Aanvallen met gijzelsoftware, ook wel ransomware, zijn een risico voor de nationale veiligheid, zei de NCTV onlangs. De Universiteit van Maastricht kreeg er in de kerstvakantie van 2019 mee te maken en besloot hun hackers te betalen.

Een worsteling, noemt vice-president Nick Bos van de universiteit het. "Het is heel moeilijk om toe te geven aan cybercriminelen. Maar we vonden uiteindelijk dat we niet anders konden."

Rare dingen

'Er gebeuren rare dingen op het netwerk.' Dat was de boodschap van het telefoontje dat Bos 's avonds in de kerstvakantie kreeg. Onduidelijk was nog wat, maar wel dat het er niet goed uitzag. Het netwerk van de universiteit werd direct afgesloten en geïsoleerd. "We hadden de ernst op dat moment nog niet in de smiezen", vertelt de vice-president.

Stukken van het netwerk waren niet meer toegankelijk en er gebeurden dingen die ze zelf niet stuurden. Maar wat er aan de hand was, bleek al veel eerder gestart dan zich die dag openbaarde. "Medio oktober had via een phishing mail een professionele organisatie toegang tot ons netwerk gekregen", legt Bos uit. Ze waren geruisloos in het netwerk geïnfiltreerd. "Tot ze je met ransomware vast kunnen zetten"

'De werkelijkheid doet echt anders aan'

Programma's en bestanden werkten niet meer. "Studenten en wetenschappers konden niet meer bij hun bestanden", zegt hij. "Een ramp." Toch was van paniek geen sprake. "Wel van ernstige zorg." Het crisismanagementteam werd direct in werking gesteld. "Daar oefenen we op", vertelt hij.

Maar een oefening blijkt 'iets heel anders' dan als het echt gebeurt, schetst de bestuurder. "Dan blijkt hoe diep het in je haarvaten gaat zitten van je organisatie en wat die echte verlamming betekent. Bij een oefening doe je alsof je verlamd bent, maar de werkelijkheid doet toch wel heel anders aan."

Bron: EenVandaag

Zelf een code maken om te ontsleutelen

Al vrij snel werd duidelijk dat het om gijzelsoftware ging, die de universiteit in zijn greep hield. Diezelfde nacht werd nog een externe partij gecontracteerd om de universiteit bij te staan. De daaropvolgende dagen werden gebruikt om opties te verkennen.

"In eerste aanleg denk je, misschien kunnen we wel zelf een sleutel ontwikkelen om te de-crypten," zegt hij. "Van die droom word je snel af geholpen, dat gaat niet. Daar ben je jaren mee bezig, voor zover het je al lukt." Er werden andere opties afgewogen. "We hebben echt een paar dagen aan fact finding gedaan om te bedenken, hoe gaan we nu verder?"

Klemmende situatie

De universiteit wilde al die tijd nog niet communiceren met de hackers. "We wilden eerst weten in welke situatie we zaten, welke opties we hadden", zegt Bos. Want ergens in het netwerk zat een kaartje met daarop contactinformatie. "Maar die hebben we bewust even ter zijde gelegd omdat we wilden weten waar we aan toe waren".

"En we wilden zelf ook wel ons de tijd geven om er zo verstandig mogelijk mee om te gaan", vertelt hij. "Zover dat kan, want je zit in een klemmende situatie. Je hebt 25.000 studenten en 5000 medewerkers die niet bij hun bestanden kunnen en ernstige achterstanden kunnen oplopen."

Zwichten voor criminelen

De universiteit was zich ervan bewust dat betalen maatschappelijk gezien als niet wenselijk werd beschouwd. "Zwichten voor criminelen en daarmee in zekere zin ook voor de criminaliteit", noemt Bos het. "Dat is echt een hele moeilijke afweging geweest." Het ministerie van Onderwijs, Cultuur en Wetenschap had de universiteit het regeringsstandpunt laten weten: niet betalen.

"We hebben daar kennis van genomen", zegt hij. Want de continuïteit van de organisatie liep gevaar. "Het was al snel duidelijk dat als wij de ransom niet zouden betalen dat we dan waarschijnlijk maanden uit de running zouden zijn", vertelt Bos. "Het leed, het financiële leed maar ook onderzoekers die vertraging oplopen, studenten die vertraging oplopen, zou gigantisch zijn. Dat gaf de doorslag."

Eis: 30 bitcoins

De criminelen eisten 30 bitcoins, ongeveer 200 duizend euro in die tijd. Aan de hackers laten ze weten dat ze ingingen op de eis. "Maar we wilden wel weten of we met de juiste partij te maken hebben", zegt Bos. Ze stuurden drie bestanden die als bewijs ontsleuteld moesten worden. "Dat hadden ze ook heel snel gedaan."

Ook het betalen zelf ging niet zomaar. "Dat moest dus met bitcoins en dat is niet iets waar wij veel ervaring mee hebben als universiteit. Ook daar moesten we in ons laten bijstaan", zegt hij. Vervolgens maakten ze eerst een heel klein bedrag over, zodat ze zeker wisten dat het aan zou komen. Dat lukte. "Toen hebben we het hele bedrag betaald en hebben we de sleutel gekregen om alle bestanden toegankelijk te maken." Voor de universiteit was het belangrijk om voor 5 januari weer in staat waren het onderwijs te verzorgen. "Dat is uiteindelijk ook gelukt".

Video: Pim Takkenberg onderhandelt met cybercriminelen

Geen situatie waar je in wilt zitten

Veel bedrijven treden liever niet naar buiten wanneer zij geraakt worden door een cyberaanval. Bos snapt dat en noemt het ook niet iets om trots op te zijn. "Je voelt je slachtoffer, want je hebt iets niet op orde gehad", vertelt hij. "Het is geen situatie waarin je wilt verkeren".

Hij grijpt even terug naar naar het moment dat de universiteit besloot te betalen. "Dat was een moeilijke stap, maar onze taak is de continuïteit van deze universiteit", vertelt hij. "Maar tegelijkertijd moeten we dan wat terugdoen". De organisatie laat een groot onderzoek doen naar waar het misging. "Zodat anderen er ook lering uit kunnen trekken."

'Het is een soort wedloop'

In een speciaal opgetuigd symposium deelt de universiteit al kort na de hack de resultaten en geleerde lessen. "We zijn kwetsbaar gebleken en we hadden dingen niet op orde." De beveiliging is nu flink opgeschroefd. "Het is een soort van wedloop en je moet zorgen dat je dijken hoog zijn", zegt Bos. "Je zult elk jaar opnieuw moeten kijken of je veilig genoeg bent."

Vraag een externe partij, want die is vaak kritischer, adviseert hij. "Waarschijnlijk zal blijken dat je aanvullende maatregelen moet nemen." Ook voert de universiteit nu een campagne om bewustzijn onder medewerkers en studenten te verhogen. "Een deel houd je buiten", zegt hij. "Maar met alle studenten en medewerkers kun je het nooit helemaal buitensluiten."

'We konden niet anders'

De aanval bleek een 'wake-up call', zeker voor de onderwijssector. De 24-uurs beveiliging die nodig bleek, doet de universiteit nu met andere onderwijsinstellingen. "Wees niet te zuinig, maar investeer met beleid en verstand, 24/7 bewaken kun je met anderen."

Hij noemt het 'absoluut verlammend' als een digitale gijzeling je overkomt en drukt bedrijven en organisaties op het hart om zich goed te beveiligen. Bos heeft er erg mee geworsteld. "Omdat het heel moeilijk blijft om toe te geven aan cybercriminelen. Maar we vonden uiteindelijk dat we niet anders konden."

De eerste raket van de Duitse start-up Isar Aerospace wordt morgen in het noorden van Noorwegen gelanceerd. Als deze slaagt, is het de eerste keer dat een raket vanuit West-Europa in een baan om de aarde wordt geschoten. "Dit is belangrijk voor Europa."

Isar Aerospace is een van de eerste Europese commerciële bedrijven die zich bezighoudt met het bouwen van raketten, vertelt deputy director van het Netherlands Space Office (NSO), Joost Carpay. Europa loopt, vergeleken met Amerika, achter op dit gebied. "Maar nu lijkt er een gat in de markt te zijn waarin een paar commerciële bedrijven springen."

'Mooie ontwikkeling'

"Dit zijn mooie ontwikkelingen voor Europa", benadrukt Carpay. Volgens hem is het belangrijk dat we vanaf ons eigen grondgebied kunnen lanceren. Hij vindt het daarom goed dat het commerciële bedrijf Isar Aerospace, dat de intentie heeft om de Europese concurrent van het Amerikaanse SpaceX te worden, een risico neemt.

"Je ziet dat er op het moment minstens vier bedrijven bezig zijn met het ontwikkelen van raketten", vertelt hij. "En daar wordt dus ook in geïnvesteerd, soms door overheden maar dan zonder de ontwikkeling te sturen. Dus alleen met financiering." Ook zijn er private investeerders die steeds meer interesse tonen. En als de testlancering morgen succesvol blijkt, zal die belangstelling alleen maar groter worden, voorspelt Carpay.

Onafhankelijkheid voor Europa

Deze nieuwe ontwikkelingen zijn van groot belang voor Europa. Het is volgens de deputy director belangrijk om onafhankelijk te zijn, van wie dan ook: "Ruimtevaart is strategisch van groot belang. We willen zelf kunnen bepalen welke satellieten we wanneer waarnaartoe lanceren en dat moeten we in eigen hand hebben."

"Dit bedrijf ziet dus een markt naast SpaceX, ook omdat zij een kleine raket hebben. Die heeft SpaceX niet. Dus het is ook een kwestie van marktkansen zien."

Meer raketten en lanceerbases

Maar wat moet er eigenlijk nog gebeuren voordat we op grote schaal dit soort raketten kunnen lanceren, zodat we écht kunnen concurreren met SpaceX van Elon Musk? "Het belangrijkste is het ontwikkelen van de raketten en een lanceerbasis", antwoordt Carpay.

Hij vertelt dat in het ontwikkelen van zulke bases al grote stappen worden gezet. "Er zijn al een aantal in Europa die voor de wat kleinere raketten geschikt zijn. En onze Spaceport in Frans Guiana wordt ook voor die kleinere raketten klaargemaakt." Het is op dit moment een kwestie van de ontwikkelingen blijven stimuleren, stelt hij.

'Het blijft een uitdaging'

Maar wat als het morgen dan toch misgaat? "Het blijft een uitdaging", antwoordt Carpay. "Maar ik denk ook dat het bedrijf daar zelf rekening mee houdt. Het blijft altijd een risico, zeker omdat de raket nog nooit gevlogen heeft."

Wel is hij ervan overtuigd dat Isar Aerospace het proces grondig heeft aangepakt. En mocht het toch fout gaan, dan is het een goede les. "Dat betekent alleen maar dat de kans dat het de volgende keer goed gaat, groter is."

Lancering over 1 à 2 jaar

Gaat de testlancering morgen wel goed, dan komt een echte lancering sneller dan gedacht om de hoek kijken, denkt Carpay. "Ik zag dat ze hun eerste lanceringen in 2028 verkocht hebben. Maar als het morgen goed blijkt te gaan dan weet ik zeker dat we al eerder kunnen zeggen dat hij klaar is voor ontwikkeling."

"Dus laten we zeggen, dan verwacht ik dat binnen 1 of 2 jaar echt ook de markt het vertrouwen heeft in de raket om lanceringen in te kopen."

Sneller en wendbaarder dan ESA

Ook de European Space Agency (ESA), de Europese variant van de NASA, is al 10 jaar bezig met de bouw van raketten. Waarom duurt het daar veel langer dan wanneer een commercieel bedrijf een poging waagt?

"Die bedrijven zijn vaak wat sneller en wendbaarder dan de ESA", weet de deputy director. "Bij de ESA moeten 23 lidstaten beslissingen nemen."

Kleine raket

Maar ook het gewicht dat de raket van Isar Aerospace heeft, maakt het makkelijker voor het bedrijf om snel een raket te bouwen. "Het is een kleine die precies onder de gewichtsklasse zit van de raketten die ESA heeft ontwikkeld. Dus hij is speciaal voor de wat kleinere satellieten", legt Carpay uit.

"Normaal lanceren we met één raket een heleboel tegelijk. Maar met een kleinere raket gaat het met één of twee tegelijk." Ook hoeven de kleinere satellieten van de Duitse start-up niet te wachten tot ze met een grotere raket mee kunnen, vertelt de expert. "En dat maakt het heel interessant."

Zo'n 4 op de 10 deelnemers aan het EenVandaag Opiniepanel maken zich redelijk tot veel zorgen om hun pensioen. Want, vragen zij zich af, wat betekent het bijvoorbeeld voor hun pensioengeld als de beurskoersen kelderen? "Geen één-op-éénrelatie."

Het overhevelen van pensioenen naar het nieuwe pensioenstelsel is één van de grootste financiële operaties die ooit in Nederland werd uitgevoerd.

Zorgen over de toekomst

Door groeiende onzekerheid en instabiele beurzen nemen de zorgen toe. Leden van het EenVandaag Opiniepanel vragen zich af: 'Behoud ik mijn pensioen straks wel, en hoeveel blijft daarvan over?'

Dat geldt ook voor pensionado Peter van Vliet. Ruim 40 jaar bouwde hij pensioen op bij Radio Holland. Tot nu toe heeft hij geen klagen: afgelopen januari ontving hij nog een verhoging. Maar hij maakt zich ook zorgen over de toekomst. Van Vliet vraagt zich af of de hoogte van zijn pensioen straks nog wel vaststaat. Of dat het kan gaan schommelen.

Geen één-op-éénrelatie

Die zorgen zijn deels terecht, zegt Leontine Treur. Zij is senior-econoom bij RaboResearch en gespecialiseerd in pensioenen. "Pensioenfondsen beleggen. Dus als de beurs beweegt, dan merken pensioenfondsen daar wat van. Maar pensioenfondsen beleggen niet alleen in aandelen, ze hebben een gespreide portefeuille waar ook obligaties inzitten. Vastgoed dus."

Er is volgens Treur dus geen één-op-éénrelatie tussen schokken op de beurs en de hoogte van het pensioen. "Daarnaast heb je buffers en meer mogelijkheden om te zorgen dat een beursklap niet in één keer bij de pensioenuitkeringen terechtkomt."

Eigen pensioenpotje

En hoe zit dat dan straks als het nieuwe pensioenstelsel voor iedereen is ingegaan? In het oude systeem belooft een pensioenfonds hoeveel pensioen je later precies krijgt. Jij en je werkgever betalen hier iedere maand premie voor. Al dit geld gaat samen in één grote pot, het zogenaamde collectieve pensioenvermogen. Dit geld wordt geïnvesteerd, en met de opbrengst hiervan betaalt het pensioenfonds de pensioenen uit.

In het nieuwe systeem heeft iedereen een eigen pensioenpotje. Je pensioen staat niet meer vooraf vast, maar kan veranderen. Hoeveel pensioen je krijgt, hangt dan bijvoorbeeld af van hoe goed de beleggingen gaan, hoe hoog de rente is en hoe oud mensen gemiddeld worden. Daardoor kan je pensioen hoger of lager worden.

Beurs herstelt zich altijd weer

Treur benadrukt dat het nieuwe stelsel bedoeld is om meer rendement te behalen, zodat pensioenen beter mee kunnen groeien met de inflatie. En méér rendement betekent volgens haar soms óók méér risico.

Toch zal een enorme koersval op de beurs volgens Treur de pensioenen niet laten verdampen, omdat de beurs zich ook altijd weer herstelt. "Ook tijdens de covidpandemie en de dotcom-crisis is de beurs flink ingeklapt, maar daarna ook weer hersteld. En die grote schokken hebben gepensioneerden nooit gemerkt."

'Altijd goed rendement'

Ook volgens voorzitter Ger Jaarsma van de Pensioenfederatie hoeven we in het nieuwe systeem niet ineens lagere pensioenuitkeringen te verwachten, als het op de beurs tegenzit. Dit komt vooral door de manier waarop pensioenfondsen hun geld beleggen. "Het zijn langetermijnbeleggers. Wij kijken dus 20, 30, 40 jaar vooruit. Over eventuele schommelingen maken we ons daarom niet zo heel erg druk, omdat die in de tijd wel weer uitvlakken."

"In het nieuwe stelsel blijven wij op dezelfde manier beleggen als in het oude", legt Jaarsma uit. "En dat betekent dat we naast beleggen in aandelen, ook beleggen in obligaties, vastgoed en leningen. Door die risicospreiding maken wij voor de toekomst altijd een goed rendement."

Risico's delen

Toch is niet iedereen er gerust op. In de Tweede Kamer is NSC een van de partijen die zorgen heeft. Agnes Joseph is Kamerlid voor die partij en is bang dat mensen nu al vaste pensioenuitkeringen gewend zijn en dat dit met het nieuwe systeem minder zeker is.

Joseph: "Iedereen krijgt straks, afhankelijk van de leeftijd, een risicovoller of minder risicovol beleggingsbeleid. Er wordt nog wel een klein buffertje aangehouden om risico's te delen, maar dat is veel kleiner. En daarmee kun je natuurlijk veel minder risico's opvangen en delen met elkaar dan nu."