Cyberaanval TU/e: ‘We hebben adequaat gehandeld’

De Technische Universiteit Eindhoven (TU/e) werd op 11 januari getroffen door een cyberaanval. De universiteit koos ervoor om het hele netwerk een week lang offline te halen. ‘Ik ben trots op de adequate manier waarop we gehandeld hebben’, zegt Patrick Groothuis, voorzitter van het Centraal Crisisteam. Toch zijn er ook leerpunten. In een persconferentie blikt hij samen met CISO Martin de Vries terug.

“We staan als universiteit voor het creëren en delen van kennis”, zegt Patrick aan het begin van de persconferentie. “Dat willen we niet alleen doen op de leuke momenten, maar ook op de momenten waarop er minder leuke onderwerpen zijn waar anderen van kunnen leren. Daarom zijn we zo transparant mogelijk over deze cyberaanval. We hebben deze crisis laten evalueren en de evaluatierapporten zijn te vinden op onze website. Door open te zijn en zo veel mogelijk te delen, kunnen anderen hiervan leren. We zijn ervan overtuigd dat dat bijdraagt aan een meer weerbare samenleving.” In de persconferentie geeft hij samen met CISO Martin de Vries antwoord op de vragen die de pers aan hen stelt.

Allereerst vertelt hij wat er die avond gebeurde. “De cyberaanval begon voor ons op zaterdagavond 11 januari, iets na 21.00 uur. We kregen een melding vanuit ons detectiesysteem en vervolgens hebben we meteen opgeschaald. Binnen een half uur waren er al 8 medewerkers aan de slag om de cyberaanval te stoppen.

Zij hebben eerst geprobeerd om de cybercriminelen te isoleren. Dat lukte niet, omdat de indringers al de hoogste rechten hadden verkregen. Daardoor dreigden zij vrij spel te krijgen. We hebben vervolgens verder opgeschaald en uiteindelijk hebben we besloten om het hele netwerk offline te halen. Zo hadden we alles weer in eigen hand en hebben we de aanval weten te stoppen.”

De afdeling IT heeft om 23.00 uur ’s nachts besloten om de verbinding met het internet te verbreken. Ze hebben jou pas later die nacht weten te bereiken en je was het eens met dat besluit. Wanneer is het Centraal Crisisteam (CCT) vervolgens voor het eerst bij elkaar gekomen?
“We hebben zondagochtend om 9.00 uur ons eerste crisisoverleg gehad. We hebben toen besloten om twee keer per dag bij elkaar te komen. In die overleggen hebben we keer op keer besproken wat er aan de hand was, en hoe we de studies zo goed mogelijk door konden laten gaan.

Op dinsdag hebben we besloten om het hele onderwijs een week te verplaatsen. Het was voor ons belangrijk om dit besluit al in een vroeg stadium te nemen, zodat we de studenten en docenten tijdig konden informeren. Zo wilden we ervoor zorgen dat de impact zo klein mogelijk was.”

Welke impact had dit besluit?
“Dit betekende dat alle tentamens een week verplaatst werden. De studenten konden daardoor in de problemen komen, omdat ze misschien al andere plannen hadden in de week na de tentamenweek. Daarom hebben we besloten dat de studenten de tentamens ook op een ander moment mochten maken.

In het vinden van oplossingen hebben we continu gezocht naar een goede balans tussen de impact op de studenten en op de docenten. Daarom hebben we besloten dat de studenten moesten kiezen tussen deze twee tentamenmomenten. Ze mochten de tentamens niet op beide momenten maken, waarbij ze het tweede tentamen als een extra herkansing gingen zien. Zo wilden we de impact op de docenten zo laag mogelijk houden en voorkomen dat zij twee keer zo veel nakijkwerk kregen.”

De crisis voltrok zich. Wat ging er goed? En wat waren de knelpunten waar jullie tegenaan liepen?
“Ik ben trots op de adequate manier waarop we gehandeld hebben. De keuzes die we maakten zorgden voor rust en duidelijkheid.

Op het gebied van crisisbeheersing kwamen we door de evaluatie tot de conclusie dat we ons informatiemanagement en onze communicatiekanalen niet goed genoeg op orde hadden. Het was beter geweest als we dat vooraf beter hadden uitgewerkt. We zien dat als leerpunt en gaan dit gebruiken om onze planvorming te verbeteren.”

Kun je dat iets beter toelichten? Waar liepen jullie precies tegenaan?
“Ons netwerk was offline gehaald. We konden dus geen gebruik meer maken van onze reguliere communicatiekanalen, zoals e-mail, Teams en Canvas. Dat maakte het lastig om op een consistente manier te communiceren met de circa 4.700 medewerkers en 14.000 studenten. Bovendien wilden we als crisisteam niet via de reguliere WhatsApp-groepen communiceren, omdat we niet wisten of dat nog veilig was.

We hebben voor de crisisteams Signal-groepen aangemaakt. Via deze groepen konden we informatie, crisisoverlegverslagen en andere documentatie met elkaar delen. De overige medewerkers en de studenten hebben we geïnformeerd met dagelijkse updates via onze website en één TU/e-WhatsApp-nummer waar mensen terecht konden voor vragen. Daarnaast stond het de faculteiten en diensten vrij om zelf op een passende manier te communiceren met hun doelgroepen.

Dus we hebben tijdens de crisis kanalen gecreëerd om goed en efficiënt met elkaar te communiceren. Maar dit was niet voorbereid. Het was beter geweest als we dit vooraf hadden voorzien en als we dit vooraf hadden ingericht.”

Je vertelde dat je, ondanks enkele leerpunten, trots bent op de manier waarop er gehandeld is. Welke voorbereidende maatregelen hebben ervoor gezorgd dat jullie tijdens de crisis adequaat konden handelen?
“Ik merkte dat het prettig was dat we vooraf goed geoefend hadden. We doen bijvoorbeeld altijd mee aan de OZON-oefeningen die georganiseerd worden door SURF. Daar leren we veel van, ook op bestuurlijk niveau. De oefeningen hebben ervoor gezorgd dat we wisten wat we moesten doen en dat onze protocollen en handboeken op orde waren.

Daarnaast hebben we veel geleerd van de coronacrisis. Tijdens de coronacrisis werden de regels telkens gewijzigd. We moesten continu kijken hoe we daar als organisatie op moesten reageren. We stonden in die periode ook voor vragen zoals: welke mensen nodig je uit voor een crisisoverleg? En hoe communiceer je? Ook daar hebben we van geleerd.

De oefeningen en de lessen uit de coronacrisis hebben ervoor gezorgd dat de draaiboeken op orde waren en dat de medewerkers wisten hoe zij moesten handelen tijdens een crisis.”

Het onderwijs heeft door de cyberaanval een week stilgelegen. Zo’n langdurige crisis vraagt vaak veel van medewerkers. Zij kunnen oververmoeid raken, waardoor zij minder scherp zijn en wellicht meer fouten maken. Hoe hebben jullie dat weten te voorkomen?
“De grootste werklast lag bij onze IT-dienst. Op zaterdagavond is iedereen opgeroepen die een bijdrage kon leveren aan het stoppen van de cyberaanval. Er is toen heel hard gewerkt door het hele team. Dat houd je natuurlijk niet lang vol. Daarom zijn we daarna in shifts gaan werken. We hebben de mensen die geen dienst hadden opgeroepen écht rust te pakken. De boodschap was: ‘Zet je telefoon uit en ga slapen’. Zo wilden we voorkomen dat mensen ook buiten werktijd nog steeds met de crisis bezig waren en niet goed tot rust kwamen.

Voor het crisisteam was de werklast veel minder groot. De leden van het crisisteam hadden allemaal een vervanger. Dus als zij andere verplichtingen hadden, konden zij hun vervanger vragen om het werk over te nemen.

We merkten dat de werklast heel groot was bij de mensen die het crisisteam ondersteunen. We leunden op 1 à 2 mensen die bergen werk hebben verzet. Dat is een kwetsbaarheid in ons proces. We gaan dit anders inrichten zodat dit werk bij een volgende crisis over meer mensen verdeeld kan worden.”

Bij een cyberaanval loop je vaak een groter risico op miscommunicatie omdat IT-specialisten een andere taal spreken dan de leden van het Centraal Crisisteam. In hoeverre heeft dat ook bij jullie gespeeld?
“Daar hebben wij geen last van gehad. Dat komt in de eerste plaats doordat Martin zeer goed in staat is om in Jip en Janneke-taal uit te leggen wat er aan de hand is. Bovendien heb ik jarenlang leiding gegeven aan een IT-organisatie dus ik heb affiniteit met die materie.”

Tijdens en na de crisis hebben jullie onderzoek laten doen door Fox-IT. Hebben zij kunnen achterhalen hoe de cybercriminelen binnen zijn gekomen?
Martin: “Uit het onderzoek van Fox-IT blijkt dat de cybercriminelen de beschikking hadden over 3 accounts. Ze hebben de toegang tot deze accounts waarschijnlijk verkregen via het darkweb. Met 2 accounts hebben ze eerst verkennende activiteiten uitgevoerd. Ze hebben hiermee de hoogste rechten weten te verkrijgen. Daardoor konden ze ook tooling installeren.

Ze hebben op 6 januari voor het eerst succesvol ingelogd. Tussen 6 en 11 januari hebben we geen activiteiten van hen waargenomen. Op zaterdagavond 11 januari zijn zij rond 20.00 uur begonnen met de aanval.”

Weten jullie wie de dader is? Zou dit een aanval kunnen zijn van een statelijke actor?
“Fox-IT heeft uitgebreid onderzoek gedaan. Toch weten we nog niet wie de dader is. Maar we achten het niet aannemelijk dat het om een statelijke actor gaat. Statelijke actoren zijn over het algemeen vooral geïnteresseerd in informatie. Zij hebben er belang bij om lange tijd zo stil mogelijk in systemen rond te kijken en zo veel mogelijk informatie te vergaren. Dat is nu niet gebeurd. De cybercriminelen hebben vrij snel toegeslagen.

De activiteiten die de cybercriminelen hebben uitgevoerd wijzen op een poging tot een ransomware-aanval. Het lijkt erop dat zij onze systemen wilden versleutelen met als doel om losgeld te eisen.”

Hoe komt het dat de cybercriminelen konden inloggen met de gegevens die zij op het darkweb verkregen hadden?
“Het was bij ons bekend dat de inloggegevens van deze accounts gelekt waren. Daarom hebben we de gebruikers gevraagd om hun wachtwoord te wijzigen. De gebruikers van deze drie accounts hebben daarvoor een oud wachtwoord hergebruikt. Onze systemen hebben dat niet opgemerkt en daardoor konden de cybercriminelen toeslaan. Dit was dus een kwetsbaarheid in ons systeem dat nu verholpen is.

Een andere kwetsbaarheid was het gebrek aan multi-factor authenticatie (MFA). Die zat op alle systemen, maar nog niet op het VPN. We wisten dat dit een kwetsbaarheid was en we waren van plan om dit voor de zomer in te voeren. De cybercriminelen zijn ons voor geweest.”

De cybercriminelen zijn vrij eenvoudig binnengekomen. Wat zegt dat over de cybersecurity van de universiteit als geheel?
“We worden als universiteit duizenden keren per dag aangevallen. Aan de hand van een roadmap werken we continu aan de verbetering van onze cybersecurity. Dat is een ratrace waarin we continu proberen om de cybercriminelen een stap voor te blijven.

Toch moet je er als organisatie ook rekening mee houden dat het de criminelen een keer lukt om in te breken. Meestal komen ze via een achterdeurtje. Nu zagen ze dat de voordeur niet perfect afgesloten was en hebben ze kans gezien om via de voordeur binnen te komen.”

Door de spanningen in de wereld worden Nederlandse overheidsinstanties steeds meer aangevallen. Hebben jullie extra maatregelen genomen om hier tegenop gewassen te zijn?
Patrick: “Wij hebben onze wake-up call al in 2019 gehad. In dat jaar werd de Universiteit Maastricht getroffen door een cyberaanval. In de jaren daarna zijn we meer gaan investeren in cyberweerbaarheid.

We zijn meer vanuit integrale veiligheid en meer risico-gedreven met cybersecurity aan de slag gegaan. We houden doorlopend een dreigingsbeeld bij dat continu bijgesteld kan worden. Zo weten we op welke punten we moeten versnellen of versterken. Dus het beeld klopt dat we nu extra alert zijn. Maar die alertheid wordt niet per definitie veroorzaakt door de spanningen in de wereld, maar door de informatie die uit ons dreigingsbeeld naar voren komt.”

Andere organisaties kunnen ook getroffen worden door een cyberaanval. Wat zijn de belangrijkste lessons learned die jullie hen willen meegeven op basis van jullie eigen ervaringen?
“In de eerste plaats: cybersecurity is nooit af. Met goede detectie kun je veel voorkomen. Maar je moet er ook op voorbereid zijn dat het ze toch een keer lukt om binnen te dringen.

In de tweede plaats: crisisbeheersing is breder dan alleen awareness. Je moet ook geoefend en getraind zijn om een cyberaanval aan te kunnen. Het is daarbij de kunst om de juiste mensen in het crisisteam te hebben.

En tot slot: geef vertrouwen aan de mensen die kennis van zaken hebben. Als team kun je elke crisis aan.”