“Zeer grote morele bezwaren” tegen betaling losgeld

UM geeft openheid van zaken over cyberhack

05-02-2020

MAASTRICHT. Het is nu officieel: ja, er is losgeld betaald aan de cybercriminelen die de systemen van de UM op 23 december hebben gehackt. En ja, het was bijna twee ton. Waarom was de UM onvoldoende beveiligd? Het antwoord daarop van het college van bestuur is zéér genuanceerd. En nee, waarschijnlijk zijn er geen persoonsgegevens en wetenschappelijke data in verkeerde handen gevallen: nader onderzoek volgt nog.

Dat liet de vicevoorzitter van het college van bestuur, Nick Bos, woensdagmiddag 5 februari weten aan een volle zaal met vooral media en ict-deskundigen tijdens een zogenoemd ‘symposium’ over de cyberaanval.

Eerst maar de betaling van losgeld. Om precies te zijn, er is 197 duizend euro betaald, dertig bitcoins. Het was een “duivels dilemma”, het college is daarbij “niet over één nacht ijs gegaan”, zegt Bos, tevens hoofd van het crisismanagementteam. Moest men de criminelen geven wat ze willen? Daaraan kleven voor een instelling die haar geld van de overheid krijgt, “zeer grote morele bezwaren”. En, voegt Bos toe, “als bestuurder gruw je van die gedachte”.

Maar nood breekt wet. Want hier stond “de continuïteit van de UM” op het spel, zegt hij. “Studievoortgang, wetenschappelijk onderzoek, duurzame veiligheid van data, bedrijfsprocessen”; met dat alles liep de UM “onaanvaardbare” risico’s. Want als bestanden versleuteld zijn en je hebt de sleutel (“decryptor”) niet, hoe lang duurt het dan voordat je alles weer van de grond af aan hebt opgebouwd? Dat kan weken en zelfs maanden duren, zo verzekerden deskundigen het college. Bovendien betekent dat vrijwel zeker het verlies van vaak cruciale databestanden. En dus sloeg de weegschaal door naar de andere kant: we betalen het losgeld. Over de hoogte daarvan is niet onderhandeld, want ook dat kon de zaak weleens erger maken, was de gedachte: dadelijk vragen ze van de weeromstuit het dubbele. “We wilden geen extra irritatie”, zegt Bos.

Op 29 december viel, na overleg met decanen en directeuren en de raad van toezicht, het besluit om aan de eisen van de hackers tegemoet te komen, de volgende dag nog kreeg men de sleutel en kon het reparatiewerk beginnen, waardoor op 6 januari in ieder geval het onderwijs redelijk ongestoord hervat kon worden.

Observant maakte op 2 januari bekend dat de UM losgeld had betaald. De vraag is waarom het college dat zelf niet deed, in het kader van het hier - tot zelfs in het strategisch programma - officieel beleden beleid van openheid en transparantie. Daarover is rond de jaarwisseling inderdaad nagedacht, zegt woordvoerder Fons Elbersen. Maar men achtte de eventuele risico’s te groot. Ook op advies van cybersecuritybedrijf Fox-IT is besloten om tijdens het proces van herstel voorlopig de kaken op elkaar te houden, om bijvoorbeeld andere hackers niet de indruk te geven dat er bij deze universiteit misschien nog wel meer te halen zou zijn.

Bos meldt woensdag dat ook externe instanties zijn ingelicht over het besluit om losgeld te betalen: het ministerie van Onderwijs, Cultuur en Wetenschap en de Onderwijsinspectie. Van hen kwam op dat moment geen reactie.

Kosten

Het college van bestuur blijft cryptisch over de kosten die tot nu toe met de cyberaanval gemoeid zijn, nog los van de bijna twee ton aan losgeld. Dat betreft in ieder geval de hulp van Fox-IT tot op de dag van vandaag, net als de kosten van de speciaal ingehuurde woordvoerder Fons Elbersen die de reguliere UM-woordvoerder Gert van Doorn verving. De laatste was bij de uitbraak van de crisis op vakantie aan de Moezel. Bos vindt het “prematuur” om dergelijke (nog lopende) kosten nu al te specificeren. Verder zou er immateriële schade kunnen zijn, erkent het college, maar hoe en wat precies, daar zegt men weinig over. Is er bijvoorbeeld reputatieschade? De hoop is dat medewerkers en (toekomstige) studenten zien dat de UM hun belangen “bijzonder zwaar” neemt. Verder zijn er “voor zover we weten” geen onderzoeksvoorstellen in het gedrang gekomen en zijn er ook geen wetenschappelijke data ontvreemd, noch is er mee geknoeid. Dat “hebben we meer dan aannemelijk kunnen maken”. De formulering laat zien dat er nog geen 100 procent zekerheid op dit punt is. En die komt er ook niet, voegt directielid bij Fox-IT Frank Groenewegen toe: “Zelfs na zes maanden onderzoek zouden we die garantie nog niet kunnen geven.”

Complete controle

Hoe vond de hack überhaupt plaats? Op 15 oktober, zo vertelt een andere medewerker van Fox-IT, werd de phishing link op een laptop van een medewerker geplaatst. Daarna wisten de hackers zich stap voor stap handmatig een weg binnen de UM-systemen te banen. “Op 21 november hadden ze de complete controle over de netwerken.” Op 19 december kwam er een antivirusmelding, maar, zo zegt hij, voordat de UM daar goed op reageerde hadden de hackers al de antivirussoftware verwijderd. Op 23 december tenslotte werd de aanval geactiveerd.

Fox-IT heeft ook weten te achterhalen wie er achter de actie zat. Het is een groep die zich Grace-RAT noemt, ook bekend als TA-505. Het zijn Russisch sprekende criminelen, die niet per se vanuit Rusland werken. Deze groep, al zo’n vijf jaar actief, zou de uitvinder van de CLOP-ransomware zijn: “Sinds februari 2019 zijn er al meer dan 150 slachtoffers.”

Te laat

Was de hack te voorkomen? Hoe zat het met de beveiliging? Volgens de UM zijn er hoe dan ook geen aanwijzingen dat Maastricht slechter was beveiligd dan de zusterinstellingen in de rest van het land; zij werken, als het gaat om ICT-voorzieningen en ICT-vernieuwing, samen via SURF. Sowieso bestaat er zover bekend nog geen decryptor om een besmetting met CLOP teniet te doen.  “We waren kwetsbaar, zoals zo veel organisaties”, vertelt Bos, maar dat wil niet zeggen dat de beveiliging “onvoldoende op orde was”.

Zo heeft de UM in 2018 en 2019 tal van maatregelen genomen vanwege de nieuwe privacywet (AVG) die ook de cyberveiligheid op een hoger niveau heeft gebracht, zegt hij. Voor 2020 en verder zijn “extra budgetten” gereserveerd voor de vernieuwing van de ICT. Hieronder valt ook de inrichting van een Security Operations Center (SOC); een team dat zich puur en alleen met cyberbedreigingen bezighoudt. Dat is nu in januari van start gegaan. “Te laat”, erkent Chief Information Officer Michiel Borgers.

Tegelijkertijd benadrukt Bos dat een universiteit ondanks alle maatregelen en investeringen kwetsbaar zal blijven. Het is immers een open en toegankelijke instelling (ook voor mensen die iets kwaads in zin hebben) die het moet doen met een krappe financiering vanuit het ministerie van Onderwijs, puur en alleen bedoeld voor onderwijs en onderzoek. Voor de bestrijding van cybercriminaliteit krijgt men niets extra’s. En last but not least is het mensenwerk. Bos: “De zwakste schakel zit tussen het toetsenbord en de stoel.” Ook bij deze aanval begon het met een laptop (“patient zero”, hij stond als corpus delicti demonstratief voor in de aula) en een klik op een onbekende link.

De UM wil in de toekomst meer samenwerken met instellingen in binnen- en buitenland, zei CIO Michel Borgers, onder andere als het gaat om de inrichting van een 24/7 monitoringsysteem. Maar honderd procent veiligheid, dat bestaat niet, benadrukte een expert van Fox-IT woensdagmiddag. En bovendien: “Extra veiligheid gaat bijna altijd ten koste van gemak en toegankelijkheid.” Op dit moment is de “dijkbewaking” zo hoog, voegt Bos toe, dat de UM veel beter in staat is om aanvallen tegen te houden en te detecteren. Overigens is men niet van plan om zich te verzekeren tegen dit soort aanvallen, zegt Bos. Bij zijn weten is geen enkele zusterinstelling verzekerd, “en het maakt de morele afweging ook niet gemakkelijker.”

De grootste les die te leren valt uit dit alles? Als door deze, voor de UM weinig fortuinlijke episode, de samenleving beseft dat het hier om een “veiligheidsissue van de hoogste orde” gaat, zijn die zes intensieve en zware weken niet voor niets geweest, vindt Bos. “Het boek van Volkskrant-journalist Huib Modderkolk heet niet voor niets: Het is oorlog, maar niemand die het ziet.”

Wammes Bos, Riki Janssen

Duizend malware aanvallen per dag

De Universiteit Maastricht houdt per seconde (!) 30 duizend “verdachte netwerkpakketten tegen”, vertelt het hoofd ICTS, Jacques Beursgens. Per dag zijn er gemiddeld zo’n duizend aanvallen van malware en dat aantal loopt op.
Hoe groot is het ICT-netwerk? Het omvat 90 knooppunten, 40 locaties (van Venlo tot Maastricht), 7300 windows-netwerkplaatsen, 1650 unit- en windowsservers. Beursgens: “Als je paar servers vergeet te updaten, dus de verouderde software niet vervangt, zoals in oktober bij de start van de aanval het geval was, dan ligt daar de zwakke plek.”

Wat moet er gebeuren om een herhaling te voorkomen?

  • Het allerbelangrijkste is bewustwording kweken bij studenten en medewerkers, zodat ze phishing mails van normale mails leren onderscheiden.
  • Een betere detectie en preventie: beveiligingsupdates op alle servers doorvoeren en een 24/7 monitoring ontwikkelen
  • Segmentatie binnen het netwerk: onder andere door het plaatsen van ‘branddeuren’ zodat sommige delen van het netwerk afgesloten kunnen worden van de buitenwereld. En een beperkter aantal mensen toegang geven tot alle onderdelen van het netwerk.
  • Zorgen voor online en offline back-ups.

Vrijwillig

Tal van medewerkers (IT’ers, communicatie en anderen) zijn in de kerstvakantie opgetrommeld om de hack het hoofd te bieden. Dit is gebeurd op basis van vrijwilligheid, laat het college van bestuur weten, er is geen morele druk uitgeoefend.  Eerder gaven enkele reacties op de site van Observant een ander beeld. “We hadden geen keus, zeg je nee, dan sta je op straat”, schrijft iemand onder het artikel over de nieuwjaarsborrel, het moment dat collegevoorzitter Martin Paul de saamhorigheid roemde en de UM “een grote familie” noemde die in tijden van crisis de schouders eronder zet.

“Zeer grote morele bezwaren” tegen betaling losgeld
symposium
Auteur: Redactie

Loraine Bodewes

Tags: hack,cyberaanval,symposium

Reacties

Eleni Liapi

No mention of reporting to Autoriteit Persoonsgegevens within the first 72hrs. Well done. (That was sarcasm, obviously).

Voeg reactie toe

privacy link