Back to list All Articles Archives Search RSS Terug naar lijst Alle artikelen Archieven Zoek RSS

Cyberaanval begon al in oktober; Utrecht was wèl beveiligd

MAASTRICHT. De cyberaanval op de Universiteit Maastricht mag dan pas 23 december 2019 in volle omvang zijn losgebarsten, de eerste inbreuk vond al ruim twee maanden eerder plaats. Dat melden goed ingevoerde bronnen. Fons Elbersen, interimwoordvoerder van de Universiteit Maastricht, wil er niet op ingaan. “We geven op deze en dergelijke vragen op 5 februari antwoord, tijdens een speciale bijeenkomst.”

Beetje bij beetje komen steeds meer details naar buiten over de cyberaanval op de UM met Clop-ransomware. In de eerste helft van oktober 2019 is een computer in Randwijck, bij ofwel de psychologiefaculteit of de Faculty of Health, Medicine and Life sciences, geïnfecteerd, later zou ook een computer bij de School of Business and Economics zijn getroffen. Vanuit vermoedelijk een geopend Excel-bestand heeft het virus zich langzaam en onopgemerkt kunnen verspreiden. Hoe dat in zijn werk gaat, of kan gaan, deed NRC-Handelsblad van 11 januari uit de doeken onder de kop Zo gijzel je een netwerk in 12 stappen. Cybercriminelen dringen stapje voor stapje en deels handmatig door in de computersystemen van een grote organisatie, totdat de malware zodanig is geïnstalleerd dat op een gegeven moment de totale aanval kan worden ingezet. Dat was bij de UM dus op 23 december het geval. Cyberexpert van Fox-IT Frank Groenewegen zegt in NRC dat hackers zich soms “langer dan een half jaar” verschuilen.

Dezelfde cyberaanval met het Clop-virus kwam ook bij de Universiteit Utrecht binnen, zo meldt online universiteitsblad DUB. Die werd echter afgeslagen door reeds twee jaar eerder geïnstalleerde software die (bepaalde, niet alle) ransomware-aanvallen buiten de deur houdt. IT-manager bij de UU Henk Verkolf meldt desgevraagd dat het hier niet gaat om de beveiligingstool Carbon Black. De UM heeft die na de hack geïnstalleerd. “Ik zeg niet wat wij dan wel hebben, want dan weten hackers meteen ook wat je niet hebt.”

Verkolf laat weten dat de UM de zusterinstellingen in december meteen via het samenwerkingsverband SURF op de hoogte heeft gebracht van de aanval. Maar anders dan bij de UM was er in Utrecht niet al eerder ‘ingebroken’. “Dat gebeurt via, zeg maar, een schot hagel, en dan komt er later nog eens een schot hagel om het virus te activeren. Dat laatste was op 23 december en is toen niet alleen bij de UM maar ook bij ons binnengekomen. Onze beveiliging herkende de IP-adressen waar het vandaan kwam en maakte de aanval onschadelijk.”

Waarom Utrecht die software wel had en Maastricht niet, terwijl men samenwerkt in SURF? Verkolf: “Dat weet ik niet. SURF laat de aangesloten instellingen heel veel vrijheid.”

Carbon Black, zo meldt de UM via ‘update #20’ over de hack, is “een aanvulling op de reguliere virusscanner die de UM al gebruikt”. Ook dit systeem kijkt naar IP-adressen van afzenders en blokkeert verdachte boodschappen. Privacy-bezwaren zijn er niet, zegt de UM: “Het brengt niet het gedrag van individuele medewerkers in kaart en kijkt niet in hun bestanden.”

De voorlichtingsbijeenkomst (‘symposium’) op 5 februari in de aula van de Minderbroedersberg is slechts voor een select gezelschap toegankelijk. Dat zijn sowieso de (landelijke) media, “maar het wordt geen gewone persconferentie”, zegt woordvoerder Elbersen, “na afloop kunnen journalisten ook nog apart vragen stellen. Verder nodigen we experts op het gebied van cybersecurity uit, IT-ers van binnen de UM en mensen van andere universiteiten. We willen dat het niet alleen een ‘zend’- verhaal van de UM wordt.” Ook zal het onderzoek van Fox-IT naar de hack worden gepresenteerd, meldt Elbersen. Hij verwacht niet dat het in zijn geheel openbaar zal worden gemaakt.

Volgens UM-update #20 is het de bedoeling tijdens dit ‘symposium’ “een publieke discussie te starten” over de spanning tussen academische openheid en de geslotenheid die samenhangt met beveiliging. De middag wordt geleid door strategieconsultant en oud-TROS-verslaggever Ronald Otten. De sessie is via een livestream te volgen.

Categories:Categorieën:

CommentsReacties

There are currently no comments.Er zijn geen reacties.

Post a Comment

Laat een reactie achter

Door een reactie te plaatsen gaat u akkoord met de verwerking van de ingevulde gegevens door Observant.
Voor meer informatie: Privacyverklaring
By responding, you agree to send the entered data to Observant.
For more info: Privacy statement

Naam (verplicht)

E-mail (verplicht)