Fake cyberaanval: boze studenten leggen het onderwijs plat

Voor de vijfde keer bedacht ict-organisatie SURF een landelijke oefening rond cyberveiligheid: wat doen onderwijsinstellingen en het ministerie van OCW bij een landelijke aanval op de systemen? Vorige week deden zo’n tweeduizend medewerkers van negentig verschillende instellingen mee. Ook in Utrecht was het ‘crisis’.

Ondenkbaar is zo’n crisis niet: afgelopen januari moest de TU Eindhoven nog een gevaarlijke aanval afslaan. De meest geruchtmakende hack vond vijf jaar geleden bij de Universiteit Maastricht plaats, waar gijzelsoftware de systemen en bestanden op slot deed. 

Protest
Het verhaal van deze oefendagen: een vreedzaam studentenprotest neemt een grimmige wending als een kleine splintergroepering van hackers de systemen in het mbo en hoger onderwijs platlegt uit woede om de bezuinigingen. 

Maar hoe doen ze het? Bij het ondertekenen van een petitie downloaden mensen per ongeluk malware waardoor hun computers en telefoons onbewust meedoen aan een ddos-aanval, staat in het scenario.

De UU was een van de instellingen die meewerkte. Tachtig medewerkers van faculteit Sociale Wetenschappen, de universitaire juridische, communicatie, hr- en ict-diensten, en de universiteitsraad waren hierbij betrokken. 

'Hard werken'
“Het was even hard werken”, zegt Tom Hoven. Hij is woordvoerder van SURF en deed mee aan de landelijke oefening. Hij wist dus ook van niets toen het begon. “Dat scenario wordt in zes uur gepropt, dus we moesten snel schakelen. Maar het was heel leerzaam. Je ziet op zo’n dag hoe de lijnen lopen en waar de gaten vallen. Het is goed om zoiets met de hele sector te doen.” 

Het blijkt bijvoorbeeld handig om elkaar vooraf al te kennen, zegt hij. “Dan hoef je niet op nul te beginnen met een voorstelrondje. Dat helpt echt.”

Is het realistisch dat uitgerekend studenten de vijand blijken, in plaats van pakweg Russen of Noord-Koreanen? “Het scenario is altijd expres een beetje overtrokken”, zegt Hoven, “maar de crisis zelf is realistisch genoeg.”

Lokale protesten
In het kantoor van SURF zat het crisisteam bij elkaar. De instellingen deden op hun eigen locatie mee en kregen soms eigen problemen voorgeschoteld. “Zij moesten bijvoorbeeld met lokale protesten omgaan”, zegt Hoven. “Dat hadden wij bij SURF niet.”

Studenten speelden voor journalisten met lastige vragen. De Vereniging Hogescholen en universiteitenvereniging UNL oefenden ook, maar niet samen: het hbo en wo hadden ieder hun eigen oefendag. Het ministerie van OCW deed een andere dag mee, samen met de mbo-instellingen. 

De medewerkers moesten bijvoorbeeld technisch informatie uitwisselen: wat zijn de ‘vingerafdrukken’ van de hackersaanval en hoe kun je die onschadelijk maken? Wie moet deze informatie krijgen?

Wijze lessen
Hoven weet nog niet wat de wijze lessen van deze oefening zullen zijn, maar zelf vond hij het nuttig om de structuur van de crisisvergaderingen mee te maken. “Zo’n overleg moet zo puntig mogelijk, want in een crisis kun je niet anderhalf uur met elkaar praten. Het was heel waardevol om dit een keer te oefenen. Bij het derde crisisoverleg merk je al dat het een stuk sneller gaat.”

SURF gaat de gang van zaken evalueren en de lessen delen. Met de uitkomst van eerdere oefeningen is dat ook gebeurd.