“Het is een kat-en-muis-spel”
Een cyberaanval legde deze maand de TU Eindhoven en andere onderwijsinstellingen plat. Waarom deze doelwitten? En hoe kan het hoger onderwijs zich hiertegen wapenen? We vragen het aanRaymond Slot, lector cybersecurity aan de Hogeschool Utrecht.
Door Robert Heeg
De Technische Universiteit Eindhoven werd op 11 januari getroffen door een cyberaanval. De universiteit haalde daarop het interne netwerk offline, waardoor enkele dagen geen onderwijs mogelijk was en de examenweek werd opgeschoven. Ook konden studenten en medewerkers niet bij hun mail. Het was zeker niet de eerste keer, weet Raymond Slot. ‘Eind 2019 werd de Universiteit Maastricht lamgelegd, waarbij criminelen de servers en back-upsystemen gijzelden en losgeld eisten; een zogenaamde ransomware-aanval. De universiteit heeft toen betaald.’
Was dat verstandig? Zo moedig je toch meer van zulke aanvallen aan?
‘Per geval wordt een inschatting gemaakt. Zonder ICT verdergaan is voor organisaties geen optie. Het leek er in Maastricht op dat het zo’n zes tot negen maanden zou duren voordat alles weer draaide. Ze hebben noodgedwongen betaald om de continuïteit van de bedrijfsvoering te waarborgen. Achteraf heeft de universiteit er overigens nog geld aan verdiend; ze betaalden als losgeld 200.000 euro in bitcoins en de politie kon die traceren. Toen ze die cryptomunten teruggekregen waren die inmiddels 500.000 euro waard. De winst hebben ze in een fonds voor noodlijdende studenten gestopt.’
Het onderwijs en de examens bij de TU Eindhoven werden vanwege de aanval opgeschort. Op termijn kunnen de gevolgen misschien nog wel groter zijn…
‘Zeker. De TU Eindhoven werkt nauw samen met ASML, een van de meest waardevolle ICT-bedrijven ter wereld. Tal van partijen, ook landen, zijn zeer geïnteresseerd in de technische kennis die daar zit. Dus deze aanval zou ook een poging kunnen zijn om een openingetje te vinden naar de kennis van ASML.’
Bij een TU zit veel digitale expertise. Als zij al zo kwetsbaar zijn, hoe fragiel is dan de beveiliging van een gemiddelde Nederlandse organisatie?
‘De TU kon de aanval in de kiem smoren voordat het daadwerkelijk een inbraak werd. Ze betrapten de inbrekers toen die aan het slot zaten te morrelen. Daarop heeft de TU de drastische maar correcte maatregel genomen oom de hele infrastructuur te sluiten, met daarin alle netwerken en systemen. Zo kwam er niemand meer binnen, ook de aanvallers niet. Het is een indicatie dat de TU, ondanks dat ze gehackt werden, een heel hoog niveau van veiligheidsmaatregelen hebben. Veel organisaties hebben dat helemaal niet als ze worden aangevallen.’
Met jou aan boord is de Hogeschool Utrecht natuurlijk onkwetsbaar…
‘Nou, 100 procent veiligheid bestaat niet. Maar je ziet wel dat de inbraak bij Maastricht de ogen geopend heeft. De securitymaatregelen bij alle hogescholen en universiteiten liggen op een heel behoorlijk niveau. Ze delen veel informatie over dit soort zaken. Voor cybersecurity wordt een uitzondering gemaakt voor zulke kennisdeling, ook door bedrijven.’
De TU verwacht niet eerder dan april een rapport te publiceren over de cyberaanval. Waarom duurt dat zo lang?
‘Het is bijzonder complex. Je wilt weten: hoe zijn ze binnengekomen? Heeft de detectie van de aanval goed gewerkt? Welke systemen zijn beschadigd? Ook wil je zeker zijn dat de aanvallers op afstand zijn op het moment dat je een rapport publiceert. Zodra ze weten hoe ze zijn gedetecteerd, kunnen ze bijvoorbeeld een nieuwe aanval uitvoeren. Je wil ze niet wijzer maken, het is echt een kat-en-muis-spel.’
Wat kan het nut zijn van deze aanvallen op onderwijsinstellingen?
‘Losgeld vragen kan een verdienmodel zijn voor criminelen. Maar zulke aanvallen kunnen ook bedoeld zijn om te testen hoe je belangrijke Nederlandse netwerken kunt ontwrichten. Deze test lijkt daarin geslaagd. De kans is dan ook groot dat cruciale Nederlandse infrastructuur wordt lamgelegd. Er zijn allerlei conflicten in de wereld en die worden ook via het internet uitgevochten, onzichtbaar voor de massa. Grote organisaties, uiteraard ook de overheid, liggen onder een voortdurend spervuur van aanvallen. Je moet er continu voor zorgen die aanvallen vóór te zijn met nieuwe maatregelen.’
Hoe kwam je zelf terecht in cybersecurity?
‘Eind jaren ’90 zat ik in een aantal initiatieven rondom internet. Toen hadden we al door dat cybersecurity een heel groot ding kon worden. Het web was destijds heel open en gebaseerd op goed vertrouwen, maar de eerste virussen en aanvallen vonden toen al plaats. Ik ben eigenlijk meegegroeid met de rol van het internet in de maatschappij en dan met name in de security. Sinds drie jaar ben ik lector aan de Hogeschool Utrecht op het gebied van cyberdiagnostiek en geef ik les op een masteropleiding. Het is een groeiend vakgebied. Er is onderzoek gedaan naar hoeveel cybersecuritymensen er nodig zijn in de wereld; de inschatting is dat er 20 tot 30 procent te weinig mensen met die kennis rondlopen. Dat zijn echt enorme aantallen.’
Over Raymond Slot
Raymond is sinds september 2022 lector Cybersecurity. Het lectoraat houdt zich bezig met onderzoek naar verhogen van de digitale weerbaarheid van overheidsorganisaties en bedrijven. Hij promoveerde in 2010 aan de Universiteit van Amsterdam. Van 2010-2018 was hij lector Architectuur van Digitale Informatiesystemen aan de Hogeschool Utrecht. Hij heeft nationaal en internationaal ervaring met het begeleiden van organisaties in digitale transities, op de disciplines cybersecurity, datamanagement en enterprise-architectuur. Naast zijn werk voor de Hogeschool is hij managing partner bij managementconsultantbureau Strategy Alliance.