Aanvallen met gijzelsoftware, ook wel ransomware, zijn een risico voor de nationale veiligheid, zei de NCTV onlangs. De Universiteit van Maastricht kreeg er in de kerstvakantie van 2019 mee te maken en besloot hun hackers te betalen.
Een worsteling, noemt vice-president Nick Bos van de universiteit het. "Het is heel moeilijk om toe te geven aan cybercriminelen. Maar we vonden uiteindelijk dat we niet anders konden."
Rare dingen
'Er gebeuren rare dingen op het netwerk.' Dat was de boodschap van het telefoontje dat Bos 's avonds in de kerstvakantie kreeg. Onduidelijk was nog wat, maar wel dat het er niet goed uitzag. Het netwerk van de universiteit werd direct afgesloten en geïsoleerd. "We hadden de ernst op dat moment nog niet in de smiezen", vertelt de vice-president.
Stukken van het netwerk waren niet meer toegankelijk en er gebeurden dingen die ze zelf niet stuurden. Maar wat er aan de hand was, bleek al veel eerder gestart dan zich die dag openbaarde. "Medio oktober had via een phishing mail een professionele organisatie toegang tot ons netwerk gekregen", legt Bos uit. Ze waren geruisloos in het netwerk geïnfiltreerd. "Tot ze je met ransomware vast kunnen zetten"
'De werkelijkheid doet echt anders aan'
Programma's en bestanden werkten niet meer. "Studenten en wetenschappers konden niet meer bij hun bestanden", zegt hij. "Een ramp." Toch was van paniek geen sprake. "Wel van ernstige zorg." Het crisismanagementteam werd direct in werking gesteld. "Daar oefenen we op", vertelt hij.
Maar een oefening blijkt 'iets heel anders' dan als het echt gebeurt, schetst de bestuurder. "Dan blijkt hoe diep het in je haarvaten gaat zitten van je organisatie en wat die echte verlamming betekent. Bij een oefening doe je alsof je verlamd bent, maar de werkelijkheid doet toch wel heel anders aan."
Zelf een code maken om te ontsleutelen
Al vrij snel werd duidelijk dat het om gijzelsoftware ging, die de universiteit in zijn greep hield. Diezelfde nacht werd nog een externe partij gecontracteerd om de universiteit bij te staan. De daaropvolgende dagen werden gebruikt om opties te verkennen.
"In eerste aanleg denk je, misschien kunnen we wel zelf een sleutel ontwikkelen om te de-crypten," zegt hij. "Van die droom word je snel af geholpen, dat gaat niet. Daar ben je jaren mee bezig, voor zover het je al lukt." Er werden andere opties afgewogen. "We hebben echt een paar dagen aan fact finding gedaan om te bedenken, hoe gaan we nu verder?"
Klemmende situatie
De universiteit wilde al die tijd nog niet communiceren met de hackers. "We wilden eerst weten in welke situatie we zaten, welke opties we hadden", zegt Bos. Want ergens in het netwerk zat een kaartje met daarop contactinformatie. "Maar die hebben we bewust even ter zijde gelegd omdat we wilden weten waar we aan toe waren".
"En we wilden zelf ook wel ons de tijd geven om er zo verstandig mogelijk mee om te gaan", vertelt hij. "Zover dat kan, want je zit in een klemmende situatie. Je hebt 25.000 studenten en 5000 medewerkers die niet bij hun bestanden kunnen en ernstige achterstanden kunnen oplopen."
Zwichten voor criminelen
De universiteit was zich ervan bewust dat betalen maatschappelijk gezien als niet wenselijk werd beschouwd. "Zwichten voor criminelen en daarmee in zekere zin ook voor de criminaliteit", noemt Bos het. "Dat is echt een hele moeilijke afweging geweest." Het ministerie van Onderwijs, Cultuur en Wetenschap had de universiteit het regeringsstandpunt laten weten: niet betalen.
"We hebben daar kennis van genomen", zegt hij. Want de continuïteit van de organisatie liep gevaar. "Het was al snel duidelijk dat als wij de ransom niet zouden betalen dat we dan waarschijnlijk maanden uit de running zouden zijn", vertelt Bos. "Het leed, het financiële leed maar ook onderzoekers die vertraging oplopen, studenten die vertraging oplopen, zou gigantisch zijn. Dat gaf de doorslag."
Eis: 30 bitcoins
De criminelen eisten 30 bitcoins, ongeveer 200 duizend euro in die tijd. Aan de hackers laten ze weten dat ze ingingen op de eis. "Maar we wilden wel weten of we met de juiste partij te maken hebben", zegt Bos. Ze stuurden drie bestanden die als bewijs ontsleuteld moesten worden. "Dat hadden ze ook heel snel gedaan."
Ook het betalen zelf ging niet zomaar. "Dat moest dus met bitcoins en dat is niet iets waar wij veel ervaring mee hebben als universiteit. Ook daar moesten we in ons laten bijstaan", zegt hij. Vervolgens maakten ze eerst een heel klein bedrag over, zodat ze zeker wisten dat het aan zou komen. Dat lukte. "Toen hebben we het hele bedrag betaald en hebben we de sleutel gekregen om alle bestanden toegankelijk te maken." Voor de universiteit was het belangrijk om voor 5 januari weer in staat waren het onderwijs te verzorgen. "Dat is uiteindelijk ook gelukt".
Video: Pim Takkenberg onderhandelt met cybercriminelen
Geen situatie waar je in wilt zitten
Veel bedrijven treden liever niet naar buiten wanneer zij geraakt worden door een cyberaanval. Bos snapt dat en noemt het ook niet iets om trots op te zijn. "Je voelt je slachtoffer, want je hebt iets niet op orde gehad", vertelt hij. "Het is geen situatie waarin je wilt verkeren".
Hij grijpt even terug naar naar het moment dat de universiteit besloot te betalen. "Dat was een moeilijke stap, maar onze taak is de continuïteit van deze universiteit", vertelt hij. "Maar tegelijkertijd moeten we dan wat terugdoen". De organisatie laat een groot onderzoek doen naar waar het misging. "Zodat anderen er ook lering uit kunnen trekken."
'Het is een soort wedloop'
In een speciaal opgetuigd symposium deelt de universiteit al kort na de hack de resultaten en geleerde lessen. "We zijn kwetsbaar gebleken en we hadden dingen niet op orde." De beveiliging is nu flink opgeschroefd. "Het is een soort van wedloop en je moet zorgen dat je dijken hoog zijn", zegt Bos. "Je zult elk jaar opnieuw moeten kijken of je veilig genoeg bent."
Vraag een externe partij, want die is vaak kritischer, adviseert hij. "Waarschijnlijk zal blijken dat je aanvullende maatregelen moet nemen." Ook voert de universiteit nu een campagne om bewustzijn onder medewerkers en studenten te verhogen. "Een deel houd je buiten", zegt hij. "Maar met alle studenten en medewerkers kun je het nooit helemaal buitensluiten."
'We konden niet anders'
De aanval bleek een 'wake-up call', zeker voor de onderwijssector. De 24-uurs beveiliging die nodig bleek, doet de universiteit nu met andere onderwijsinstellingen. "Wees niet te zuinig, maar investeer met beleid en verstand, 24/7 bewaken kun je met anderen."
Hij noemt het 'absoluut verlammend' als een digitale gijzeling je overkomt en drukt bedrijven en organisaties op het hart om zich goed te beveiligen. Bos heeft er erg mee geworsteld. "Omdat het heel moeilijk blijft om toe te geven aan cybercriminelen. Maar we vonden uiteindelijk dat we niet anders konden."
Vragen? Stel ze!
Heb je nog vragen of wil je reageren? Stuur ons dan hier een berichtje in onze chat. Elke donderdag vertellen we in de Doe mee-nieuwsbrief wat we met alle reacties doen. Wil je die in je mail? Meld je dan hier aan.