Oefening: boze hacker valt hoger onderwijs aan

Met behulp van gijzelsoftware probeert de nep-hacker onderwijsinstellingen geld te ontfutselen. Foto: Pixabay

De hacker is boos. “Netneutraliteit en academische vrijheid staan op de tocht!”, fulmineert hij op zijn hackerswebsite. Hij heeft van gifgroene leestekens een doodshoofd gemaakt en schrijft daarnaast waarom hij de computers heeft geïnfecteerd met gijzelsoftware. En hoe de slachtoffers moeten betalen.

Het is een oefening, dus de bestanden zijn niet echt versleuteld. Wel is er dankzij ‘mollen’ in de deelnemende organisaties daadwerkelijk software geïnstalleerd die de bestanden op de harde schijf telt. Zo kunnen de instellingen zien welke bestanden er al besmet zouden zijn.

Bijna alle universiteiten en meer dan twintig hogescholen doen mee aan de oefening van SURFnet, de ict-stichting van het onderwijs. Ook academische ziekenhuizen en onderzoeksinstellingen worden ‘aangevallen’.

Eén lijn
Twee jaar geleden hield SURFnet een vergelijkbare oefening, met ongeveer 25 deelnemers. Het was heel leerzaam, vertelt woordvoerder Eric van der List. Deze keer wisten de deelnemers elkaar sneller te vinden, zodat ze samen één lijn konden trekken.

En die lijn is: we gaan zeker niet betalen. Het klinkt vanzelfsprekend, maar de hacker begon met een klein bedrag: vijf euro. Wat is nu vijf euro om van de ellende af te zijn? Maar de deelnemers begonnen er niet aan.

Het was een hectische dag. De ict’ers moesten zo snel mogelijk uitzoeken waar de ‘malware’ zich bevond en hoe ze hun netwerk en overige bestanden konden beschermen. De ict’ers van één universiteit zagen vrij snel hoe de vork in de steel zat, zegt Van der List, en ze deelden die informatie meteen met de collega’s elders in het land.

De deelnemers moesten ook bedenken wat ze aan de buitenwereld zouden vertellen. Want de hacker dreigde allerlei gevoelige informatie openbaar te maken. Zo zou de zoon van een beroemdheid zijn afgewezen in een selectieprocedure. Allerlei negatieve opmerkingen over die zoon zouden straks op straat liggen als de instellingen niet betaalden.

Levensecht
In oktober vorig jaar is SURFnet begonnen aan het scenario. Elke instelling had een ‘oefenvoorbereider’ die het scenario op de eigen instelling kon toespitsen, verder wist niemand van de deelnemers wat er precies zou gebeuren. Het moest levensecht zijn.

Deelnemers konden op drie niveaus meedoen. Bij sommige instellingen werden er complete crisisruimtes ingericht en deed het college van bestuur ook mee. Andere hielden het bij een goede oefening voor bijvoorbeeld de ict-dienst en de communicatie. Weer andere instellingen keken voornamelijk toe en hielden de eigen oefening beperkt. Dinsdag wordt duidelijk wat ze ervan hebben geleerd, want dan gaan SURFnet en de deelnemende instellingen napraten.

onzo 2018 screenshot.jpg

Advertentie