De TU Eindhoven is in januari door het oog van de naald gekropen. Hackers, of het er één of meer waren is nog altijd niet duidelijk, hadden zich toegang weten te verschaffen tot het netwerk van de universiteit en wilden daar naar alle waarschijnlijkheid gijzelsoftware installeren. Daarmee zouden ze data van de universiteit kunnen gijzelen om losgeld te vragen, zoals in 2019 ook bij Maastricht University gebeurde.
Die universiteit betaalde destijds 2 ton in bitcoins om weer toegang te krijgen tot data. Cryptovaluta die overigens later werden getraceerd en teruggehaald, waarbij de waarde bleek gestegen. Dat deed niet af aan de stress die de hack de universiteit bezorgde. Zover kwam het gelukkig niet in Eindhoven. De cyberaanval werd daar deskundig in de kiem gesmoord. Dankzij openheid van zaken die Maastricht destijds gaf zijn universiteiten nu beter bestand tegen hackers. Ze werken samen aan het verbeteren van hun cyberveiligheid in ict-coöperatie SURF, die ook te hulp schiet als zich incidenten voordoen.
Eindhoven heeft daardoor een goedwerkend detectiesysteem dat verdachte bewegingen in het netwerk opmerkte. Binnen een mum van tijd zetten IT-medewerkers de tegenaanval in. De hackers weg krijgen lukte niet maar het emergency response team had de tegenwoordigheid van geest om dan maar het hele netwerk uit te schakelen, zodat geen erger kwaad kon worden aangericht. Als langer was gewacht, had de TU mogelijk in dezelfde penibele situatie verkeerd als Maastricht.
Lees ook
Tijdens de cyberaanval op de TU waren ook de draaiboeken voor crises onbereikbaar. ‘Gelukkig zaten die in ons hoofd’
Het vergde lef om deze ingrijpende beslissing te nemen. Het netwerk meteen weer opstarten was niet mogelijk, eerst moesten gecorrumpeerde servers door de wasstraat. Dat dit impact zou hebben op studenten en medewerkers was zeker, terwijl niemand wist hoe lang het herstel zou duren. De universiteit bleef een week dicht, tentamens werden uitgesteld. Zo liep de cyberaanval met een sisser af, maar zorgde die wel voor ongemak.
Voor het managen van deze crisis verdient de TU Eindhoven lof. Al zijn er natuurlijk ook fouten gemaakt, anders waren de hackers het netwerk nooit binnengekomen. De universiteit was maandag bij een terugblik op de gebeurtenissen zelf de eerste om dat toe te geven. De hackers kwamen in het netwerk via gehackte accounts en de beveiliging van het VPN-systeem, de toegangspoort, bleek flinterdun. Ook een beginnersfout: de draaiboeken voor een crisis als deze bleken op het moment suprême niet beschikbaar, want ze waren alleen digitaal opgeslagen.
Wat deze casus laat zien is dat er op het gebied van cyberveiligheid nog werk te doen is voor universiteiten. Dat gaat verder dan het waterdicht maken van IT-systemen, het vergt ook bewustwording bij gebruikers, zoals het simpele feit dat wachtwoorden om de zoveel tijd vervangen moeten worden. Daarnaast is een goede crisisorganisatie onontbeerlijk.
Dat cyberveiligheid een urgent thema is, daarvan hoeft niemand de universiteiten meer te doordringen. Ze hebben daar de afgelopen jaren gezamenlijk veel energie en geld in gestoken en dat betaalt zich nu uit. Het lijkt geen goed idee om ze op dit punt van koers te laten veranderen. Toch is het kabinet dat van plan: het hoger onderwijs zou onder de nieuwe Cyberbeveiligingswet moeten gaan vallen die Nederland digitaal weerbaarder moet maken.
Dat betekent extra rompslomp maar vooral extra kosten, terwijl de vraag is hoeveel extra veiligheid het oplevert. In een tijd waarin universiteiten al krap bij kas zitten, is dat zout wrijven in een open wond.
