‘Je kan nooit helemaal immuun zijn voor een cyberaanval’

| Rense Kuipers

Met de hack op de leverancier van Canvas moest de UT acuut een cybercrisis oplossen. Hoe goed voorbereid is de universiteit, mocht het opnieuw – of desastreuzer – raak zijn? Chief Information Security Officer Henk Swaters legt uit hoe de UT risicogestuurd werkt, terwijl de cyberdreiging steeds groter wordt.

Photo by: Gijs van Ouwerkerk
Archief U-Today, ter illustratie.

Hij zou eigenlijk een weekje vrij zijn. Na de hack op Instructure, het bedrijf achter onderwijssysteem Canvas, ging dat niet door. ‘Bij een groot cyberincident hoor je er gewoon te staan’, zegt Henk Swaters, de Chief Information Security Officer bij ICT-dienst LISA. Uiteindelijk blokkeerde de UT zelfs toegang tot Canvas, nadat duidelijk werd dat Canvas opnieuw was gekraakt.

‘Ook al viel de impact relatief mee, het was niet heel prettig’, zegt Swaters met enig gevoel voor understatement. ‘We hebben de mogelijkheid om snel in te grijpen als de situatie daarom vraagt. Bij een incident doorlopen we wel vaste stappen. Eerst beoordelen we de impact, daarna nemen we maatregelen om verdere schade te voorkomen. Vervolgens werken we aan herstel en communicatie.’

Helemaal veilig of veilig genoeg?

De afloop is welbekend: Instructure sloot een deal met de hackers, Canvas is weer in de lucht voor studenten en medewerkers. Toch zitten Swaters en collega’s nog middenin de nasleep. ‘Met niet alleen technici, maar ook privacy officers en juristen. Er zit namelijk niet alleen technische, maar ook juridische en privacyaspecten aan zo’n situatie. We volgen de vereiste procedures.’

'De betere vraag is: is het veilig genoeg? We wegen het belang van onderwijsprocessen en studenten mee'

En dan hangt nog de vraag in de lucht: is de software weer veilig om te gebruiken? ‘Die vraag kreeg ik veel, toen we het kortste pad zochten om Canvas weer te openen’, zegt Swaters. ‘Eigenlijk was het de verkeerde vraag. De betere vraag is: is het veilig genoeg? We kijken daarbij onder andere naar impact op onderwijs en onderzoek, mogelijke risico’s voor data, de betrouwbaarheid van de leverancier en uiteraard eigen onderzoek. En dat kan enkele dagen, weken of langer duren. Zo lang konden we Canvas niet uit de lucht houden. Dus ook het belang van onderwijsprocessen en studenten wegen we mee.’

Preventie en schade beperken

Die conclusie raakt aan de kern van het werk van Swaters en de rest van het team dat zich richt op de cyberveiligheid van de universiteit: risicogestuurd werken. ‘Dat zit voor een deel aan de preventiekant. Bijvoorbeeld ervoor zorgen dat we onze oude data goed opruimen. En als er een aanval komt en een hacker komt in onze systemen, hoe zorg je dat ze bij zo min mogelijk informatie kunnen?’, legt Swaters uit. En bij een externe partner zoals de leverancier van Canvas komt er ook wat bij kijken. ‘Bij de keuze voor leveranciers kijken we nadrukkelijk naar beveiliging, continuïteit en transparantie. Die eisen wegen zwaar mee in zowel selectie als samenwerking.’

Als een hacker eenmaal een succesvolle cyberaanval uitvoert op de UT, zoals de afgelopen jaren de universiteiten van Maastricht en Eindhoven overkwam? ‘Dan is het zaak om de schade zoveel mogelijk te mitigeren. We hebben een team dat zich continu richt op monitoring en respons, er ligt een bedrijfscontinuïteitsplan en een crisisplan klaar. In een crisissituatie schalen we op naar een bredere organisatie, met zowel een decentraal als centraal crisisteam. Daarin zitten ook de directies van betrokken diensten, communicatiespecialisten en het college van bestuur, zodat we snel en afgestemd kunnen handelen.’

'Niemand wil patient zero zijn, maar het kan gebeuren dat iemand slachtoffer wordt van een aanval en dat dit de hele universiteit raakt'

Swaters noemt cyberveiligheid niet alleen een ICT-aangelegenheid, maar een organisatiebrede verantwoordelijkheid. ‘We werken hierbij intensief samen met andere universiteiten en de sector, waaronder SURF, zodat we snel leren van incidenten en waar nodig gezamenlijk optreden. Dat gebeurde ook in het geval van Canvas.’

Patient zero

En dan is er nog de menselijke factor: met pak ‘m beet vierduizend medewerkers en twaalfduizend studenten is het niet de vraag óf een verkeerde link wordt aangeklikt, maar hoe vaak. ‘Aanvallen op accounts komen dagelijks voor en grote phisings zien we meerdere keren per dag. We ondersteunen medewerkers en studenten actief bij incidenten, bijvoorbeeld door accounts te beveiligen en direct begeleiding te bieden, zodat problemen snel worden opgelost en verdere risico’s worden beperkt’, zegt Swaters. ‘Niemand wil patient zero zijn, maar het kan gebeuren dat iemand slachtoffer wordt van een aanval en dat dit de hele universiteit raakt. We moeten daarom niet alleen de schade beperken, maar ook de mensen ondersteunen.’

Zo scherpte ICT-dienst LISA de afgelopen jaren op tal van manieren de cyberbeveiliging aan, met aangescherpte e-mailfilters, AI-bots die van Teams geweerd worden en onder andere de verplichte cyberveiligheidstraining en uiteraard de inmiddels alom vertegenwoordigde multifactorauthenticatie bij het inloggen in UT-systemen. Irritant, hinderlijk, tijdrovend? Die stempels wil Swaters het niet geven. ‘Nee, ik denk dat cyberveiligheid bij iedereen hoog op de agenda staat. Meer dan 90 procent van de UT-medewerkers heeft de awarenesstraining afgerond. Dat is best hoog.’

Geen losgeld betalen

Want alertheid blijft geboden. Recentelijk waren het Canvas en telecomprovider Odido. In het laatste geval bleef het bij zakelijke abonnementsgegevens van enkele UT’ers – en wie een particulier contract had bij Odido zag ook zijn gegevens op straat belanden. Swaters sluit niet uit dat er meerdere externe leveranciers volgen. ‘Bovendien is het op dit moment nog maar de vraag of Shinyhunters, de groep achter de hack van Instructure, niet alsnog plannen heeft met de gestolen data. Het zijn cybercriminelen, ik vertrouw ze niet.’

'Binnen de sector is het uitgangspunt dat we geen losgeld betalen'

Dan de vraag: moet de UT wel zo afhankelijk zijn van een externe partner voor zo’n cruciaal systeem als een elektronische leeromgeving, de plek voor al het lesmateriaal, opdrachten en cijfers? ‘Mensen zeggen na zo’n hack dat dit inderdaad het nadeel is van werken met Software as a Service, dat we het niet in eigen beheer hebben. Maar als je het omdraait: stel dat eenzelfde systeem in eigen beheer gehackt zou zijn, wat dan? Binnen de sector is het uitgangspunt dat we geen losgeld betalen. De focus ligt op herstel, samenwerking en het beperken van schade. Een bedrijf als Instructure had daar andere mogelijkheden voor.’

AI vergroot risico’s

Bovendien ziet Swaters de cyberdreiging alleen maar toenemen, juist vanwege technologische ontwikkelingen zoals AI. ‘De risico’s worden groter en ontwikkelingen gaan sneller. De kans dat cybercriminelen misbruik maken van een zero-day, een kwetsbaarheid die nog niet ontdekt is door de ontwikkelaar, is daardoor des te groter. Tegelijkertijd investeren we continu in preventie en het versterken van onze detectie- en responscapaciteit. Dat betekent ook dat we soms preventieve maatregelen moeten nemen, zoals het doorvoeren van updates of het tijdelijk beperken van functionaliteit. Dat kan merkbaar zijn voor medewerkers en studenten, maar helpt om risico’s te verkleinen.’

Want een universiteit is en blijft een gewild doelwit voor hackers. ‘We moeten daarom goed voorbereid zijn, want je kan nooit helemaal immuun zijn voor een aanval’, zegt Swaters. ‘Waar we bij de hack op Canvas konden spreken van een kleine crisis, moeten we ons klaarstomen voor een situatie dat dit soort gevallen geen crisis meer zijn, maar business as usual.’

Recommended

  • EN
  • NL

UT-gemeenschap trapt massaal in phishingmail

Studenten en medewerkers trapten afgelopen week massaal in een overtuigend uitziende phishingmail. Die werd verstuurd door de dienst LISA, om de ‘cyberbewustheid’ op de UT te meten. Een kwart van de studenten en 29 procent van de medewerkers klikte op de link in de mail.
  • EN
  • NL

UT community falls massively for phishing email

Students and staff fell for a convincing-looking phishing email in droves last week. It was sent by the LISA service department to measure 'cyber awareness' at the UT. A quarter of students and 29 per cent of employees clicked on the link in the mail.
  • EN
  • NL

Canvas nog zeker week offline

De UT houdt het gehackte onderwijsplatform Canvas uit voorzorg tot zeker maandag 18 mei offline. Die tijd is nodig om het platform weer veilig beschikbaar te maken. Dat laat communicatieadviseur Jochem Vreeman weten.
  • EN
  • NL

Canvas offline for at least another week

As a precaution, UT will keep the hacked educational platform Canvas offline until at least Monday 18 May. The university says that time is needed to make the platform safely available again. Communications advisor Jochem Vreeman confirmed this.
  • EN
  • NL

Tijd om voor Hora Finita, UT switcht naar Doctorate

Zo’n 1800 promovendi en hun promotoren krijgen vanaf januari met een nieuw volgsysteem te maken: Doctorate. LISA-directeur Mert Alberts en hoofd van de Twente Graduate School Ariana Need leggen uit waarom de UT afscheid neemt van Hora Finita.
  • EN
  • NL

Time is up for Hora Finita, UT switches to Doctorate

Around 1,800 PhD candidates and their supervisors will be working with a new tracking system from January onwards: Doctorate. LISA director Mert Alberts and dean of the Twente Graduate School Ariana Need explain why UT is saying farewell to Hora Finita.
  • EN
  • NL

‘Af van big tech? Dat kunnen we als UT niet alleen’

Universiteiten moeten minder afhankelijk zijn van technologiereuzen, de zogeheten ‘big tech’, zo klinkt het steeds luider. Volgens LISA-directeur Mert Alberts gaat de UT mee in die beweging, maar niet door het wiel zelf uit proberen te vinden. ‘We moeten de continuïteit van de UT waarborgen.’
  • EN
  • NL

‘Breaking free from big tech? UT can’t do it alone’

Universities should reduce their dependence on tech giants, the so-called ‘big tech’ – that call is growing louder. According to LISA director Mert Alberts, UT is joining that movement, but not by reinventing the wheel. ‘We need to safeguard UT’s continuity.’

Stay tuned

Sign up for our weekly newsletter.