Zelfstandig adviseur Fons Elbersen was eind 2019 met zijn vrouw toe aan een rustige kerstvakantie en was daarvoor al onderweg naar Zeeland toen hij werd gebeld door Universiteit Maastricht. Cyberhackers hadden twee dagen daarvoor bij de Limburgse universiteit 267 computersystemen gegijzeld. Elbersen werd gevraagd de communicatiestrategie te bedenken, de woordvoering op zich te nemen en het College van Bestuur te adviseren. Ook werd hij lid van het crisismanagementteam.

Tentamen

“De aanvallers waren al in oktober de systemen binnengedrongen”, vertelt hij de gasten van de communicatieclub die maandelijks bijeenkomen en nu zijn samengekomen in het Matrix-gebouw. “Er was een kleine deur open en omdat de eerste hack niet opgemerkt is, kon er veel meer schade aangericht worden onder de zestienhonderd systemen die de universiteit in gebruik had. Precies voor de kerstvakantie, wanneer de ICT-afdelingen met verlof zijn, slaan hackers graag toe. Voor de Universiteit Maastricht was het echter helemaal geen rustige periode; op 5 januari moesten vierduizend studenten een tentamen maken.”

Het zeer urgente probleem werd aangepakt door een inderhaast samengesteld crisisteam dat plaats kreeg in een afgezonderd gebouw. Elbersen stelde als prioriteit het meenemen van het College van Bestuur en de hele gemeenschap in een transparante communicatie. “Het zou stupide zijn om de kop in het zand te steken. Onze 22.000 studenten zijn belanghebbenden en ook de 5.000 stafmedewerkers en wetenschappers moesten we serieus nemen in hun zorgen. Ik wilde zo open mogelijk zijn. Dat betekent niet dat we álles vertelden.”

Schaamte

Eind december kwam er een onvoorstelbaar grote mediabelangstelling op gang. “Het werd gewaardeerd dat we uitlegden waarom we iets nog niet vertelden en dat we snel besloten om tijdens een afsluitend symposium alle vragen te gaan beantwoorden. Die bijeenkomst vond zeven weken later plaats.” Tot die tijd heeft UM tweemaal per dag een update gegeven via een website en via studentenverenigingen en zette ze in ieder gebouw een helpdesk op. “Ook als er niets te melden was, lieten we dat weten.”

Dat er geen verzekering is af te sluiten voor cybercriminaliteit heeft te maken met ethische redenen. Dat er niet is onderhandeld over de hoogte van het losgeld, dat in bitcoins werd uitbetaald en die destijds gelijk stonden aan twee euroton, ligt aan de wens “de criminelen niet te irriteren”. Juli vorig jaar werd bekendgemaakt dat een deel van het losgeld was teruggevonden en dat dat bedrag door de gestegen bitcoinbeurs veel meer waard was geworden.  

De communicatiestrateeg begrijpt dat er een schaamteaspect aan een hack is gekoppeld. “De fatale phisingmail die geopend werd door een promovendus was bedrieglijk echt. Over het losgeld moesten we ook wel eerlijk zijn, want ik vind het ethisch niet terecht om daar over te zwijgen. De dertig bitcoins werden betaald met gemeenschapsgeld. We erkenden dat we onze beveiligingssystemen niet op orde hebben gehad en de kwetsbaarheid niet tijdig opmerkten. Dat heeft onze reputatie niet geschaad. Integendeel, zou ik zeggen.”

Interne bewustwording

Het is eerder gezegd, maar Elbersen benadrukt het graag nog eens: “Iedere universiteit kan er rekening mee houden dat ie ooit een keer de sjaak is. De vraag is hoever je de aanvallers laat komen.” Dat was iets waar Martin Romijn, op dat moment de Chief Information Security Officer (CISO) van de TU/e, kort na de Maastrichtse hack op de site van Cursor ook de TU/e-gemeenschap nog maar eens voor waarschuwde.

Om die bewustwording levend te houden heeft de Maastrichtse universiteit een passend kunstwerk in de centrale hal van de aula opgehangen (zie de hoofdfoto). Alle lichtjes verbeelden hackpogingen die vanuit de hele wereld het voortgaande etmaal zijn uitgevoerd op universiteit. Ieder land heeft een eigen kleurtje. Je ziet ongeveer tienduizend inbraakpogingen per dag. Eternal Blue van kunstenaar Richard Vijgen laat zien dat cyberveiligheid een constante strijd is.

De vraag tijdens deze bijeenkomst is ook wat de TU/e opgepikt heeft van deze crisis. Maarten van den Dungen, tot eind deze maand ad interim directeur van het CEC, zegt dat het bewustzijn groter is geworden en dat er serieus geoefend wordt. “Ons Computer Emergency Response Team (CERT) is actief in contact met andere universiteiten en hogescholen. We hebben een doorvalmodel gemaakt met een ‘wat als, wat als’-scenario. Maar we weten wel: iedere hack is anders.”