Hoe lang het nog duurt voor alle systemen weer werken is niet duidelijk. Interim-woordvoerder Fons Elbersen: “We zeggen pas dat bijvoorbeeld de e-mail weer functioneert als die ook daadwerkelijk in de lucht is.” De UM-woordvoerder wil het bericht over het betalen van losgeld bevestigen noch ontkennen; zo lang het onderzoek naar de hack en zijn gevolgen nog loopt doet de universiteit geen mededelingen, ook al omdat men de ‘digitale veiligheid’ niet in gevaar wil brengen.
Deskundigen beweren, onder meer op techsites als Tweakers en Security.nl, dat dit soort hacks met ransomware, gijzelsoftware waarbij hele computersystemen op slot worden gezet en pas na overmaking van een losgeld weer worden vrijgegeven, meestal eindigen met betaling. Al was het maar omdat dat uiteindelijk vaak goedkoper blijkt dan weken- of misschien maandenlange reparaties waarbij de instelling langdurig vleugellam is. Dat kan in de tonnen, zo niet miljoenen lopen. Dat risico liep de UM ook. Zij is dan ook niet de eerste universiteit die toegeeft aan de eisen van digitale afpersers. De universiteit van Calgary in Canada maakte in 2016 uit eigen beweging bekend betaald te hebben na een hack. Dat was een relatief gering bedrag, 20 duizend dollar. De UM zou nu naar verluidt een paar ton euro hebben betaald. Vermoedelijk in bitcoins, de valuta waar cybercriminelen bij voorkeur mee werken.
Toeval of niet, een soortgelijk bedrag, twee ton, was wat Frank Groenewegen, chief security expert bij cyberbeveiligingsbedrijf Fox-IT dat ook bij de reddingsoperatie van de UM betrokken is, op Radio 1 liet vallen kort na de aanval op de UM. Het gesprek ging over het verzekeren van dit soort schade - de UM is er overigens niet tegen verzekerd -, iets waar Groenewegen bezwaar tegen heeft omdat daarmee het verdienmodel van dit soort criminelen in stand wordt gehouden. Bovendien is de vraag wat je moet verzekeren, zei hij toen: de betaling van bijvoorbeeld twee ton losgeld maar niet de gemaakte reparatiekosten en gedwongen inactiviteit die zes ton of meer kunnen belopen? Groenewegen was vanmorgen (2 januari) niet bereikbaar voor nader commentaar.
De procedure die nu in het samenspel tussen de criminelen en UM is gevolgd lijkt volgens het boekje te zijn verlopen. IT-deskundigen omschrijven die praktijk als volgt: de netwerken van de getroffen instelling worden op slot gezet, de hackers maken hun eisen bekend, tegen betaling van een gering bedrag repareren ze een paar bestanden en sturen die ‘schoon’ terug, waarna betaling van de rest van het bedrag volgt en de sleutel wordt overhandigd.
Een belangrijke vraag is natuurlijk of de afpersers bestanden hebben buitgemaakt waarmee ze de UM of wetenschappers later opnieuw zouden kunnen chanteren. Daarover is nog niets naar buiten gekomen.
Ook de herkomst van de hack is nog altijd mistig. In media als De Limburger en later ook de NOS werden IT-experts opgevoerd die naar Rusland wijzen. Andere experts noemen dit soort berichten dan weer pure speculatie: het traceren van dit soort hackers zou als het zoeken van een speld in een hooiberg zijn. Overigens zijn de hackers van Calgary twee jaar na dato alsnog gevonden: het bleken Iraniërs te zijn.
De UM zal in de nabije toekomst, als het onderzoek naar de hack achter de rug is, “alles wat eruit komt” delen met zusteruniversiteiten en andere belanghebbenden zoals opsporingsinstanties en cybersecuritybedrijven, zo meldt woordvoerder Elbersen.
Wammes Bos
m.m.v. Wendy Degens en Riki Janssen