2019-2020: En toen lag de hele uni plat door een cyberhack

Waarschuwingsborden bij de ingang van de UB, begin januari 2020

2019-2020: En toen lag de hele uni plat door een cyberhack

Serie over 50 jaar universiteit: Terug in de teit

27-05-2026 · Achtergrond

Hoe werkt het brein van een criminele hacker? Vrij rationeel, zo lijkt het. Want het groepje (Russen? Oekraïners? Helemaal helder is dat nooit geworden) dat in 2019 verantwoordelijk was voor de spectaculaire aanval op de computersystemen van de Universiteit Maastricht koos het moment suprême overduidelijk niet zomaar. Op 23 december, pal voor kerst, in de vroege avond: wie merkt dan nog dat zijn computer kuren vertoont? Geen mens waarschijnlijk, en dat betekent dat een ingebracht virus zich ongestoord zal kunnen verspreiden: stille nacht en een niet zo heilige nacht deze keer.

Medewerkers van de universitaire ict-afdeling ICTS zijn die avond om 19.35 uur wakker genoeg om te constateren dat het netwerk trager wordt. Even later schiet de UM in crisisstand: men is gehackt, vitale systemen werken niet meer, om erger ter voorkomen gaan meteen alle stekkers eruit. Het is het begin van een nachtmerrie die een ruime week zal duren maar nog veel langer zal doorwerken. Roosters, e-mail, onderzoeksdata, niets is meer toegankelijk. Tenzij de UM betaalt, want het gaat hier om ransomware, gijzelsoftware: na betaling zal men een virtuele sleutel krijgen om de zaken weer van het slot te halen, zo beloven de hackers.

Hoe kon dit? Was de UM digitaal dan zo slecht beveiligd? Eigenlijk wel, zal men later toegeven. Te veel circuits die afgeschermd hadden moeten zijn waren met elkaar verbonden, te veel mensen konden overal in, een beetje handige aanval had alle kans van slagen. En handig waren ze. Twee maanden eerder, op 15 oktober, waren al phishing mails met linkjes naar de UM verstuurd en helaas, daar was door iemand op geklikt. En de volgende dag ook weer door iemand anders. Waarna de poort openstond voor malware die vervolgens rustig het hele netwerk in kaart kon brengen. Het kerstcadeau in de vorm van een zogeheten CLOP-virus deed de rest.

Crisiscentrum

Een hele uni plat, dat is ingrijpend, en groot nieuws. Maar de eerste dagen verloopt de communicatie met de universitaire gemeenschap en de (landelijke) media belabberd. De woordvoerder van het college van bestuur is op vakantie en vindt het niet nodig om zich te melden bij het inderhaast onder leiding van collegelid Nick Bos ingerichte crisiscentrum in de bieb aan de Grote Looiersstraat. Daarop wordt op 26 december zijn voorganger ingevlogen, Fons Elbersen. Een belangrijke rol is ook weggelegd voor CISO Bart van den Heuvel. De Chief Information Security Officer heeft via zijn privé mailadres contact met de hackers, zo vertelt hij in een interview tien maanden later in een online publicatie van Géant, een Europees netwerk met daarin SURF, het Nederlandse ict-platform voor het (hoger) onderwijs. Van den Heuvel bezweert dat het communicatiebeleid van het begin af aan gericht was op “transparantie (…) alles wat intern werd gecommuniceerd ging ook naar buiten”.

De ervaring van Observant en andere media in die dagen was toch een tikje anders. Als we al iemand aan de lijn kregen waren de antwoorden summier. Er was een extern cybersecuritybedrijf ingehuurd, welk? Zelfs dat wilde men niet zeggen; het was Fox-IT, zo viel via-via te achterhalen. Woordvoerder Elbersen stelde zich ijzerenheinig op: “Ik lees nu her en der dat we aan het onderhandelen zijn. Dat woord heb ik nooit in de mond genomen.”

"Duivels dilemma"

Maar het was natuurlijk wel zo. Want waar Nick Bos het later had over het “duivelse dilemma” of je de uni maandenlang in het ongerede zou laten of toch maar losgeld moest betalen, bleken de bestuurders er reeds binnen een paar dagen uit te zijn. Vlak na kerst sijpelde al door dat op 6 januari het onderwijs weer gewoon zou beginnen. “Als je dat zegt, heb je betaald”, verzekerden cyberexperts in den lande. En dat was ook zo. Observant hoorde op 30 december - dankzij interne bronnen die het communicatiebeleid wat al te benauwd vonden voor een universiteit - dat de criminelen hun geld hadden gekregen, twee of drie ton (later bleek: 197 duizend in bitcoins). Op dringend verzoek van Elbersen om het crisisteam niet in de wielen te rijden is toen afgesproken de publicatie over de jaarwisseling heen te tillen.

Pas op 5 februari gaf de UM, en dat was ook weer ongekend, volledig opening van zaken.

50 jaar universiteit

Dit is een serie over 50 jaar UM. We duiken in onze eigen archieven: welke opzienbarende, grappige, belangrijke of wonderlijke nieuwsjes komen we tegen?

Lees hier alle voorgaande afleveringen van deze serie.

Auteur: Wammes Bos

Foto: Observant

Tags: terugindeteit,50jaar UM,cyberaanval,hack,losgeld,communicatie,crisis,icts,instagramNL

Voeg reactie toe

Klik hier voor onze privacyregels

Vanaf januari 2022 plaatst Observant alleen nog reacties van mensen wier naam bekend is bij de redactie.