News

‘Wij moeten minstens zo slim zijn als cybercriminelen’

| Rense Kuipers

De cyberaanval op de Universiteit van Maastricht leidde niet tot paniek op de UT, maar zorgde wel voor extra oplettendheid. ‘De kans dat zo’n aanval ons ook overkomt is er altijd. Het enige wat je kunt doen is de kans en impact zo klein mogelijk maken’, zegt securitymanager Peter Peters.

Per kwartaal houdt het cyberveiligheidsysteem van de UT 2 miljoen spam- of phishingmails tegen. Dit is pak ‘m beet 40 procent van al het binnenkomende e-mailverkeer. In een andere grafiek toont LISA-securitymanager Peters het aantal geregistreerde cyberaanvallen van de laatste jaren, met een opmerkelijke piek in het vierde kwartaal van 2018. ‘Het gaat bij vlagen, want hackers nemen doorgaans wat voorbereidingstijd. Toch, het aantal mailtjes dat door ons net heen glipt, valt relatief gezien reuze mee’, aldus Peters.

Huis-tuin-en-keukenhacker

Met wat er toch doorheen glipt, is het in meer of mindere mate oppassen. Vorige week woensdag stuurde de UT bijvoorbeeld een interne mail rond, om in de nasleep van het incident in Maastricht haar eigen medewerkers te waarschuwen en informeren. De dag erna waagde een ogenschijnlijke huis-tuin-en-keukenhacker een doorzichtige phishingpoging (zie hieronder).

Gevaarlijker wordt het bijvoorbeeld als hackers gaan ‘spearphishen’. ‘Daarbij richten ze zich niet op een gehele organisatie, maar op één of enkele personen en doen ze extra moeite om het zo geloofwaardig mogelijk te maken’, legt Peters uit. ‘Het is vorig jaar meerdere malen voorgekomen dat iemand zich vrij overtuigend voordeed als decaan en probeerde geld buit te maken van afdelingshoofden. Tevergeefs, gelukkig.’

Achtergrond: wat gebeurde in maastricht

De impact van de cyberaanval bij de Universiteit van Maastricht was enorm. Nadat een medewerker op een linkje van een phishingmail klikte, drongen cybercriminelen stapje voor stapje verder door in het netwerk van de Limburgse universiteit. Vlak voor kerst zetten ze een totale ransomware-aanval in. Het gevolg: systemen met onderzoeksgegevens, financiële informatie, mailsystemen en het intranet lagen er tot na de jaarwisseling uit. Uiteindelijk betaalde de Universiteit Maastricht 197 duizend euro aan de hackers.

Extra maatregelen

De crisis in Maastricht was volgens Peters niet meteen reden tot paniek in Twente. Extra oplettendheid was er wel. ‘Toen het net speelde, kregen we vooral informatie op directieniveau en via onze landelijke samenwerking SURFcert. Veel was gebaseerd op aannames, maar die leg je toch meteen tegen de situatie hier. En de aannames bleken later grotendeels ook te kloppen.’

Extra maatregelen trof de UT wel sinds januari. ‘Een aanvaller komt ergens binnen en probeert vervolgens door het netwerk heen belangrijke servers te benaderen’, schetst Peters. ‘We hebben meteen maatregelen genomen om die laterale beweging moeilijker te maken. Dat is eigenlijk een continu proces. Net als dat we aan de preventiekant bijvoorbeeld ook studenten en cyberveiligheidbedrijven vragen om ons eigen systeem ‘aan te vallen’ om eventuele kwetsbaarheden in de beveiliging op te sporen. Daarnaast hebben we een zogeheten responsible disclosure-beleid.’

Slimmer zijn

Bij de interne cyberbeveiligingsorganisatie van LISA zijn er drie mensen die op tactisch niveau werken en acht medewerkers die in weekdienst, ook ‘s avonds, de operationele werkzaamheden op zich nemen. Op landelijk niveau werkt de afdeling veel samen met andere instellingen in het hoger onderwijs en met ICT-organisatie SURF.

Alles draait erom de cybercriminelen een stap voor te zijn. ‘Ze worden steeds slimmer, dus moeten wij minstens zo slim zijn’, stelt Peters, die sinds 1991 op de UT werkt. Hij zag sindsdien de wereld van cybercriminaliteit zich ontwikkelen van irritante spammailtjes tot mal- en ransomware, die bedrijven en universiteiten plat weten te leggen.

Ongeluk in een klein hoekje

Daarbij zegt hij dat de diversiteit en complexiteit van een universitaire omgeving extra uitdagingen met zich meebrengen. Ook de gebruikers hebben daarin een belangrijke taak. ‘Als je een melding krijgt van een beveiligingsupdate, moet je die zo snel mogelijk, maar uiterlijk binnen één of twee dagen doorvoeren. Anders loop je niet alleen zelf risico, maar breng je de overige systemen in ons netwerk ook in gevaar.’

Best logisch en een kleine moeite, toch? ‘Dat zou je denken, maar toch. Je hebt mensen die hun computer dagenlang aan laten staan of vrij achteloos omgaan met e-mails. Ik vergelijk zulk gedrag met appen tijdens het autorijden. Het is verboden, maar iedereen bagatelliseert het. Datzelfde gedrag zie je bij het klikken op hyperlinks. Daarom werken wij ook veel aan het verhogen van awareness.

Ondanks de maatregelen, bewustzijnscampagnes en een stevige interne cyberveiligheidsorganisatie, blijft Peters erbij dat een security-incident – en mogelijk desastreuze gevolgen – nooit uit te sluiten zijn. Wat de UT in eenzelfde situatie als Maastricht zou doen, ook losgeld betalen? Dat valt voor Peters nu moeilijk te zeggen. ‘En de focus moet hier ook niet op liggen. We hebben nu te maken met een maatschappelijk probleem waar we gezamenlijk een oplossing voor moeten vinden.’

Stay tuned

Sign up for our weekly newsletter.