News

‘Wij moeten minstens zo slim zijn als cybercriminelen’

| Rense Kuipers

De cyberaanval op de Universiteit van Maastricht leidde niet tot paniek op de UT, maar zorgde wel voor extra oplettendheid. ‘De kans dat zo’n aanval ons ook overkomt is er altijd. Het enige wat je kunt doen is de kans en impact zo klein mogelijk maken’, zegt securitymanager Peter Peters.

Per kwartaal houdt het cyberveiligheidsysteem van de UT 2 miljoen spam- of phishingmails tegen. Dit is pak ‘m beet 40 procent van al het binnenkomende e-mailverkeer. In een andere grafiek toont LISA-securitymanager Peters het aantal geregistreerde cyberaanvallen van de laatste jaren, met een opmerkelijke piek in het vierde kwartaal van 2018. ‘Het gaat bij vlagen, want hackers nemen doorgaans wat voorbereidingstijd. Toch, het aantal mailtjes dat door ons net heen glipt, valt relatief gezien reuze mee’, aldus Peters.

Huis-tuin-en-keukenhacker

Met wat er toch doorheen glipt, is het in meer of mindere mate oppassen. Vorige week woensdag stuurde de UT bijvoorbeeld een interne mail rond, om in de nasleep van het incident in Maastricht haar eigen medewerkers te waarschuwen en informeren. De dag erna waagde een ogenschijnlijke huis-tuin-en-keukenhacker een doorzichtige phishingpoging (zie hieronder).

Gevaarlijker wordt het bijvoorbeeld als hackers gaan ‘spearphishen’. ‘Daarbij richten ze zich niet op een gehele organisatie, maar op één of enkele personen en doen ze extra moeite om het zo geloofwaardig mogelijk te maken’, legt Peters uit. ‘Het is vorig jaar meerdere malen voorgekomen dat iemand zich vrij overtuigend voordeed als decaan en probeerde geld buit te maken van afdelingshoofden. Tevergeefs, gelukkig.’

Achtergrond: wat gebeurde in maastricht

De impact van de cyberaanval bij de Universiteit van Maastricht was enorm. Nadat een medewerker op een linkje van een phishingmail klikte, drongen cybercriminelen stapje voor stapje verder door in het netwerk van de Limburgse universiteit. Vlak voor kerst zetten ze een totale ransomware-aanval in. Het gevolg: systemen met onderzoeksgegevens, financiële informatie, mailsystemen en het intranet lagen er tot na de jaarwisseling uit. Uiteindelijk betaalde de Universiteit Maastricht 197 duizend euro aan de hackers.

Extra maatregelen

De crisis in Maastricht was volgens Peters niet meteen reden tot paniek in Twente. Extra oplettendheid was er wel. ‘Toen het net speelde, kregen we vooral informatie op directieniveau en via onze landelijke samenwerking SURFcert. Veel was gebaseerd op aannames, maar die leg je toch meteen tegen de situatie hier. En de aannames bleken later grotendeels ook te kloppen.’

Extra maatregelen trof de UT wel sinds januari. ‘Een aanvaller komt ergens binnen en probeert vervolgens door het netwerk heen belangrijke servers te benaderen’, schetst Peters. ‘We hebben meteen maatregelen genomen om die laterale beweging moeilijker te maken. Dat is eigenlijk een continu proces. Net als dat we aan de preventiekant bijvoorbeeld ook studenten en cyberveiligheidbedrijven vragen om ons eigen systeem ‘aan te vallen’ om eventuele kwetsbaarheden in de beveiliging op te sporen. Daarnaast hebben we een zogeheten responsible disclosure-beleid.’

Slimmer zijn

Bij de interne cyberbeveiligingsorganisatie van LISA zijn er drie mensen die op tactisch niveau werken en acht medewerkers die in weekdienst, ook ‘s avonds, de operationele werkzaamheden op zich nemen. Op landelijk niveau werkt de afdeling veel samen met andere instellingen in het hoger onderwijs en met ICT-organisatie SURF.

Alles draait erom de cybercriminelen een stap voor te zijn. ‘Ze worden steeds slimmer, dus moeten wij minstens zo slim zijn’, stelt Peters, die sinds 1991 op de UT werkt. Hij zag sindsdien de wereld van cybercriminaliteit zich ontwikkelen van irritante spammailtjes tot mal- en ransomware, die bedrijven en universiteiten plat weten te leggen.

Ongeluk in een klein hoekje

Daarbij zegt hij dat de diversiteit en complexiteit van een universitaire omgeving extra uitdagingen met zich meebrengen. Ook de gebruikers hebben daarin een belangrijke taak. ‘Als je een melding krijgt van een beveiligingsupdate, moet je die zo snel mogelijk, maar uiterlijk binnen één of twee dagen doorvoeren. Anders loop je niet alleen zelf risico, maar breng je de overige systemen in ons netwerk ook in gevaar.’

Best logisch en een kleine moeite, toch? ‘Dat zou je denken, maar toch. Je hebt mensen die hun computer dagenlang aan laten staan of vrij achteloos omgaan met e-mails. Ik vergelijk zulk gedrag met appen tijdens het autorijden. Het is verboden, maar iedereen bagatelliseert het. Datzelfde gedrag zie je bij het klikken op hyperlinks. Daarom werken wij ook veel aan het verhogen van awareness.

Ondanks de maatregelen, bewustzijnscampagnes en een stevige interne cyberveiligheidsorganisatie, blijft Peters erbij dat een security-incident – en mogelijk desastreuze gevolgen – nooit uit te sluiten zijn. Wat de UT in eenzelfde situatie als Maastricht zou doen, ook losgeld betalen? Dat valt voor Peters nu moeilijk te zeggen. ‘En de focus moet hier ook niet op liggen. We hebben nu te maken met een maatschappelijk probleem waar we gezamenlijk een oplossing voor moeten vinden.’

Recommended

  • EN
  • NL

UT’ers krijgen online les in cyberveiligheid

Vanwege ‘constante en reële dreiging’ van cybercriminelen, komt ICT-dienst LISA met een online leeromgeving over cybersecurity voor studenten en -medewerkers. Het doel is tweeledig: de dienst hoopt zowel de individuele UT’er als de gehele organisatie beter te wapenen tegen aanvallen.
  • EN
  • NL

UT community receives online lessons in cyber security

Due to the 'constant and real threat' from cybercriminals, ICT service department LISA is launching an online learning environment on cyber security for students and staff. The aim is twofold: the department hopes to better arm both the individual UT employee and the entire organisation against attacks.
  • EN
  • NL

UT-gemeenschap trapt massaal in phishingmail

Studenten en medewerkers trapten afgelopen week massaal in een overtuigend uitziende phishingmail. Die werd verstuurd door de dienst LISA, om de ‘cyberbewustheid’ op de UT te meten. Een kwart van de studenten en 29 procent van de medewerkers klikte op de link in de mail.
  • EN
  • NL

UT community falls massively for phishing email

Students and staff fell for a convincing-looking phishing email in droves last week. It was sent by the LISA service department to measure 'cyber awareness' at the UT. A quarter of students and 29 per cent of employees clicked on the link in the mail.
  • EN
  • NL

De familie van UT-medewerker Ömer slaapt al dagen in auto’s

Het grootste deel van de familie van Ömer Akdogan bevindt zich in het aardbevingsgebied in Turkije. De teamleider bij LISA is blij dat niemand van hen gewond is geraakt, maar maakt zich desondanks grote zorgen. ‘Ik probeer zo min mogelijk naar het nieuws te kijken.’ In plaats daarvan haalde hij samen met TSA Twente deze week geld op.
  • EN
  • NL

The family of UT employee Ömer has been sleeping in cars for days

The majority of Ömer Akdogan’s family resides in the earthquake zone in Turkey. The team leader at LISA is happy that none of them were injured, but nevertheless, he is worried. ‘I try to watch as little news as possible’. Instead, he raised money last week in collaboration with TSA Twente.
  • EN
  • NL

Instellingen wapenen zich tegen cybercriminelen

Onderwijs- en kennisinstellingen werken aan hun digitale veiligheid. Ze delen informatie, houden oefeningen en sluiten zich aan bij een nieuw beveiligingscentrum, tot tevredenheid van demissionair minister Van Engelshoven.
  • EN
  • NL

Institutions arming themselves against cyber attacks

Educational and research institutions are hard at work tightening up their digital security. They are sharing information, holding practise exercises and joining a new security centre — to the satisfaction of outgoing Minister Van Engelshoven.

Stay tuned

Sign up for our weekly newsletter.