Geen geld van ‘de belastingbetaler’ naar cybercriminelen

Ministerie adviseerde om niet te betalen

17-02-2020

MAASTRICHT. Het losgeld waarmee de cybercriminelen op 29 december zijn betaald nadat ze vijf dagen eerder de Universiteit Maastricht digitaal op slot hadden gezet, kwam niet uit de reguliere reserves van de UM. De verkoop van een bedrijf binnen de UM-Holding, net voordat de hack plaatsvond, had genoeg opgeleverd om de bijna twee ton losgeld mee te kunnen voldoen.

Dat meldde de minister van Onderwijs, Cultuur en Wetenschap Ingrid van Engelshoven vrijdag 14 februari in een brief aan de Tweede Kamer over de cyberaanval op de UM. Zij zegt daarin van de UM te hebben vernomen dat “de betaling van het losgeld, inclusief alle overige kosten die samenhangen met de ransomware-aanval, bekostigd zijn (sic) uit de verkoop van een deelneming van de holding Universiteit Maastricht”.

Wat betreft die overige kosten; dat wordt niet bevestigd door de plaatsvervangend UM-woordvoerder Fons Elbersen, “want die kosten zijn nog niet bekend”. Tot nog toe is alleen het losgeldbedrag van 197 duizend euro publiek gemaakt. Daarbij dient straks vooral ook de inzet van cybersecurityfirma Fox-IT opgeteld te worden. Dat zou een “substantieel bedrag” zijn, zei de vicevoorzitter van het college van bestuur Nick Bos al tijdens de persconferentie annex symposium over de hack op 5 februari. Ook woordvoerder Elbersen zelf is op freelancebasis ingehuurd, en “er zijn de kosten van extra software, zoals Carbon Black”, zegt hij.  

Hoe hoog uiteindelijk alle kosten ook zullen uitpakken, het is niet gezegd dat die geheel bestreden kunnen worden uit de verkoop van een bedrijfsonderdeel. Dat heeft ongeveer een miljoen opgeleverd, zegt de woordvoerder.

Er zijn geen regels voor de besteding van dit soort opbrengsten. Het geld kan opnieuw een private bestemming krijgen, het kan naar onderwijs en onderzoek gaan; deze keer was het de hack. "Het komt zelden voor, we kijken naar de situatie van dat moment", zegt de directeur financiële zaken van de UM, Ruud Bollen.

De universiteit is volledig eigenaar van de UM-Holding, Die was op zijn beurt voor de helft eigenaar van The Maastricht Forensic Institute (TMFI bv). Dat belang van 50 procent is op 19 december 2019, nog voordat de hack in volle omvang losbarstte, verkocht aan een in Luxemburg gevestigd bedrijf.

Wanneer precies besloten is om geld uit de commerciële tak van de UM in te zetten is niet duidelijk. De vraag is ook waarom het college van bestuur niet al in een eerder stadium op dit feit heeft getamboereerd. In de media en in politiek Den Haag worden grote vraagtekens gezet bij betaling van afpersers, en zeker als dat met het geld van ‘de belastingbetaler’ gebeurt. De aanpak van het college van bestuur lijkt eerder tegengesteld te zijn geweest: op 5 februari benadrukte Bos dat de bestuurders in een “duivels dilemma” zaten juist omdat de universiteit “een overheidsgefinancierde instelling” is. Niets over een ander potje dat benut kon worden.

Elbersen daarover: “Er is geen weloverwogen strategie geweest om het al dan niet te zeggen. Dat het geld uit een nevenactiviteit van de UM komt, maakt het niet minder erg dat je criminelen moet betalen. Het is altijd pijnlijk. Nee, ik heb zelf evenmin voorgesteld om de nadruk te leggen op de private herkomst van het geld.”

Overigens heeft Bos het op 5 februari wel gemeld, maar dat was in een apart gesprek na het symposium, met een verslaggever van Het Financieele Dagblad. Die heeft dan ook op die dag keurig geschreven waar het geld vandaan kwam: niet uit het budget voor onderwijs en onderzoek dus. Het feit is verder niet door andere media opgepikt, tot afgelopen weekend, toen de OCW-minister met haar brief kwam.

Daarin valt ook te lezen dat de regering, toen de UM op het punt stond het losgeld te betalen en de minister daarover geïnformeerd werd, liet weten dat “er geen geld naar criminelen toe moet vloeien”.

Is dat voor kennisgeving aangenomen? Of heeft er nog discussie plaatsgevonden tussen UM en minister? Elbersen: “Daarover kan ik niets zeggen.”

Geen geld van ‘de belastingbetaler’ naar cybercriminelen
cyberattack