“Als ik een beroep doe op mensen om te werken met kerst, dan moet ik er zelf ook zijn”

CvB-vicevoorzitter Nick Bos kijkt terug op 2020

11-12-2020

Nee, 2020 was zeker geen gemakkelijk jaar, erkent de vicevoorzitter van het college van bestuur, Nick Bos. Maar - het interview is nog geen minuut aan de gang – hij wil niet dat dit een verhaal wordt van een bestuurder die klaagt over zijn lange werkdagen en hoge werkdruk, daar past hij voor. “Ik realiseer me maar al te goed dat ik een geprivilegieerde positie inneem: kinderen het huis uit, een makkelijke thuissituatie. Heel anders dan de docenten die dit voorjaar van de ene op de andere dag moesten overschakelen op online-onderwijs, met twee of drie kinderen thuis die ze les moesten geven, soms klein behuisd. Dit trok en trekt nog steeds een zware wissel op iedereen, we vragen veel van onze medewerkers en studenten. Tegelijkertijd ben ik er trots op hoe we met zijn allen de continuïteit van het onderwijs en onderzoek hebben weten te waarborgen. Ik ben dankbaar dat de studenten toch redelijk tevreden zijn, al is het allemaal niet ideaal.”

Geen klaagzang dus, wel het verhaal hoe om te gaan met twee grote crises kort achter elkaar: eerst de cyberaanval die de UM op 23 december 2019 trof, en half maart 2020 - de naweeën van de hack waren nog voelbaar - kwam daar de coronacrisis overheen. Telkens trad Bos op als hoofd van het crisismanagementteam (CMT). “Ik had nog nooit een crisis van zo’n omvang meegemaakt. Er waren wel oefeningen waaraan we meededen, en uiteraard leer je ook van kleinere crises. Nee, ik ga niet zeggen welke, dan wordt dat weer opgerakeld.”

Gezonde spanning

Hij bleek goed bestand tegen de druk die zulke intense gebeurtenissen met zich meebrengen. “Ik ben niet snel zenuwachtig, maar voel wel altijd een gezonde spanning. Dat is goed, daardoor kun je scherp nadenken. En dat was nodig. De belangrijkste vraag in die eerste dagen rondom Kerst 2019: gingen we de cybercriminelen betalen? Wat betekent het als we het niet doen? We hebben alle keuzes uitgewerkt, onderbouwd en vervolgens voorgelegd aan de Raad van Toezicht, de decanen, directeuren. Uiteindelijk waren we het met elkaar eens. Zouden we niet betalen (het ging uiteindelijk om bijna twee ton, red.) dan zou de UM drie tot vier maanden uit de roulatie zijn. De schade per maand zou tussen de 20 en 25 miljoen liggen, bleek uit onze berekeningen. Denk aan die 18 duizend studenten die studievertraging oplopen, later afstuderen, langer een kamer moeten huren, meer studiefinanciering nodig hebben, onderzoekers die vertraging oplopen, enzovoort, enzovoort.”

Media op de stoep

En dan waren er de media die letterlijk op de stoep van de Grote Looiersstraat - daar in de burelen van ICTS was het hoofdkwartier van het CMT - stonden. “Wat gingen we daarmee doen? We hebben uiteindelijk bewust gekozen om alles openbaar te maken op òns moment, als we meer zicht hadden op wat er gebeurd was en onze systemen weer up and running waren. De buitenwereld moest dus even geduld hebben. Dat was spannend. Je weet dat er vragen komen, interpretaties, speculaties. Sommige media meldden die dagen dat we een miljoen aan de criminelen hadden betaald.” Observant onthulde al op 2 januari dat er losgeld was betaald, vermoedelijk een paar ton euro. Het was nieuws dat door talloze media werd opgepikt, tot en met het NOS Journaal. De universiteit wilde dat op dat moment bevestigen noch ontkennen. “De berichtgeving in Observant was niet echt hinderlijk, maar het doorkruiste wel ons communicatiebeleid om niet vroegtijdig de discussie over euro’s te voeren.”

Begin februari gaf de UM tijdens een speciale bijeenkomst in de aula openheid van zaken. “In alle onbescheidenheid, we hebben dat goed gedaan en zijn onder andere door de onderwijsinspectie (die de hele zaak heeft onderzocht en er in juni 2020 een rapport over uitbracht, red.) geprezen omdat we een maatschappelijk debat op gang hebben gebracht, men denkt nu na hoe de weerbaarheid van universiteiten en andere organisaties verbeterd kan worden. Hadden wij geprobeerd om het te verzwijgen – dat was sowieso lastig geweest, maar veel instanties houden na een cyberhack veertien dagen de gordijnen dicht en zeggen niets – dan was dit niet gebeurd. Ik word nog regelmatig gebeld voor advies door organisaties die zijn gehackt. Laatst hadden we nog een Franse filmploeg op bezoek: wat hebben jullie gedaan, wilden ze weten, welke inzichten heeft het opgeleverd? In Frankrijk zijn ook veel hacks, maar daar is weinig openheid.”

Pottenkijkers

Op 24 december, vanaf het moment dat de medewerkers van Fox-IT het gebouw betraden, gingen wel letterlijk de gordijnen dicht. “De eerste nacht, van 23 op 24 december, hebben we besloten dat we Fox-IT zouden inhuren. Ze wilden geen pottenkijkers, stel je voor dat een camera kon fotograferen wat er op ons white board stond. En de Fox-medewerkers wilden anoniem blijven, gingen niet via de voordeur, waar de camera’s stonden, naar buiten.” Het inhuren van Fox-IT was een van de beste beslissingen, vindt Bos achteraf. “Dit soort deskundigheid heb je nodig, zij hadden al tweehonderd hacks achter de rug en hielpen met de onderhandelingen. Stap één was: laat de hackers aantonen dat ze de decryptor in handen hebben. Daarna kunnen we verder onderhandelen.”

Dijkbewaking

Was het te voorkomen geweest? “Ja, met de verhoogde 24/7 dijkbewaking die we nu hebben – kosten: meer dan een miljoen per jaar extra - hadden we ze beter buiten de deur kunnen houden. Maar er zijn ook nu geen garanties: we hebben te maken met uiterst professionele cybercrime organisaties. Mochten ze toch binnenkomen, dan kunnen we ze vroeger traceren. We betalen die dijkbewaking momenteel zelf en op termijn hopelijk, bij wijze van shared facility, gedeeld in VSNU-verband. We moeten blijven investeren, die cybercriminelen zijn professionals, die zitten ook niet stil. Geen enkele organisatie is onaantastbaar. Zelfs Fox-IT is twee jaar geleden gehackt. Wat we nu wel vrij zeker weten is dat er geen datalek was, tot dusver zijn er geen aanwijzingen dat er gerommeld is met data.”

Tweede crisis

De ervaringen opgedaan tijdens de cyberaanval waren behulpzaam bij de corona-lockdown, zegt Bos. Hoe anders de crises ook zijn: de cyberattack kwam onverwachts, Maastricht bleek de enige getroffen universiteit en moest zelf het wiel uitvinden. Bovendien was er sprake van een morele keuze: “Betalen we de hackers, hoe verwerpelijk ook, of niet?” Nu tijdens corona zit de hele wetenschappelijke wereld in hetzelfde schuitje en zijn er regels en richtlijnen vanuit het RIVM en de GGD. “De keuzes zijn niet heel moeilijk, die wijzen zich bijna vanzelf, zeker als je ook goed luistert naar de organisatie.”

“Wat niet hielp was dat onze mensen, denk aan medewerkers op IT-gebied en onderwijs, al vermoeid waren door de cyberattack en nu deden we opnieuw een zwaar beroep op hen om het onderwijs online te krijgen.” Wat wel hielp waren de ervaringen met het CMT, dat tijdens corona opnieuw in het leven werd geroepen. “Het kernteam bestaat uit ongeveer zeven mensen, samen bepalen we: wat zijn de vraagstukken, wie zijn de doelgroepen? En vervolgens: wie hebben we aan tafel nodig? Welke experts? Onder het CMT zit een boomstructuur die tot diep in de organisatie komt. Stel je wilt weten hoe het met de roosters staat, dan gaat de expert naar de hoofden van bureaus onderwijs om uiteindelijk bij de roosteraars uit te komen. Doel is steeds om ‘rijke’ informatie te krijgen, diep uit de faculteiten en servicecentra. Op basis daarvan nemen we besluiten. Het gaat ook andersom, dat wij ons buigen over vragen uit de universiteit. Je werkt ook deels met dezelfde mensen. En we stemmen ons beleid steeds af met directeuren, decanen, externe partijen als de VSNU, het ministerie, de Onderwijsinspectie.” Na een aantal maanden is het CMT als zodanig gestopt en heeft het college de rol overgenomen. De werkwijze is niet eens zozeer gewijzigd: de rector en voorzitter nemen in de boomstructuur alles rondom onderwijs en internationalisering voor hun rekening.

Zeven kenmerken van een goede crisisleider

In NRC van begin oktober werd bijna een hele bijlage gewijd aan ‘de zeven kenmerken van een goede crisisleider’. Die komen vrijwel overeen met de eigenschappen die Bos naar eigen zeggen hebben geholpen als crisismanager. “Ik ken de organisatie goed, in de volle breedte, dat helpt je om te begrijpen wat er geraakt is en waar we rekening mee moeten houden. Verder ben ik in staat om veel verschillende informatie in me op te nemen en die snel te analyseren, terug te brengen tot de kern. Bovendien durf ik snel beslissingen te nemen en kijk ik niet alleen naar onze eigen organisatie. Je moet een brede blik hebben, onze zusterinstellingen hielden we goed op de hoogte. Wij waren niet de enigen die werden aangevallen, een aantal universiteiten hing bijna ook aan het haakje. Door onze informatie konden ze net op tijd ontkomen.” En als laatste: “Ik heb geprobeerd een voorbeeld te zijn. Als ik een beroep doe op mensen om te werken met kerst, dan moet ik er zelf ook zijn.”

Puppie

Hij maakte werkdagen van zo’n twaalf uur en dan in de auto naar huis nog telefoontjes plegen met jan en alleman. Hij grinnikt als hij de vraag hoort: ja, zijn vrouw herkent hem nog. En relativerend: tijdens het zomerreces ging het werktempo echt omlaag en onlangs was “hij twee weken niet op het werk”. Wat dat precies inhield? Hij gaat er niet op in maar toont enthousiast een paar foto’s van hun puppy van zes maanden, een Duitse staander. Een bron van vreugde in een jaar dat hij een “annus horribilis” noemt, met ellende die “je liever niet zou willen meemaken”, maar ook een jaar waarin hij “heel intens heeft geleefd. Het was een diepe ervaring, met een enorme saamhorigheid binnen de UM. Want behalve een pissig artikel in Observant (geschreven op basis van ingezonden brieven waarin medewerkers klaagden dat ze geen nee konden of durfden te zeggen tegen het verzoek om te komen werken, red.) dat deels gebaseerd was op anonieme klagers en waarin sprake was van heuse dwang, iets wat ik niet herken, ken ik alleen maar mensen die wilden helpen tijdens de kerst, zoveel zelfs dat we zeiden: dat kan niet, we gaan elkaar voor de voeten lopen.  Die loyaliteit, die samenwerking in het college van bestuur, met de decanen, directeuren, IT-medewerkers, onderwijsstaf, communicatie, tijdens de cyberaanval en nu weer tijdens corona: dat heeft me enorm gesterkt en sterkt me nog steeds.”

Kerstinterviews Observant

Dit is een interview van de kerstspecial van Observant waarin wij medewerkers en een student vragen terug te blikken op 2020. Voor velen was het een bewogen jaar.

Andere artikelen die in deze reeks verschenen: HR-adviseur Pierre Schrödergeneeskundestudent Vera Schriebl, arts en onderzoeker Chahinda GhosseinMark Vluggen, onderwijsdirecteur bachelors SBE, en officier van justitie in de zaak Nicky Verstappen en docent aan de UM, Dave Mattheijs.

Op woensdag 16 december zijn de zes interviews ook te lezen in een speciale digitale kerstObservant. Te vinden als PDF op deze site.

“Als ik een beroep doe op mensen om te werken met kerst, dan moet ik er zelf ook zijn”
Nick Bos