Mannen achter laptop en groot scherm
Praktijkverhaal

Wat Universiteit Maastricht leerde van de ransomwareaanval (deel 2)

Op 23 december 2019 vond een ernstige ransomwareaanval plaats bij de Universiteit Maastricht. Op 267 servers van het Windows-domein werd Clop-malware geïnstalleerd. Gevolg: de volledige operationele werking van de UM werd verstoord. In deel 2 van het interview met Bart van den Heuvel lees je meer over het crisismanagement tijdens dit incident.

Meer dan 150 mensen betrokken bij crisis

Bart van den Heuvel: “We hebben onmiddellijk ons crisismanagementplan geactiveerd en gezien de impact ook zeer snel besloten om externe hulp in te roepen. Die kregen we van Fox-IT. Zij namen het forensisch onderzoek en de monitoring op zich en stonden ons gedurende de hele crisis bij met advies. Daarnaast werden we ook geholpen door SURFcert, het NCSC (Nationaal Cyber Security Centrum), de politie, et cetera. Intern was de volle breedte van onze organisatie betrokken: de IT-diensten, het management, onze finance-afdeling en juridisch team. In totaal waren dan 150 mensen betrokken bij de crisis.”

"Het is belangrijk dat we cyberveiligheid naar een hoger plan tillen, omdat het een van de grootste uitdagingen is van onze maatschappij”
Bart van den Heuvel, CISO aan de Universiteit Maastricht

Transparante communicatie

De UM zette meteen haar netwerk dicht om erger te voorkomen. Verder besloot de universiteit vanaf het begin om transparant en open te communiceren. “Alles wat intern werd gecommuniceerd, ging ook naar de buitenwereld. In tegenstelling tot de meeste organisaties die slachtoffer worden van een cyberaanval, wilden wij vanaf het begin open kaart spelen met onze stakeholders. Sowieso zijn we in Nederland gebonden aan de Wet openbaarheid van bestuur (Wob) waardoor burgers het recht op inzage in het handelen van de overheid biedt. Transparantie was voor ons dus een evidente keuze”, aldus Bart van den Heuvel.

Regelmatig updates op website

Via regelmatige updates op de UM-website konden onder andere studenten de status van het incident volgen. Ook werd er proactief naar de pers gecommuniceerd, al konden speculaties en foute berichtgeving niet volledig worden vermeden. “In tegenstelling tot wat in sommige media werd beweerd, hadden we wel degelijk back-ups die nog bruikbaar waren. Het was ook niet zo dat al onze data versleuteld waren.”

Impact erg groot

Niettemin was de impact van de aanval erg groot. Heel wat kritische systemen werden getroffen. “267 vergrendelde servers: dat betekende dat er heel veel mensen betrokken waren. Het heeft bovendien enkele dagen geduurd voordat we de geïnfecteerde laptop hadden gevonden. Het werd ook snel duidelijk dat we, als we onze back-ups moesten terugzetten en de overige systemen moesten heropbouwen, maanden werk zouden hebben.”

Zware morele afweging: losgeld betaald

Ondertussen nam de UM contact op met de aanvallers. Omdat de mailservers waren getroffen, verliep die communicatie via het persoonlijk e-mailadres van Bart van den Heuvel. “We hebben zeer regelmatig met hen gecommuniceerd: enerzijds om tijd te winnen, anderzijds om zeker te zijn dat we met de juiste partij aan het praten waren. Om die laatste reden bedachten we ook zowel technische als financiële controlevragen zoals het uitvoeren van een testbetaling.”

Eigen analyses om ransomware te decrypten

In de week tussen de aanval en de beslissing om het losgeld te betalen, heeft de UM analyses uitgevoerd en verschillende opties onderzocht. “Na 3 dagen zijn we erin geslaagd een nieuwe mailserver in te richten. De database daarvan was niet versleuteld. Het archiefsysteem daarentegen was niet bruikbaar: je kan best enkele dagen zonder archief, maar geen maanden. Onze externe partner Fox-IT was erin geslaagd om één klein bestand te ontgrendelen, maar had hiervoor één nacht tijd nodig gehad. We wisten dat we enorm veel kostbare tijd zouden verliezen als we deze optie zouden volgen”.

Niet over een nacht ijs

Toch vormde de beslissing om het losgeld te betalen een zware morele afweging voor het bestuur van de UM. “We zijn niet over één nacht ijs gegaan en hebben alle belangen grondig afgewogen. Na lange beraadslaging hebben we uiteindelijk in het belang van de continuïteit van het onderwijs en onderzoek aan onze instelling de beslissing genomen om het losgeld toch te betalen. Het feit dat het onderwijs en de examens in januari zonder al te veel hinder kunnen doorgaan en er weinig impact was op het wetenschappelijk onderzoek, heeft ons gesterkt in het idee dat we de juiste beslissing hebben genomen.”

Na ontgrendeling bestanden, diepgaand onderzoek gedaan

Exact één week na het incident ging de UM over tot de betaling en ontving de universiteit de sleutel om de servers te ontgrendelen. “Uiteraard hebben we nadien nog verder diepgaand onderzoek laten uitvoeren. Fox-IT heeft geen bewijs gevonden voor data-exfiltratie, behalve de wachtwoorden en onze netwerktopologie. We hebben achteraf zelf nog onderzoek gedaan – dat trouwens nog altijd gaande is – en zijn tot dezelfde conclusie gekomen: er is geen bewijs gevonden dat onze data zijn verwijderd, gewijzigd of openbaargemaakt.”

Zeer adequaat gehandeld

In het rapport dat werd opgesteld over de crisis, concludeert het ministerie van Onderwijs, Cultuur en Wetenschap dat de UM niet nalatig is geweest en zeer adequaat heeft gehandeld. “Deze crisis heeft een enorme impact gehad maar heeft ons aan de andere kant ook veel geleerd en in staat gesteld om ons securitybeleid te verbeteren. Naast onze langetermijnacties konden we een aantal quickwins uitvoeren. Zo beslisten we op 2 januari al dat studenten een nieuw, sterk wachtwoord moesten instellen. Die beslissing zou in andere omstandigheden ongetwijfeld op weerstand zijn gestoten, maar werd nu zonder morren aangenomen”.

Kennisdeling

Ook na de crisis is de UM heel transparant blijven communiceren. “We wilden absoluut onze lessons learned delen met andere instellingen. Op 5 februari 2020, amper een maand na de crisis, hebben we een symposium georganiseerd om onze ervaringen te delen.”

Cyberveiligheid naar hoger plan tillen

“We willen vooral benadrukken dat het verder gaat dan de UM. Begin dit jaar waren wij het slachtoffer, vandaag is het een andere instelling en morgen weer een andere. "Het is belangrijk dat we cyberveiligheid naar een hoger plan tillen, omdat het een van de grootste uitdagingen is van onze maatschappij”, concludeert Bart van den Heuvel.

Tips

  • Maak een crisismanagementplan waarin de protocollen voor een IT-security-incident zijn opgenomen. Bepaal vooraf wie in het crisisteam zit en wat de rollen en verantwoordelijkheden van deze personen zijn. Dit bespaart je veel tijd en chaos op het moment dat je met een crisis wordt geconfronteerd. Ook uit het regelmatig organiseren van of deelnemen aan crisisoefeningen kan je veel leren.
  • Communiceer zo transparant mogelijk en informeer partnerorganisaties. Vele organisaties die met een cyberincident worden geconfronteerd, proberen dit zoveel mogelijk ‘binnenshuis’ te houden. Door van in het begin anderen te waarschuwen en informeren, kan je voorkomen dat collega-instellingen worden getroffen door hetzelfde incident.
  • Zorg voor online én offline back-ups van je systemen en data. Maar houd er ook rekening mee dat het terugzetten van back-ups veel tijd vraagt.
  • Houd bij de ontwikkeling van nieuwe systemen rekening met de principes van “security by design and by default”.