Cyberaanval zet hoger onderwijs op scherp

Universiteiten en hogescholen zijn geschrokken van de heftige cyberaanval op de Universiteit Maastricht. Ze waarschuwen studenten en medewerkers en checken hun eigen beveiliging. Maar totale veiligheid bestaat niet.

In de kerstvakantie lagen de systemen van de Universiteit Maastricht plat door gijzelsoftware. Hackers eisten losgeld, anders konden allerlei bestanden voorgoed verloren gaan. Dat geld zou daadwerkelijk betaald zijn.

Het was een ongekend grote cyberaanval op het Nederlandse hoger onderwijs. Er leven veel vragen, merkt voorzitter Wim Biemolt van SURFcert, een tak van de ict-samenwerkingsorganisatie SURF. Zijn afdeling is, zoals hij het zelf noemt, het incident response team.

Wat vragen de instellingen allemaal?

‘Ze willen weten wat er in Maastricht is gebeurd en hoe ze kunnen voorkomen dat het hun ook overkomt.’

Hoe kunnen ze dat voorkomen?

‘We hebben een factsheet gemaakt waarmee instellingen kunnen checken of ze kwetsbaar zijn. We geven ook algemene adviezen. Zorg dat je goede back-ups hebt, is een van de tips. Let ook op netwerksegmentatie: als alle computers met elkaar kunnen ‘praten’, kan kwaadaardige software in een mum van tijd het hele netwerk infecteren.

Voor toegang tot het netwerk zou een wachtwoord niet genoeg moeten zijn. Instellingen kunnen beter ook een tweede stap eisen, zoals een sms-verificatie via de mobiele telefoon. Dan voorkom je dat een hacker met een gestolen wachtwoord overal binnen kan komen.’

Kunnen jullie iets doen om zulke aanvallen te voorkomen?

‘Wij analyseren ons netwerk en kijken of de Maastrichtse problemen ook bij andere instellingen spelen. Dan kunnen we waarschuwen. We hebben nog niets aangetroffen, maar dat zegt niet altijd iets. De hackers kunnen van tactiek veranderen.’

Doen de instellingen zelf genoeg?

‘Dat is een lastige vraag. Er zullen vast instellingen zijn waarvan je denkt: die kunnen wel wat meer doen. Terwijl andere alles op orde hebben. Maar je kunt gewoon pech hebben en het slachtoffer worden. Als hackers al een poosje binnen zijn, dan kunnen ze ook je back-ups aantasten.’

Is SURF zelf weleens aangevallen?

‘Wij hebben een keer last van CEO-fraude gehad. Dan doet iemand alsof hij de baas is en vraagt of je een bepaald bedrag naar een bepaalde rekening wilt overmaken. Wij zijn er gelukkig niet ingetrapt, maar het kan zomaar gebeuren. Als je heel gericht een mail stuurt, kun je mensen makkelijker overtuigen dat het allemaal echt is. Een bioscoop heeft er niet zo lang geleden veel geld mee verloren.’

Wat kunnen medewerkers en studenten doen?

‘Niet zomaar ergens op klikken, is een van de gouden regels. We hebben een campagnewebsite: cybersave yourself. Daar kun je ook een game spelen en allerlei tips lezen.’

Weten jullie precies wat er in Maastricht is gebeurd?

‘Nee, want Maastricht is tijdens het incident terughoudender geworden met het delen van informatie. Dat vind ik jammer, want met goede informatie kunnen we andere instellingen beter helpen. Maar dat sommige informatie vertrouwelijk van aard is, begrijpen wij ook wel.’

 

Gijzelsoftware al jaren een gevaar

Leergeld

Een woordvoerder van Maastricht laat weten dat de collega’s van andere universiteiten meteen zijn gewaarschuwd. Over een paar weken komt er een onderzoeksrapport met de lering die uit deze gijzeling getrokken kan worden.

Nu al moeten Maastrichtse studenten en medewerkers hun wachtwoorden resetten en is er voor een hoger beveiligingsniveau gekozen. Ook komen er veiliger systemen. Op de website houdt de universiteit iedereen op de hoogte van de voortgang.

In het verleden heeft SURF twee keer met allerlei onderwijsinstellingen tegelijk een digitale ‘brandweeroefening’ gehouden. De laatste keer was het scenario een zogenaamde aanval met gijzelsoftware, vergelijkbaar met wat er nu in Maastricht is gebeurd. Maastricht was een van de deelnemers.

Terrorisme

Gijzelsoftware is al jaren een gevaar. Er waren al eerder gevallen van gijzelsoftware in het hoger onderwijs. Gisteren zei de Nationaal Coördinator Terrorismebestrijding op NPO Radio 1 dat de aanval in Maastricht voor iedereen een wake-up-call moet zijn. ‘Zorg ook dat thuis je updates en online veiligheid in orde zijn’, zei hij. ‘Veiligheid is ook een taak van de burger.’

Veel onderwijsinstellingen laten weten dat ze hun systemen hebben gecheckt en hun medewerkers en studenten hebben geïnformeerd. ‘Daarbij wordt voortdurend afgewogen hoe het open karakter van de universiteit zich verhoudt tot een goede bescherming tegen cybercriminelen’, zegt de woordvoerder van de Rijksuniversiteit Groningen.

Andere instellingen wijzen erop dat er altijd iets kan gebeuren. Zo zegt de Haagse Hogeschool: ‘Het blijft bij (digitale) veiligheid altijd zoeken naar evenwicht tussen het beveiligen van dat wat kwetsbaar is en dat wat reëel haalbaar is. 100% veiligheid bestaat niet.’

Phishing

Hogeschool Avans noemt het van belang om steeds meer alertheid te creëren. ‘Dat doen we bijvoorbeeld door phisingtests uit te voeren’, zegt een woordvoerder. Docenten en medewerkers krijgen dan een phishingmail om te kijken of ze zomaar op verdachte linkjes klikken.

Veel instellingen waren al met het thema bezig. Zo besloot de Universiteit Utrecht eind 2019 nog om het security-programma te intensiveren. De Vrije Universiteit heeft zelfs geen extra maatregelen hoeven nemen, schrijft universiteitsblad Advalvas.

Stay tuned

Sign up for our weekly newsletter.