Back to list All Articles Archives Search RSS Terug naar lijst Alle artikelen Archieven Zoek RSS

Reconstructie cyberaanval op basis van wat nu bekend of aannemelijk is

Reconstructie cyberaanval op basis van wat nu bekend of aannemelijk is

Photographer:Fotograaf: Simone Golob

23 december 2019, 19.35 uur. Mensen van de universitaire IT-dienst ICTS constateren dat verschillende systemen steeds trager werken. Het vaste eigen crisisteam CERT (Computer Emergency Response Team) slaat alarm. De UM is gehackt. Binnen een uur zijn ze ter plaatse; ze zullen de hele nacht blijven. Tevergeefs: het UM-netwerk ligt plat, inclusief de e-mail, het Student Portal en de bibliotheek.

24-12: De vicevoorzitter van het college van bestuur Nick Bos neemt de leiding. ICTS kan een ramp van deze omvang niet alleen af. Fox-IT, een bedrijf gespecialiseerd in cybersecurity, wordt ingehuurd. Het college van bestuur meldt via de UM-site, die het wel nog doet, dat men getroffen is door een “serieuze cyberaanval” met gijzelsoftware. Dat betekent: alles zit op slot, betaal en je krijgt de sleutel. Verder blijft het stil. UM-woordvoerder Gert van Doorn is met familie op vakantie aan de Moezel en blijft daar ook. Hij is wel telefonisch bereikbaar voor media. Hij meldt dat wetenschappelijke data extra beveiligd zijn. Landelijke en regionale media brengen het bericht van de hack. Van Doorn ontkent dat er een eis ligt van 300 duizend euro in bitcoins.

25-12. Eerste Kerstdag, intern heerst er hoogspanning, er wordt nog net niet ’s nachts doorgewerkt, de buitenwereld krijgt geen nader nieuws.

26-12: Tweede Kerstdag, op sociale media klinkt hier en daar gemor van bezorgde studenten die maar niets horen. Het college van bestuur is bijeen, is zelf ook ontevreden over de communicatie en belt voormalig UM-woordvoerder Fons Elbersen, tegenwoordig zelfstandig, om de woordvoering op zich te nemen. Die is met zijn vrouw op weg naar Frankrijk en keert bij Antwerpen om. Het college wil dat bij het reparatiewerk het onderwijs prioriteit krijgt. En de bange vraag rijst: kennelijk waren we niet goed beveiligd. Waarom niet?

27-12: Eindelijk een update vanuit de UM voor studenten en medewerkers. Men is bezig met forensisch onderzoek en herstelwerkzaamheden. “Alles is erop gericht studenten en medewerkers zo spoedig mogelijk weer toegang te geven tot de systemen.” Aangifte bij de politie. Dat er wordt onderhandeld met de criminelen wil Elbersen niet bevestigen.

28-12: Update #3 verschijnt: de gebouwen gaan op 2 januari sowieso open. Speciale aandacht voor dringende zaken als roosters, tentamens, subsidieaanvragen enzovoort. Er komen tijdelijke hulplijnen. College, decanen en directeuren zijn permanent in de weer of standby. Gemor verstomt, studenten en medewerkers leven mee en betuigen solidariteit. En ja, achter de schermen wordt onmiskenbaar onderhandeld met de hackers. Vermoedelijk is of wordt nu al een eerste betaling gedaan om te zorgen dat de UM de sleutel kan krijgen om weer bij haar systemen te kunnen.

29-12: Men kondigt (update 4) aan dat “de processen rond het onderwijs” hopelijk weer op 6 januari kunnen starten. Experts zeggen achteraf dat zo’n snel herstel alleen na betaling mogelijk is. De hackers krijgen vandaag of morgen hun geld, in totaal drie ton? Twee ton? Het zit er waarschijnlijk niet ver vanaf. De updates worden nu steeds gedetailleerder, voor studenten, voor studie-aanmelders, voor medewerkers. Waarschuwing: niet in de systemen proberen te komen, dat hindert het herstel.

30-12: Het onderwijs kan op 6 januari definitief worden hervat, meldt update 5. De IT-mensen van de UM concentreren zich op de systemen die voor studenten relevant zijn. De decanen, sommigen teruggekeerd van vakantie, komen bijeen.

31-12: Oudjaarsdag, twee updates (“coulanceregeling voor studenten”) en een speciaal dankwoord van het college van bestuur: “Betrokkenheid van collega’s die ook met de feestdagen doorwerkten is hartverwarmend.” De les: de UM “moet zich beter wapenen tegen externe dreigingen die de academische waarden niet respecteren.” Niet alleen die waarden natuurlijk. Verder krijgen alle werkers binnen de UM op 1 januari een dag rust; opnieuw een teken dat men de situatie na betaling van het losgeld in de hand begint te krijgen. Daar worden al Kamervragen over gesteld.

2-1-2020: Wachtwoorden van buitenaf resetten vóór 6 januari, is het advies in update 9. Observant meldt later op de dag dat de UM losgeld heeft betaald. De landelijke media, die al een week de zaak volgen, springen daar massaal bovenop, tot en met het NOS-Journaal. Het college van bestuur blijft erover zwijgen, en doet dat nog altijd. Wel publiceren ze deze zelfde dag een verklaring dat de zwijgzaamheid te maken heeft met het nog voortgaande onderzoek naar de hack. Een rondgang later langs studenten en medewerkers toont dat bijna iedereen de betaling billijkt: wat moest de UM anders, is de meest genoteerde reactie.

3, 4 en 5-1: Steeds meer systemen zijn bereikbaar, soms met wat beperkingen. De UB is operationeel.

6-1: Het onderwijs gaat van start, alles lijkt soepel te draaien, echte problemen worden niet gemeld. Bij de nieuwjaarsreceptie bedankt collegevoorzitter Martin Paul nogmaals allen die hun vakantie opofferden en alle anderen die meeleefden tijdens deze crisis. En de e-mail zal morgenochtend weer werken!

Er zijn nu 13 updates gepubliceerd: desgevraagd verklaren studenten en medewerkers dat ze vinden dat ze, behalve in het begin, verder goed op de hoogte zijn gehouden door de UM.

Categories:Categorieën:
Tags:

CommentsReacties

There are currently no comments.Er zijn geen reacties.

Post a Comment

Laat een reactie achter

Door een reactie te plaatsen gaat u akkoord met de verwerking van de ingevulde gegevens door Observant.
Voor meer informatie: Privacyverklaring
By responding, you agree to send the entered data to Observant.
For more info: Privacy statement

Naam (verplicht)

E-mail (verplicht)