het type phishing.

Als voorbeeld noemt Verkolf zogenaamde CEO-fraude. Door middel van phishing wordt in eerste instantie informatie buitgemaakt over een organisatie; bijvoorbeeld waar de financiële afdeling zit, hoe de baas van het bedrijf heet en wat zijn/haar mailgegevens zijn. Vervolgens wordt er vanuit de mailbox van de directeur een opdracht gegeven om een betaling uit te voeren. Bioscoop Pathé is op deze manier in 2018 nog 19 miljoen euro kwijtgeraakt.

In een landelijke populatie trapt zo’n 15 procent in zo’n phishingmail, vertellen Verkolf en Vernède. Als ze iedereen een aantal tips mee mogen geven, dan raden ze aan om altijd software-updates uit te voeren, betrouwbare back-ups van de UU te gebruiken, geen illegale software te downloaden en verdachte e-mails altijd te melden bij het Cert, via cert@uu.nl.

Wake-up call

Naar aanleiding van ‘Maastricht’ nam Pieter-Jaap Aalbersberg (NCTV) het woord ‘wake-up call’ in de mond. Op NPO Radio 1 zei hij: “Dit moet een wake-up call zijn voor alle hogescholen en universiteiten. Je moet goede back-ups hebben, systemen goed scheiden en zorgen voor de juiste updates, dan ben je niet kwetsbaar.”

Was die wake-up call echt nodig? “Nee”, meent Verkolf: “Eind vorig jaar zijn wij al gestart met het verbeteren van onze cybersecurity. Het College van Bestuur heeft in november alle risico’s al onderkend. We starten nu een driejarig programma om nog verder te komen met de beveiliging; daar is tijd en geld voor vrijgemaakt.” Saillant detail: Surf meldde in 2018 nog dat er relatief weinig geld wordt vrijgemaakt voor cybersecurity door universiteiten.

Medewerkers en studenten merken de komende tijd al iets van die extra beveiliging. Binnen afzienbare tijd moeten zij bijvoorbeeld met twee-factor-authenticatie inloggen met hun Solis-id, bijvoorbeeld met een code via sms of een speciale app. Deze maand gaat de afdeling ITS (Information and Technology Services) zelf al over op het systeem: “Zo kunnen we de kinderziektes er direct uithalen. Daarna wordt het systeem gefaseerd over de hele universiteit uitgerold.”

Advertentie