“Nee, het is niet de vraag óf zo’n cyberaanval er ooit komt, de vraag is alleen wanneer”, zegt Hein van Lent, beleidsmedewerker Information Management & Services, die vanuit de TU/e al sinds maart bezig was met de voorbereiding van de cyberaanval. Omdat hij er al vanaf het prille begin bij betrokken was, kon hij vorige week donderdag en vrijdag niet zelf meedoen aan de bestrijding van de aanval, maar hij was wel present bij de evaluatie in Utrecht.

De aanval in een notendop: op donderdag werd eerst als afleidingsmanoeuvre de site van de universiteit gedefaced, wat betekent dat er fake nieuws op geplaatst wordt en de beheerder er geen toegang meer toe heeft. Iets daarna komt de melding binnen dat een onbekende op de campus een aanval wil uitvoeren op de infrastructuur. De man slaagt daar niet in, maar weet wel aan de bewaking te ontsnappen en verliest daarbij een usb-stick met essentiële informatie. Ondertussen zien de ICT-medewerkers dat de systemen van het College van Bestuur, van Personeelszaken en van Dienst Huisvesting zijn besmet en komt een eis binnen om te betalen om weer toegang te krijgen tot die systemen. Blijkbaar hebben de hackers tien dagen eerder al via een phishingmail toegang tot het systeem weten te krijgen. Er wordt besloten niet te betalen en het hele netwerk wordt platgelegd om erger te voorkomen.

Een aanval van dit kaliber heeft de TU/e nog nooit voor de kiezen gekregen, vertelt Van Lent, “maar reken maar dat er elke dag op allerlei niveaus pogingen worden ondernomen om toegang te krijgen tot onze persoonsgegevens en allerlei vertrouwelijke informatie.”

Natuurgetrouw

SURF, de ict-samenwerkingsorganisatie van het Nederlandse hoger onderwijs, heeft de aanval, getiteld OZON2018, opgezet om instellingen zo realistisch mogelijk te laten oefenen met de problemen en gevaren die met zo’n aanval gepaard gaan. Van Lent: “Het was fantastisch om aan deze opdracht mee te werken met collega’s uit heel Nederland. We moesten documenten van bijvoorbeeld het CvB zo natuurgetrouw mogelijk nabootsen, zodat het ook echt leek dat er iets te verliezen was. En ook de technici moesten echt iets hebben waar ze hun tanden in konden zetten. De snelle beslissing in Eindhoven om het netwerk dan maar helemaal plat te leggen, verbaasde ook het controlecentrum van SURF.”

Volgens Van Lent waren dinsdag in Utrecht alle deelnemers aan de oefening unaniem van mening dat die zeer waardevolle informatie heeft opgeleverd, waardoor instellingen beter zijn voorbereid op de keer dat er echt een aanval plaatsvindt. “Een goede vorm van communicatie bedenken tussen technici en bestuurders, die uiteindelijk een beslissing moeten nemen, is daarbij echt essentieel. En bedenk dat als je het hele netwerk platlegt, er heel veel vormen van digitaal communiceren ook wegvallen, dus je moet goede alternatieven achter de hand hebben.”

Van Lent noemt het zelf “de mooiste klus” die hij in zijn lange jaren aan de TU/e heeft mogen uitvoeren, “waarbij iedereen de urgentie hiervan begreep en graag bereid was mee te werken.” Maar volgens hem is het ook zaak om op de werkvloer dat gevoel er goed in te krijgen. “We moeten proactief met deze materie aan de slag en gaan dat ook doen. Neem bijvoorbeeld zoiets als bitlocker, een systeem waarmee je alle informatie op je laptop of op een usb-stick versleutelt, waardoor bij verlies of diefstal niet meteen al je gegevens op straat liggen. Ik heb het zelf al op mijn laptop zitten en eigenlijk zou iedereen op de TU/e dat moeten hebben.”

En hoe liep uiteindelijk de aanval af? Op vrijdag werd via de buitgemaakte usb-stick de sleutel gevonden om weer toegang te krijgen tot de vergrendelde systemen, “en dat zonder een bitcoin betaald te hebben”, aldus Van Lent.