Dat liet de vicevoorzitter van het college van bestuur, Nick Bos, woensdagmiddag 5 februari weten aan een volle zaal met vooral media en ict-deskundigen tijdens een zogenoemd ‘symposium’ over de cyberaanval.
Eerst maar de betaling van losgeld. Om precies te zijn, er is 197 duizend euro betaald, dertig bitcoins. Het was een “duivels dilemma”, het college is daarbij “niet over één nacht ijs gegaan”, zegt Bos, tevens hoofd van het crisismanagementteam. Moest men de criminelen geven wat ze willen? Daaraan kleven voor een instelling die haar geld van de overheid krijgt, “zeer grote morele bezwaren”. En, voegt Bos toe, “als bestuurder gruw je van die gedachte”.
Maar nood breekt wet. Want hier stond “de continuïteit van de UM” op het spel, zegt hij. “Studievoortgang, wetenschappelijk onderzoek, duurzame veiligheid van data, bedrijfsprocessen”; met dat alles liep de UM “onaanvaardbare” risico’s. Want als bestanden versleuteld zijn en je hebt de sleutel (“decryptor”) niet, hoe lang duurt het dan voordat je alles weer van de grond af aan hebt opgebouwd? Dat kan weken en zelfs maanden duren, zo verzekerden deskundigen het college. Bovendien betekent dat vrijwel zeker het verlies van vaak cruciale databestanden. En dus sloeg de weegschaal door naar de andere kant: we betalen het losgeld. Over de hoogte daarvan is niet onderhandeld, want ook dat kon de zaak weleens erger maken, was de gedachte: dadelijk vragen ze van de weeromstuit het dubbele. “We wilden geen extra irritatie”, zegt Bos.
Op 29 december viel, na overleg met decanen en directeuren en de raad van toezicht, het besluit om aan de eisen van de hackers tegemoet te komen, de volgende dag nog kreeg men de sleutel en kon het reparatiewerk beginnen, waardoor op 6 januari in ieder geval het onderwijs redelijk ongestoord hervat kon worden.
Observant maakte op 2 januari bekend dat de UM losgeld had betaald. De vraag is waarom het college dat zelf niet deed, in het kader van het hier - tot zelfs in het strategisch programma - officieel beleden beleid van openheid en transparantie. Daarover is rond de jaarwisseling inderdaad nagedacht, zegt woordvoerder Fons Elbersen. Maar men achtte de eventuele risico’s te groot. Ook op advies van cybersecuritybedrijf Fox-IT is besloten om tijdens het proces van herstel voorlopig de kaken op elkaar te houden, om bijvoorbeeld andere hackers niet de indruk te geven dat er bij deze universiteit misschien nog wel meer te halen zou zijn.
Bos meldt woensdag dat ook externe instanties zijn ingelicht over het besluit om losgeld te betalen: het ministerie van Onderwijs, Cultuur en Wetenschap en de Onderwijsinspectie. Van hen kwam op dat moment geen reactie.
Kosten
Het college van bestuur blijft cryptisch over de kosten die tot nu toe met de cyberaanval gemoeid zijn, nog los van de bijna twee ton aan losgeld. Dat betreft in ieder geval de hulp van Fox-IT tot op de dag van vandaag, net als de kosten van de speciaal ingehuurde woordvoerder Fons Elbersen die de reguliere UM-woordvoerder Gert van Doorn verving. De laatste was bij de uitbraak van de crisis op vakantie aan de Moezel. Bos vindt het “prematuur” om dergelijke (nog lopende) kosten nu al te specificeren. Verder zou er immateriële schade kunnen zijn, erkent het college, maar hoe en wat precies, daar zegt men weinig over. Is er bijvoorbeeld reputatieschade? De hoop is dat medewerkers en (toekomstige) studenten zien dat de UM hun belangen “bijzonder zwaar” neemt. Verder zijn er “voor zover we weten” geen onderzoeksvoorstellen in het gedrang gekomen en zijn er ook geen wetenschappelijke data ontvreemd, noch is er mee geknoeid. Dat “hebben we meer dan aannemelijk kunnen maken”. De formulering laat zien dat er nog geen 100 procent zekerheid op dit punt is. En die komt er ook niet, voegt directielid bij Fox-IT Frank Groenewegen toe: “Zelfs na zes maanden onderzoek zouden we die garantie nog niet kunnen geven.”
Complete controle
Hoe vond de hack überhaupt plaats? Op 15 oktober, zo vertelt een andere medewerker van Fox-IT, werd de phishing link op een laptop van een medewerker geplaatst. Daarna wisten de hackers zich stap voor stap handmatig een weg binnen de UM-systemen te banen. “Op 21 november hadden ze de complete controle over de netwerken.” Op 19 december kwam er een antivirusmelding, maar, zo zegt hij, voordat de UM daar goed op reageerde hadden de hackers al de antivirussoftware verwijderd. Op 23 december tenslotte werd de aanval geactiveerd.
Fox-IT heeft ook weten te achterhalen wie er achter de actie zat. Het is een groep die zich Grace-RAT noemt, ook bekend als TA-505. Het zijn Russisch sprekende criminelen, die niet per se vanuit Rusland werken. Deze groep, al zo’n vijf jaar actief, zou de uitvinder van de CLOP-ransomware zijn: “Sinds februari 2019 zijn er al meer dan 150 slachtoffers.”
Te laat
Was de hack te voorkomen? Hoe zat het met de beveiliging? Volgens de UM zijn er hoe dan ook geen aanwijzingen dat Maastricht slechter was beveiligd dan de zusterinstellingen in de rest van het land; zij werken, als het gaat om ICT-voorzieningen en ICT-vernieuwing, samen via SURF. Sowieso bestaat er zover bekend nog geen decryptor om een besmetting met CLOP teniet te doen. “We waren kwetsbaar, zoals zo veel organisaties”, vertelt Bos, maar dat wil niet zeggen dat de beveiliging “onvoldoende op orde was”.
Zo heeft de UM in 2018 en 2019 tal van maatregelen genomen vanwege de nieuwe privacywet (AVG) die ook de cyberveiligheid op een hoger niveau heeft gebracht, zegt hij. Voor 2020 en verder zijn “extra budgetten” gereserveerd voor de vernieuwing van de ICT. Hieronder valt ook de inrichting van een Security Operations Center (SOC); een team dat zich puur en alleen met cyberbedreigingen bezighoudt. Dat is nu in januari van start gegaan. “Te laat”, erkent Chief Information Officer Michiel Borgers.
Tegelijkertijd benadrukt Bos dat een universiteit ondanks alle maatregelen en investeringen kwetsbaar zal blijven. Het is immers een open en toegankelijke instelling (ook voor mensen die iets kwaads in zin hebben) die het moet doen met een krappe financiering vanuit het ministerie van Onderwijs, puur en alleen bedoeld voor onderwijs en onderzoek. Voor de bestrijding van cybercriminaliteit krijgt men niets extra’s. En last but not least is het mensenwerk. Bos: “De zwakste schakel zit tussen het toetsenbord en de stoel.” Ook bij deze aanval begon het met een laptop (“patient zero”, hij stond als corpus delicti demonstratief voor in de aula) en een klik op een onbekende link.
De UM wil in de toekomst meer samenwerken met instellingen in binnen- en buitenland, zei CIO Michel Borgers, onder andere als het gaat om de inrichting van een 24/7 monitoringsysteem. Maar honderd procent veiligheid, dat bestaat niet, benadrukte een expert van Fox-IT woensdagmiddag. En bovendien: “Extra veiligheid gaat bijna altijd ten koste van gemak en toegankelijkheid.” Op dit moment is de “dijkbewaking” zo hoog, voegt Bos toe, dat de UM veel beter in staat is om aanvallen tegen te houden en te detecteren. Overigens is men niet van plan om zich te verzekeren tegen dit soort aanvallen, zegt Bos. Bij zijn weten is geen enkele zusterinstelling verzekerd, “en het maakt de morele afweging ook niet gemakkelijker.”
De grootste les die te leren valt uit dit alles? Als door deze, voor de UM weinig fortuinlijke episode, de samenleving beseft dat het hier om een “veiligheidsissue van de hoogste orde” gaat, zijn die zes intensieve en zware weken niet voor niets geweest, vindt Bos. “Het boek van Volkskrant-journalist Huib Modderkolk heet niet voor niets: Het is oorlog, maar niemand die het ziet.”
Wammes Bos, Riki Janssen