“Zeer grote morele bezwaren” tegen betaling losgeld

UM geeft openheid van zaken over cyberhack

05-02-2020

MAASTRICHT. Het is nu officieel: ja, er is losgeld betaald aan de cybercriminelen die de systemen van de UM op 23 december hebben gehackt. En ja, het was bijna twee ton. Waarom was de UM onvoldoende beveiligd? Het antwoord daarop van het college van bestuur is zéér genuanceerd. En nee, waarschijnlijk zijn er geen persoonsgegevens en wetenschappelijke data in verkeerde handen gevallen: nader onderzoek volgt nog.

Dat liet de vicevoorzitter van het college van bestuur, Nick Bos, woensdagmiddag 5 februari weten aan een volle zaal met vooral media en ict-deskundigen tijdens een zogenoemd ‘symposium’ over de cyberaanval.

Eerst maar de betaling van losgeld. Om precies te zijn, er is 197 duizend euro betaald, dertig bitcoins. Het was een “duivels dilemma”, het college is daarbij “niet over één nacht ijs gegaan”, zegt Bos, tevens hoofd van het crisismanagementteam. Moest men de criminelen geven wat ze willen? Daaraan kleven voor een instelling die haar geld van de overheid krijgt, “zeer grote morele bezwaren”. En, voegt Bos toe, “als bestuurder gruw je van die gedachte”.

Maar nood breekt wet. Want hier stond “de continuïteit van de UM” op het spel, zegt hij. “Studievoortgang, wetenschappelijk onderzoek, duurzame veiligheid van data, bedrijfsprocessen”; met dat alles liep de UM “onaanvaardbare” risico’s. Want als bestanden versleuteld zijn en je hebt de sleutel (“decryptor”) niet, hoe lang duurt het dan voordat je alles weer van de grond af aan hebt opgebouwd? Dat kan weken en zelfs maanden duren, zo verzekerden deskundigen het college. Bovendien betekent dat vrijwel zeker het verlies van vaak cruciale databestanden. En dus sloeg de weegschaal door naar de andere kant: we betalen het losgeld. Over de hoogte daarvan is niet onderhandeld, want ook dat kon de zaak weleens erger maken, was de gedachte: dadelijk vragen ze van de weeromstuit het dubbele. “We wilden geen extra irritatie”, zegt Bos.

Op 29 december viel, na overleg met decanen en directeuren en de raad van toezicht, het besluit om aan de eisen van de hackers tegemoet te komen, de volgende dag nog kreeg men de sleutel en kon het reparatiewerk beginnen, waardoor op 6 januari in ieder geval het onderwijs redelijk ongestoord hervat kon worden.

Observant maakte op 2 januari bekend dat de UM losgeld had betaald. De vraag is waarom het college dat zelf niet deed, in het kader van het hier - tot zelfs in het strategisch programma - officieel beleden beleid van openheid en transparantie. Daarover is rond de jaarwisseling inderdaad nagedacht, zegt woordvoerder Fons Elbersen. Maar men achtte de eventuele risico’s te groot. Ook op advies van cybersecuritybedrijf Fox-IT is besloten om tijdens het proces van herstel voorlopig de kaken op elkaar te houden, om bijvoorbeeld andere hackers niet de indruk te geven dat er bij deze universiteit misschien nog wel meer te halen zou zijn.

Bos meldt woensdag dat ook externe instanties zijn ingelicht over het besluit om losgeld te betalen: het ministerie van Onderwijs, Cultuur en Wetenschap en de Onderwijsinspectie. Van hen kwam op dat moment geen reactie.

Kosten

Het college van bestuur blijft cryptisch over de kosten die tot nu toe met de cyberaanval gemoeid zijn, nog los van de bijna twee ton aan losgeld. Dat betreft in ieder geval de hulp van Fox-IT tot op de dag van vandaag, net als de kosten van de speciaal ingehuurde woordvoerder Fons Elbersen die de reguliere UM-woordvoerder Gert van Doorn verving. De laatste was bij de uitbraak van de crisis op vakantie aan de Moezel. Bos vindt het “prematuur” om dergelijke (nog lopende) kosten nu al te specificeren. Verder zou er immateriële schade kunnen zijn, erkent het college, maar hoe en wat precies, daar zegt men weinig over. Is er bijvoorbeeld reputatieschade? De hoop is dat medewerkers en (toekomstige) studenten zien dat de UM hun belangen “bijzonder zwaar” neemt. Verder zijn er “voor zover we weten” geen onderzoeksvoorstellen in het gedrang gekomen en zijn er ook geen wetenschappelijke data ontvreemd, noch is er mee geknoeid. Dat “hebben we meer dan aannemelijk kunnen maken”. De formulering laat zien dat er nog geen 100 procent zekerheid op dit punt is. En die komt er ook niet, voegt directielid bij Fox-IT Frank Groenewegen toe: “Zelfs na zes maanden onderzoek zouden we die garantie nog niet kunnen geven.”

Complete controle

Hoe vond de hack überhaupt plaats? Op 15 oktober, zo vertelt een andere medewerker van Fox-IT, werd de phishing link op een laptop van een medewerker geplaatst. Daarna wisten de hackers zich stap voor stap handmatig een weg binnen de UM-systemen te banen. “Op 21 november hadden ze de complete controle over de netwerken.” Op 19 december kwam er een antivirusmelding, maar, zo zegt hij, voordat de UM daar goed op reageerde hadden de hackers al de antivirussoftware verwijderd. Op 23 december tenslotte werd de aanval geactiveerd.

Fox-IT heeft ook weten te achterhalen wie er achter de actie zat. Het is een groep die zich Grace-RAT noemt, ook bekend als TA-505. Het zijn Russisch sprekende criminelen, die niet per se vanuit Rusland werken. Deze groep, al zo’n vijf jaar actief, zou de uitvinder van de CLOP-ransomware zijn: “Sinds februari 2019 zijn er al meer dan 150 slachtoffers.”

Te laat

Was de hack te voorkomen? Hoe zat het met de beveiliging? Volgens de UM zijn er hoe dan ook geen aanwijzingen dat Maastricht slechter was beveiligd dan de zusterinstellingen in de rest van het land; zij werken, als het gaat om ICT-voorzieningen en ICT-vernieuwing, samen via SURF. Sowieso bestaat er zover bekend nog geen decryptor om een besmetting met CLOP teniet te doen.  “We waren kwetsbaar, zoals zo veel organisaties”, vertelt Bos, maar dat wil niet zeggen dat de beveiliging “onvoldoende op orde was”.

Zo heeft de UM in 2018 en 2019 tal van maatregelen genomen vanwege de nieuwe privacywet (AVG) die ook de cyberveiligheid op een hoger niveau heeft gebracht, zegt hij. Voor 2020 en verder zijn “extra budgetten” gereserveerd voor de vernieuwing van de ICT. Hieronder valt ook de inrichting van een Security Operations Center (SOC); een team dat zich puur en alleen met cyberbedreigingen bezighoudt. Dat is nu in januari van start gegaan. “Te laat”, erkent Chief Information Officer Michiel Borgers.

Tegelijkertijd benadrukt Bos dat een universiteit ondanks alle maatregelen en investeringen kwetsbaar zal blijven. Het is immers een open en toegankelijke instelling (ook voor mensen die iets kwaads in zin hebben) die het moet doen met een krappe financiering vanuit het ministerie van Onderwijs, puur en alleen bedoeld voor onderwijs en onderzoek. Voor de bestrijding van cybercriminaliteit krijgt men niets extra’s. En last but not least is het mensenwerk. Bos: “De zwakste schakel zit tussen het toetsenbord en de stoel.” Ook bij deze aanval begon het met een laptop (“patient zero”, hij stond als corpus delicti demonstratief voor in de aula) en een klik op een onbekende link.

De UM wil in de toekomst meer samenwerken met instellingen in binnen- en buitenland, zei CIO Michel Borgers, onder andere als het gaat om de inrichting van een 24/7 monitoringsysteem. Maar honderd procent veiligheid, dat bestaat niet, benadrukte een expert van Fox-IT woensdagmiddag. En bovendien: “Extra veiligheid gaat bijna altijd ten koste van gemak en toegankelijkheid.” Op dit moment is de “dijkbewaking” zo hoog, voegt Bos toe, dat de UM veel beter in staat is om aanvallen tegen te houden en te detecteren. Overigens is men niet van plan om zich te verzekeren tegen dit soort aanvallen, zegt Bos. Bij zijn weten is geen enkele zusterinstelling verzekerd, “en het maakt de morele afweging ook niet gemakkelijker.”

De grootste les die te leren valt uit dit alles? Als door deze, voor de UM weinig fortuinlijke episode, de samenleving beseft dat het hier om een “veiligheidsissue van de hoogste orde” gaat, zijn die zes intensieve en zware weken niet voor niets geweest, vindt Bos. “Het boek van Volkskrant-journalist Huib Modderkolk heet niet voor niets: Het is oorlog, maar niemand die het ziet.”

Wammes Bos, Riki Janssen

Duizend malware aanvallen per dag

De Universiteit Maastricht houdt per seconde (!) 30 duizend “verdachte netwerkpakketten tegen”, vertelt het hoofd ICTS, Jacques Beursgens. Per dag zijn er gemiddeld zo’n duizend aanvallen van malware en dat aantal loopt op.
Hoe groot is het ICT-netwerk? Het omvat 90 knooppunten, 40 locaties (van Venlo tot Maastricht), 7300 windows-netwerkplaatsen, 1650 unit- en windowsservers. Beursgens: “Als je paar servers vergeet te updaten, dus de verouderde software niet vervangt, zoals in oktober bij de start van de aanval het geval was, dan ligt daar de zwakke plek.”

Wat moet er gebeuren om een herhaling te voorkomen?

  • Het allerbelangrijkste is bewustwording kweken bij studenten en medewerkers, zodat ze phishing mails van normale mails leren onderscheiden.
  • Een betere detectie en preventie: beveiligingsupdates op alle servers doorvoeren en een 24/7 monitoring ontwikkelen
  • Segmentatie binnen het netwerk: onder andere door het plaatsen van ‘branddeuren’ zodat sommige delen van het netwerk afgesloten kunnen worden van de buitenwereld. En een beperkter aantal mensen toegang geven tot alle onderdelen van het netwerk.
  • Zorgen voor online en offline back-ups.

Vrijwillig

Tal van medewerkers (IT’ers, communicatie en anderen) zijn in de kerstvakantie opgetrommeld om de hack het hoofd te bieden. Dit is gebeurd op basis van vrijwilligheid, laat het college van bestuur weten, er is geen morele druk uitgeoefend.  Eerder gaven enkele reacties op de site van Observant een ander beeld. “We hadden geen keus, zeg je nee, dan sta je op straat”, schrijft iemand onder het artikel over de nieuwjaarsborrel, het moment dat collegevoorzitter Martin Paul de saamhorigheid roemde en de UM “een grote familie” noemde die in tijden van crisis de schouders eronder zet.

“Zeer grote morele bezwaren” tegen betaling losgeld
symposium
Auteur: Redactie

Loraine Bodewes

Tags: hack,cyberaanval,symposium

Reacties

Eleni Liapi

No mention of reporting to Autoriteit Persoonsgegevens within the first 72hrs. Well done. (That was sarcasm, obviously).

Ralph Schoneman

“De Onschendbaarheidsschaal”
Het was weer raak woensdag 5 februari. De systemen lagen weer plat. Alweer een cyber attack? Dat zou wat zijn. Juist op de dag dat de UM openheid van zaken zou geven over hoe het in hemelsnaam mogelijk was dat zulk goed beveiligde systemen toch gehackt konden worden.
Maar nee, het was minder spectaculair. Het was een stroomstoring. De eerste gedachte bij mij was dat als gevolg van de cyber attack de UM niet in staat was geweest om de energierekening te betalen of was het dat men vergeten was het contract met de energieleverancier te verlengen (ja, ook dat gebeurt weleens bij de UM). Over de echte oorzaak zullen we nog wel lang in het spreekwoordelijke duister blijven tasten.
Blijft echter wel staan dat we na de cyber attack van december waar we weken niet ons werk konden doen, nu alweer met de armen over elkaar zaten. Denk nu niet dat 2 uurtjes niet werken zo’n verschil zal maken, want wat men blijkbaar vergeet is dat we nog behoorlijke achterstanden hebben als gevolg van de cyber attack en tot op heden nog steeds niet alle systemen online hebben. Studenten en medewerkers hebben gedurende lange tijd zich koest gehouden en zich zelfs zeer begripvol getoond naar het OBP binnen SBE. Dank hiervoor overigens. Echter merk ik dat het geduld nu wel begint op te raken. Zeker bij mij was woensdag 5 februari het moment dat de bewuste druppel de emmer deed overlopen.
Wat is dit voor een instelling? Men heeft de mond vol over een veilige omgeving en over leiderschap. Zorg eerst eens voor een omgeving waar men überhaupt zijn of haar werk kan doen en begin helemaal niet over leiderschap. (over dat leiderschap kom ik zo nog op terug).
Denk niet dat de cyber attack en de “stroomstoring” nu de enige zaken zijn die de emmer bij mij hebben doen overlopen. Nee, wat dacht je van VDI waardoor om de haverklap dan wel outlook, Excel of Word blijft hangen en je weer opnieuw mag beginnen. Of dat men doodleuk een Adobe software vervangt door een ander pakket waardoor je bepaalde documenten vanuit SAP slcm niet meer kan verwerken. Vooral de gebruikers hier niet over informeren. Sop het je maar op.
Bovenstaande zijn maar een paar voorbeelden waar we dus constant mee te maken krijgen en ons daardoor voortdurend in allerlei bochten moeten wringen om toch onze werkzaamheden te kunnen uitvoeren. Kunnen we niet net als ICTS externe partijen invliegen om de boel te herstellen en op te ruimen? Of is daar dan opeens geen budget voor?
“Goh, wat een klaagzang” hoor ik u nu denken. Tja, dan is dat maar zo. Ik ben het echter beu om dit alles maar stilzwijgend te accepteren en net te doen of het allemaal wel meevalt. Gelukkig werk ik bij SBE waar we, in tegenstelling tot ICTS (zie Observant-online 07-01-2020), geen angst hoeven te hebben om onze mening te uiten en dus niet anoniem hoeven te posten.
Men heeft er bij de UM een handje van om constant naar anderen te wijzen als er iet mis gaat. De cyber attack is de schuld van hackers uit Rusland, de stroomstoring de schuld van het Datacentrum Daalhof. Nooit wijst men eens een keer naar zichzelf. Nee, stel je voor dat de oorzaak van de dagelijkse ellende bij onbehoorlijk bestuur zou liggen. Steek nu eens een keer de hand in eigen boezem! Geef toe dat je hebt gefaald en trek hieruit je conclusies. Maar blijkbaar zit je vanaf een bepaalde schaal bij de UM toch wel erg veilig. Ik noem het de “onschendbaarheidsschaal”. Het is de pappen en nathouden methode en vooral niemand vanaf een bepaalde schaal afrekenen op zijn of haar incompetentie. Dat heeft men zeker niet geleerd bij de leiderschap cursus van Antoon Vugts. Oh, nee, die is alleen voor aankomende en beginnende leiders. Die hebben onze door de wol geverfde leiders natuurlijk niet nodig.
Zo, ik heb mijn frustratie van mij afgeschreven en ga weer lekker aan het werk, tenminste als ik kan inloggen. Ik besef mij terdege dat na de publicatie van dit stukje ik nooit de “Onschendbaarheidsschaal” zal bereiken. Gelukkig heb ik deze ambitie nooit gehad en heb ik sowieso daarvoor niet de benodigde competenties. Gelukkig weet ik dat van mijzelf. Ik wel.

Eleni Liapi

To the fellow above:
I add to your scale the concept of affinity scam. I mean look, just LOOK who is in the Executive Board.

Nico Rasters

Er zijn collega's die de UM complimenteren met het symposium. O.a. vanwege het heldere verhaal, de openheid, en de geleerde lessen.
Daarom heb ik geprobeerd om -vanuit dat perspectief- de livestream nogmaals te beluisteren. Ik ben echter niet overtuigd en blijf bij mijn mening.
Toegegeven, het heeft een hoog spiegeltjes en kraaltjes gehalte, en het is zogenaamd "technisch", maar dat kan geen excuus zijn om het verhaal voor zoete koek te slikken.

De UM was negatief in het nieuws, en het hele verhaal was eigenlijk al bekend. De uitdaging voor de propaganda afdeling was om er iets positiefs van te maken. Het organiseren van een symposium was een slimme zet, maar er was het gevaar van een kritische deelnemer. Vandaar dat alleen het management was uitgenodigd. De zaal zat dus NIET vol met ict-deskundigen, zoals de Observant schrijft. Ook konden er enkel na afloop van het symposium vragen worden ingestuurd.

De opening zette de toon voor de rest van de middag. Er staat een laptop tentoongesteld en alle verantwoordelijkheid en aansprakelijkheid wordt met een paar uitspraken aan de kant geschoven:
"Met één simpele muisklik is een enorme crisis veroorzaakt. En zo is zo'n grote calamiteit terug te brengen tot één apparaat en één simpele handeling. We gaan het de hele middag verder hebben over de gevolgen van die handeling."
Dit is pure kolder.

Over toonzetting gesproken, het gebruik van de term "cyberattack" was zeer doordacht. Hiermee kon de UM zich de rol van slachtoffer aanmeten. Ze waren immers "aangevallen". Dit gaf ook het opstapje naar "martelaar". Het is oorlog, maar dankzij de UM is de wereld hier nu van op de hoogte.
Er zit overduidelijk geen UM in "Mea Culpa".

De echte bliksemafleider was het losgeld. Door hier initieel over te zwijgen ging er alle aandacht naar uit. Zie ook de titel van dit artikel. "Zeer grote morele bezwaren tegen betaling losgeld". Hierover kunnen we een aantal dingen opmerken:
1.) Dit was geen duivels dilemma. De UM had zichzelf -door wanbeleid en onvermogen- in een situatie geplaatst waarin het betalen van losgeld de enige optie was.
2.) De UM heeft waarschijnlijk een veelvoud aan Fox-IT betaald. Openheid? Nick Bos vertelt niet hoeveel.
3.) De criminelen hebben op tijd en zonder over het budget te gaan datgene opgeleverd wat was afgesproken. Dat is een unicum bij IT projecten binnen de UM. Bovendien stelt 2 ton niks voor als je het afzet tegen de miljoenen die de UM door de jaren heen op IT gebied heeft verbrast. Vraag maar eens hoeveel de nieuwe UM website tot nu toe heeft gekost. Over SAP zullen we het maar niet hebben.

Het vergrootglas moest van de UM af. Vandaar ook de vele pogingen om het als "maatschappelijk probleem" weg te zetten.
De UM wil in de toekomst meer samenwerken met externe partijen. Wordt dat een nieuw ReFocus project? We kunnen intern niet eens samenwerken.

"Lessons Learnt" was de pakkende titel van het symposium dat daarna geheel in het Nederlands werd gevoerd.
De zogenaamde lessen bestonden echter uit gezond verstand en BASISTHEORIE netwerk beveiliging. Voor 11,99 euro kun je online een cursus (https://www.udemy.com/course/network-security-course/) volgen. Dit zijn zaken die je op orde MOET hebben.
De oorzaak van de crisis is dan ook niet een simpele muisklik geweest, maar wanbeleid op IT gebied.

Fijn trouwens dat het dure rapport van Fox-IT meldt dat je Excel macro's alleen moet accepteren als ze zijn getekend.
Datzelfde advies heb ik een tijdje geleden al gratis verstrekt. Zie mijn commentaar op https://www.observantonline.nl/Home/Artikelen/articleType/ArticleView/articleId/17885/Van-onze-wetenschappelijke-data-is-niets-verdwenen.
Dit is geen kritiek richting Fox-IT. Het is wel kritiek richting de UM, en dan specifiek "De Berg" (ook wel de "overhead op de overhead" van de UM). Ondanks dat we zeer grote M&C en IT afdelingen hebben, worden er continu externe partijen ingevlogen om het echte werk te doen.

Bij de faculteiten zijn we nog steeds aan het dweilen. Ik wou schrijven "met de kraan open", maar ICTS heeft (uit blinde paniek) alles dichtgedraaid.

Voeg reactie toe

Klik hier voor onze privacyregels

Vanaf januari 2022 plaatst Observant alleen nog reacties van mensen wier naam bekend is bij de redactie.