Tijdens de cyberaanval op de TU waren ook de draaiboeken voor crises onbereikbaar. ‘Gelukkig zaten die in ons hoofd’

Posted on by admin

Patrick Groothuis, vicevoorzitter van de TU Eindhoven, lag thuis te slapen toen het IT-team van de universiteit hem in de nacht van zaterdag 11 op zondag 12 januari probeerde te bellen. Zijn telefoon stond op stil. Toen hij wat later even wakker werd en op zijn telefoon keek hoe laat het was, zag hij dat hij twee oproepen had gemist. Op de voicemail stond een bericht van zijn IT-collega’s: hackers hadden zich toegang weten te verschaffen tot het netwerk van de universiteit.

Hij belde terug en kreeg te horen dat gealarmeerde IT-medewerkers tevergeefs hadden geprobeerd de indringers te verjagen. Vlak voor middernacht was besloten dat er maar één oplossing was: alle netwerkverbindingen uitzetten. „Je stapt ineens in een andere realiteit”, zegt Groothuis, die destijds het centrale crisisteam leidde.

Deze maandag blikte de TU Eindhoven terug op de cyberaanval, die ervoor zorgde dat de universiteit in januari een week lang dicht bleef. De universiteit maakte ook rapporten van Fox IT en het COT, Instituut voor Veiligheids- en Crisismanagement openbaar. „Het past bij ons als universiteit om deze kennis te delen, ook als het om minder leuke dingen gaat”, zegt Groothuis. „Dat kan andere organisaties weerbaarder maken, zoals de cyberaanval op Maastricht University in 2019 voor ons een wake-upcall is geweest.”


Lees ook

Hacker had vijf dagen ongemerkt toegang tot netwerk TU Eindhoven

De Technische Universiteit Eindhoven (TU/e) die begin van dit jaar door een cyberaanval werd getroffen. Daarop haalde de universiteit haar netwerk uit de lucht waardoor colleges een week lang werden geschrapt.

Patrick Groothuis, vicevoorzitter van de TU Eindhoven.

Foto Freekje Groenemans

Weten jullie inmiddels wie achter de aanval op jullie systemen zat en wat het motief was?

„Daar zijn we helaas weinig over te weten gekomen, de politie doet er ook nog onderzoek naar. We weten zelfs niet of het één persoon op z’n zolderkamertje was, of een collectief. De aanval is ingezet vanuit drie gehackte accounts waarvan de inloggegevens waarschijnlijk verhandeld zijn op het dark web. We hebben de indruk dat de hackers geen statelijke actoren zijn geweest. Die zijn meestal op zoek naar gevoelige informatie en blijven stilletjes in je netwerk zitten. De activiteiten in onze systemen wijzen eerder op een aanval met gijzelsoftware. We zijn er net op tijd bij geweest: er zijn geen data gestolen en er is ook geen losgeld geëist.”

Doordat jullie het netwerk platlegden, konden jullie een week lang moeilijk communiceren. Met elkaar, maar ook met studenten en medewerkers. Hoe losten jullie dat op?

„Ja, dat was lastig. Twintigduizend mensen op onze universiteit konden ineens niet meer in de systemen. Wijzelf ook niet. We konden zelfs niet in de draaiboeken voor een crisis als deze. Maar gelukkig zaten die goed in ons hoofd. Om studenten en docenten te waarschuwen dat de universiteit dicht zou blijven, plaatsten we een bericht op onze website. Dat kon via een achterdeurtje op internet, in de cloud. Voor dringende vragen van studenten creëerden we een speciaal WhatsApp-account.”

„We denken dat de hackers geen statelijke actoren waren. De activiteiten wijzen eerder op een aanval met gijzelsoftware”

Hoe groot is de impact geweest voor studenten?

„Er stonden die week weinig colleges gepland, de week erop zouden er tentamens zijn. Het grootste probleem was dat studenten niet in Canvas konden komen, het systeem waarin alle informatie over vakken staat. We hebben op dinsdag besloten de tentamens een week uit te stellen. Studenten voor wie dat slecht uitkwam, mochten de tentamens op een ander moment inhalen.”

Konden andere activiteiten op de universiteit wel doorgaan?

„Er waren docenten die studenten nog wat uitleg wilden geven voor tentamens, dat kon doorgaan. En onderzoekers in sommige labs konden verder met hun proeven. We moesten wel eerst uitzoeken of het veilig was, of bijvoorbeeld detectiesystemen voor gevaarlijke gassen nog werkten. Daarnaast waren er mensen die thuis doorwerkten.”

Zijn alle problemen verholpen?

„Na een week werkte Canvas weer en een heleboel andere systemen. Maar er zijn nog beperkingen bij bepaalde onderzoeksgroepen, omdat hun servers nog door de digitale wasstraat moeten.”

Welke lessen trekken jullie en wat kunnen andere organisaties hiervan leren?

„Met cybersecurity ben je nooit klaar, je moet daar continu in investeren. Check regelmatig of mensen geen oude wachtwoorden gebruiken, zoals bij ons helaas het geval was. En wacht niet te lang met multifactor-authenticatie [een extra beveiligingslaag waarbij je met twee of meer middelen je identiteit bevestigt]. We zouden dat voor deze zomer invoeren voor het VPN-systeem. Dat bleek te laat, want via die deur gingen de hackers het systeem binnen.

„Het gaat ook om crisisbeheersing. Mensen moeten getraind zijn om in zo’n storm de rust te bewaren. Ik ben heel trots op onze IT-afdeling die op het juiste moment de beslissing durfde te nemen om het hele netwerk uit te schakelen.”

„Het gaat ook om crisisbeheersing. Mensen moeten leren in zo’n storm de rust te bewaren”

Het kabinet wil onderwijs als vitale sector laten vallen onder een nieuwe wet om de cyberveiligheid in Nederland te verbeteren. Hoe kijkt u daar tegenaan?

„Ik vind dat een heel slecht plan, want de universiteiten werken al meerdere jaren in sectoraal verband aan het verbeteren van de cyberveiligheid. Onder die nieuwe wet zouden we moeten overstappen naar een andere systematiek. Dat kost heel veel inspanning en geld, terwijl het geen extra veiligheid oplevert. Geld dat niet aan onderwijs of onderzoek kan worden besteed.”

Partijen in de Tweede Kamer willen dat vitale sectoren een 48-uursplan maken om hun ict-systemen snel weer in de lucht te krijgen, of anders analoog door te gaan. Kan de universiteit dat?

„Ik begrijp de wens, maar de realiteit is natuurlijk anders. We zijn hartstikke gedigitaliseerd. Dan zouden we weer helemaal terug moeten naar papier. Theoretisch kan alles, maar dan zou ik ook graag tientallen miljoenen extra per jaar willen om het uit te voeren.”


Lees ook

Op de TU Eindhoven is de bibliotheek leeg en de koffietent gesloten

Afgelopen weekeinde werd bekend dat de TU Eindhoven geraakt is door een cyberaanval.




Related Posts

Justitie maakt overdracht klanten van aangehouden advocaat Shukrula bijna onmogelijk

De gearresteerde strafrechtadvocaat Vito Shukrula wordt door het Openbaar Ministerie tegengewerkt bij het overdragen van zijn praktijk aan twee collega’s. Op last van het OM heeft de penitentiaire inrichting waar Shukrula verblijft de toegang tot de nummers van deze advocaten geblokkeerd.

Per brief is het OM gesommeerd door de raadsman van Shukrula, Nico Meijering, om die blokkade op te heffen, omdat daarmee overleg over vertrouwelijke cliëntendossiers onmogelijk is geworden. Shukrula stapt naar de rechter indien het OM dat weigert. Meijering bevestigt dat een sommatiebrief is gestuurd, maar onthoudt zich verder van commentaar.

Na de arrestatie is Shukrula door de Nederlandse Orde van Advocaten – de toezichthouder op de advocatuur – geschorst in afwachting van het verloop van het onderzoek. Zolang dat boven de markt hangt, kan en mag hij niet werken als advocaat en moeten andere advocaten lopende dossiers overnemen.

Shukrula, die zelfstandig een kantoor runt, heeft Carlo Crince le Roy en Sultan Kat bereid gevonden om dat werk op zich te nemen. En daar heeft het OM naar het lijkt moeite mee. Het OM zou het contact tussen Shukrula en deze twee advocaten willen afluisteren.

Ook Kat heeft een sommatiebrief verstuurd en wacht de reactie van het OM af voordat ze verder commentaar geeft.

Lees ook

Aangehouden advocaat van Taghi snapt de straat. Dat trekt een bepaalde clientèle aan

Advocaat Vito Shukrula komt begin dit jaar aan bij de extra beveiligde rechtbank op Schiphol. Foto Jeffrey Groeneweg/ANP

Ontkennen

Vito Shukrula werd begin april vastgezet op verdenking van lidmaatschap van de criminele organisatie van zijn toenmalige cliënt Ridouan Taghi. Shukrula zou informatie van Taghi de Extra Beveiligde Inrichting in Vught uit hebben gesmokkeld. Een beschuldiging die zowel Shukrula als Taghi ontkent.

Shukrula verdedigde Taghi sinds november vorig jaar samen met de advocaten Crince le Roy en Kat, dezelfde raadslieden aan wie Shukrula andere klanten wil overdragen. In tegenstelling tot Shukrula werden Crince le Roy en Kat niet in staat van beschuldiging gesteld.

Shukrula kan nu alleen met collega’s overleggen via telefoonnummers die kunnen worden afgeluisterd

Toch vindt het OM dat Shukrula niet vertrouwelijk mag overleggen met zijn collega-advocaten. Alle strafrechtadvocaten in Nederland kunnen enkele telefoonnummers doorgeven die niet mogen worden afgeluisterd, in verband met het recht op vertrouwelijk contact met een advocaat. Zijn collega’s kan Shukrula op die nummers echter niet meer bereiken.

Praktisch gesproken kan Shukrula alleen nog met zijn collega’s overleggen via telefoonnummers die wel kunnen worden afgeluisterd. Of Crince le Roy en Kat moeten op regulier bezoek gaan in de gevangenis. Daar moeten ze dan in aanwezigheid van andere gedetineerden en hun bezoek vertrouwelijke dossiers bespreken. Of dat mag is de vraag. En vertrouwelijk overleg is onder die omstandigheden zeer lastig.

Zorgplicht

Voor Shukrula geldt ondanks de schorsing nog altijd een geheimhoudingsplicht, evenals voor Crince le Roy en Kat. Schending kan leiden tot sancties van de Orde van Advocaten.

Tegelijkertijd is het niet overdragen van cliëntendossiers ook een probleem. Advocaten hebben een zorgplicht en dat betekent dat ze verantwoordelijk dragen voor een ordentelijke afhandeling van strafzaken. Met zijn sommatie maakt Shukrula duidelijk dat dat onmogelijk is gemaakt door het OM.

Lees ook

Binnen de advocatuur weten ze nu: als je Taghi verdedigt dan ‘kruipt de AIVD in je telefoon’

Het complex van de Justitiële Inrichtingen Vught bestaat uit diverse gevangenissen, waaronder de EBI: de Extra Beveiligde Inrichting. Die bevat de zwaarste criminelen, zoals Ridouan Taghi en Willem Holleeder. Foto Rob Engelaar / ANP / HH


Landbouwminister Wiersma krijgt tik op vingers van adviescollege voor openbaarheid vanwege ‘langdurige en kostbare procedure’

Minister Femke Wiersma (Landbouw, BBB) is berispt omdat ze de publicatie van uitstootgegevens van veehouders vertraagt. Ze krijgt deze tik op de vingers van het Adviescollege Openbaarheid en Informatiehuishouding (ACOI). Wiersma wil de gegevens pas openbaar maken wanneer alle zestigduizend veehouders een brief hebben gekregen over hoe publicatie aan te vechten.

Volgens het ACOI is dat een „langdurige en kostbare” procedure, die „onnodig” is en „een verkeerde indruk” wekt: boeren zouden het idee kunnen krijgen dat ze publicatie van de gegevens kunnen tegenhouden, terwijl daar wettelijk geen ruimte voor bestaat. Wiersma moet daarom afzien van deze procedure, adviseert het ACOI in een maandag gepubliceerd advies. De minister moet dit advies meenemen in verdere besluiten.

Minister Wiersma gaat het advies bestuderen, laat haar woordvoerder weten. Ze benadrukt dat ze zich aan de wet wil houden, maar ook dat boeren „goed en tijdig individueel” geïnformeerd moeten worden om „bijvoorbeeld” de openbaarmaking aan te vechten.

Alle boeren per brief inlichten en hun klachten verwerken, zou volgens de woordvoerder tussen de zes en acht maanden duren en tussen de 5 en 14 miljoen euro kosten, afhankelijk van het aantal klachten.

Lees ook

Femke Wiersma ging altijd vol voor boerenbelangen. Kan ze ook politiek laveren?

Na afloop van de ministerraad op het Catshuis.

Vastgelopen

Aanleiding voor het advies is een vastgelopen Woo-procedure – de Wet open overheid – waarin journalisten van Follow the Money, Omroep Gelderland en NRC vragen de uitstootgegevens van veehouders te openbaren. Op basis daarvan is onder meer de effectiviteit van het stikstofbeleid te berekenen. Deze verzoeken werden in december 2022 ingediend. De gegevens werden vooralsnog niet openbaar gemaakt. Ook andere omvangrijke Woo-verzoeken van onder meer Wakker Dier en milieubeweging MOB werden stilgelegd.

Minister Wiersma liet haar invloed in deze procedures al eerder gelden. Onder haar voorganger Piet Adema (ChristenUnie) werd besloten de gegevens openbaar te maken. Dat besluit vochten boerenbelangenorganisaties Farmers Defence Force en de Melkveehouders Vakbond aan bij de rechtbank. Voor de rechtbank uitspraak kon doen, trok de Rijksdienst voor Ondernemend Nederland, die de gegevens beheert, het besluit in om die te openbaren. Dat gebeurde in januari na een ingreep van Wiersma, die een halfjaar daarvoor was aangetreden als minister.

Alle boeren per brief inlichten en hun klachten verwerken, duurt tussen de zes en acht maanden en kost tussen de 5 en 14 miljoen euro

Wiersma vindt dat de procedure waarin veehouders de publicatie van gegevens konden aanvechten, onvoldoende zorgvuldig. Het besluit is aangekondigd in de Staatscourant, zoals gebruikelijk is bij verzoeken waarbij veel partijen betrokken zijn. Drieduizend boeren tekenden protest aan tegen het besluit. Wiersma denkt dat veehouders het besluit gemist kunnen hebben en wil daarom alle boeren individueel aanschrijven.

De minister erkent dat het hoogstwaarschijnlijk niets verandert aan de uitkomst: de gegevens moeten openbaar worden gemaakt. In een internationaal verdrag is afgesproken uitstootgegevens altijd te openbaren, onder meer om omwonenden goed te informeren over mogelijke gezondheidsrisico’s.

Tijdrovend

Boeren individueel aanschrijven is daarom onnodig, schrijft het ACOI. En in tegenspraak met „behoorlijk bestuur en zorgvuldige besluitvorming”, stelt het adviescollege, omdat boeren onterecht de indruk kunnen krijgen dat publicatie van de gegevens is te voorkomen. Het ACOI dringt er bij de minister „hopelijk ten overvloede” op aan om de „wet- en regelgeving op zorgvuldige en behoorlijke wijze uit te voeren”.

Boeren moeten wel de gelegenheid krijgen om publicatie van hun gegevens bij de rechter aan te vechten, stelt het ACOI. Het raadt de minister ook aan de gegevens zelf ieder jaar actief openbaar te maken, om tijdrovende procedures te voorkomen.

Boerenbelangenorganisatie menen dat de publicatie van adresgegevens zorgt voor meer onveiligheid op het boerenerf. De LTO pleit al langer voor aanpassing van de Woo. Ook BBB wil deze wet aanpassen. Woensdag debatteert de Tweede Kamer daarover op verzoek van fractievoorzitter Caroline van der Plas.


Tijdens de cyberaanval op de TU waren ook de draaiboeken voor crises onbereikbaar. ‘Gelukkig zaten die in ons hoofd’

Patrick Groothuis, vicevoorzitter van de TU Eindhoven, lag thuis te slapen toen het IT-team van de universiteit hem in de nacht van zaterdag 11 op zondag 12 januari probeerde te bellen. Zijn telefoon stond op stil. Toen hij wat later even wakker werd en op zijn telefoon keek hoe laat het was, zag hij dat hij twee oproepen had gemist. Op de voicemail stond een bericht van zijn IT-collega’s: hackers hadden zich toegang weten te verschaffen tot het netwerk van de universiteit.

Hij belde terug en kreeg te horen dat gealarmeerde IT-medewerkers tevergeefs hadden geprobeerd de indringers te verjagen. Vlak voor middernacht was besloten dat er maar één oplossing was: alle netwerkverbindingen uitzetten. „Je stapt ineens in een andere realiteit”, zegt Groothuis, die destijds het centrale crisisteam leidde.

Deze maandag blikte de TU Eindhoven terug op de cyberaanval, die ervoor zorgde dat de universiteit in januari een week lang dicht bleef. De universiteit maakte ook rapporten van Fox IT en het COT, Instituut voor Veiligheids- en Crisismanagement openbaar. „Het past bij ons als universiteit om deze kennis te delen, ook als het om minder leuke dingen gaat”, zegt Groothuis. „Dat kan andere organisaties weerbaarder maken, zoals de cyberaanval op Maastricht University in 2019 voor ons een wake-upcall is geweest.”

Lees ook

Hacker had vijf dagen ongemerkt toegang tot netwerk TU Eindhoven

De Technische Universiteit Eindhoven (TU/e) die begin van dit jaar door een cyberaanval werd getroffen. Daarop haalde de universiteit haar netwerk uit de lucht waardoor colleges een week lang werden geschrapt.

Patrick Groothuis, vicevoorzitter van de TU Eindhoven.

Foto Freekje Groenemans

Weten jullie inmiddels wie achter de aanval op jullie systemen zat en wat het motief was?

„Daar zijn we helaas weinig over te weten gekomen, de politie doet er ook nog onderzoek naar. We weten zelfs niet of het één persoon op z’n zolderkamertje was, of een collectief. De aanval is ingezet vanuit drie gehackte accounts waarvan de inloggegevens waarschijnlijk verhandeld zijn op het dark web. We hebben de indruk dat de hackers geen statelijke actoren zijn geweest. Die zijn meestal op zoek naar gevoelige informatie en blijven stilletjes in je netwerk zitten. De activiteiten in onze systemen wijzen eerder op een aanval met gijzelsoftware. We zijn er net op tijd bij geweest: er zijn geen data gestolen en er is ook geen losgeld geëist.”

Doordat jullie het netwerk platlegden, konden jullie een week lang moeilijk communiceren. Met elkaar, maar ook met studenten en medewerkers. Hoe losten jullie dat op?

„Ja, dat was lastig. Twintigduizend mensen op onze universiteit konden ineens niet meer in de systemen. Wijzelf ook niet. We konden zelfs niet in de draaiboeken voor een crisis als deze. Maar gelukkig zaten die goed in ons hoofd. Om studenten en docenten te waarschuwen dat de universiteit dicht zou blijven, plaatsten we een bericht op onze website. Dat kon via een achterdeurtje op internet, in de cloud. Voor dringende vragen van studenten creëerden we een speciaal WhatsApp-account.”

„We denken dat de hackers geen statelijke actoren waren. De activiteiten wijzen eerder op een aanval met gijzelsoftware”

Hoe groot is de impact geweest voor studenten?

„Er stonden die week weinig colleges gepland, de week erop zouden er tentamens zijn. Het grootste probleem was dat studenten niet in Canvas konden komen, het systeem waarin alle informatie over vakken staat. We hebben op dinsdag besloten de tentamens een week uit te stellen. Studenten voor wie dat slecht uitkwam, mochten de tentamens op een ander moment inhalen.”

Konden andere activiteiten op de universiteit wel doorgaan?

„Er waren docenten die studenten nog wat uitleg wilden geven voor tentamens, dat kon doorgaan. En onderzoekers in sommige labs konden verder met hun proeven. We moesten wel eerst uitzoeken of het veilig was, of bijvoorbeeld detectiesystemen voor gevaarlijke gassen nog werkten. Daarnaast waren er mensen die thuis doorwerkten.”

Zijn alle problemen verholpen?

„Na een week werkte Canvas weer en een heleboel andere systemen. Maar er zijn nog beperkingen bij bepaalde onderzoeksgroepen, omdat hun servers nog door de digitale wasstraat moeten.”

Welke lessen trekken jullie en wat kunnen andere organisaties hiervan leren?

„Met cybersecurity ben je nooit klaar, je moet daar continu in investeren. Check regelmatig of mensen geen oude wachtwoorden gebruiken, zoals bij ons helaas het geval was. En wacht niet te lang met multifactor-authenticatie [een extra beveiligingslaag waarbij je met twee of meer middelen je identiteit bevestigt]. We zouden dat voor deze zomer invoeren voor het VPN-systeem. Dat bleek te laat, want via die deur gingen de hackers het systeem binnen.

„Het gaat ook om crisisbeheersing. Mensen moeten getraind zijn om in zo’n storm de rust te bewaren. Ik ben heel trots op onze IT-afdeling die op het juiste moment de beslissing durfde te nemen om het hele netwerk uit te schakelen.”

„Het gaat ook om crisisbeheersing. Mensen moeten leren in zo’n storm de rust te bewaren”

Het kabinet wil onderwijs als vitale sector laten vallen onder een nieuwe wet om de cyberveiligheid in Nederland te verbeteren. Hoe kijkt u daar tegenaan?

„Ik vind dat een heel slecht plan, want de universiteiten werken al meerdere jaren in sectoraal verband aan het verbeteren van de cyberveiligheid. Onder die nieuwe wet zouden we moeten overstappen naar een andere systematiek. Dat kost heel veel inspanning en geld, terwijl het geen extra veiligheid oplevert. Geld dat niet aan onderwijs of onderzoek kan worden besteed.”

Partijen in de Tweede Kamer willen dat vitale sectoren een 48-uursplan maken om hun ict-systemen snel weer in de lucht te krijgen, of anders analoog door te gaan. Kan de universiteit dat?

„Ik begrijp de wens, maar de realiteit is natuurlijk anders. We zijn hartstikke gedigitaliseerd. Dan zouden we weer helemaal terug moeten naar papier. Theoretisch kan alles, maar dan zou ik ook graag tientallen miljoenen extra per jaar willen om het uit te voeren.”

Lees ook

Op de TU Eindhoven is de bibliotheek leeg en de koffietent gesloten

Afgelopen weekeinde werd bekend dat de TU Eindhoven geraakt is door een cyberaanval.