Oefenen met een grote cyberaanval

Donderdag 4 oktober, 10.00 uur. Bij IT support komen meldingen binnen van drie universiteitsmedewerkers. Hun computers zijn besmet, overgenomen door ransomware. Bestanden zijn versleuteld en op het scherm staat een melding dat als niet voor een bepaalde tijd wordt betaald, die bestanden zullen worden gewist.

Daar blijft het niet bij. Ongeveer tegelijkertijd komen er ook meldingen van problemen met de digitale toetsomgeving. En directeur Library en IT services, Corno Vromans, krijgt bezoek van een beveiliger. Er is een verdachte usb-stick gevonden, verloren door iemand die probeerde in te breken bij de serverruimte. Ondertussen verschijnen ook de eerste berichten over ransomware op de social media.

Als snel is duidelijk: dit is het begin van een grote cyberaanval. En niet alleen in Tilburg. Bij universiteiten en hogescholen in het hele land zijn soortgelijke voorvallen. IT Security Officer van de universiteit, Jeffeny Hoogervorst, zit op dat moment in Utrecht, hij volgt de gebeurtenissen van een afstandje en weet precies wat er aan de hand is. Hij is namelijk een van de daders, de aanval is niet echt. Het is een oefening, een heel grootschalige oefening. In totaal vijftig instellingen doen eraan mee, allemaal aangesloten bij Surf, het samenwerkingsverband voor ICT van het onderwijs. Landelijk zijn zo’n 1200 mensen bij de oefening betrokken. Niet alleen de CERT-teams – de digitale brandweer die onder meer in actie komt bij bedreigingen van het netwerk – maar ook medewerkers van alle afdelingen van de deelnemende instellingen. Een aanval van deze schaal raakt de universiteit namelijk in vele geledingen. De vraag is: hoe gaan de verschillende lagen daar mee om? Hoe goed werken ze samen? Is duidelijk wie welke bevoegdheden heeft? Zo zijn er in Tilburg naast mensen van verschillende IT-afdelingen, ook medewerkers van communicatie bij betrokken en de vicevoorzitter van het College van Bestuur, Paulina Snijders. In totaal doen er hier zo’n 25 mensen aan mee, waaronder drie observatoren die het wel en wee van de hele operatie in de gaten houden.

Brandoefening

Jeffeny Hoogervorst zit ondertussen met collega’s van andere universiteiten in het hoofdkwartier van Surf in Utrecht. Ze werken al maanden aan de oefening, de voorbereiding begon al in mei. Hoogervorst was betrokken bij het opzetten van de infrastructuur en techniek. Dat alles heeft hij min of meer in het geheim gedaan voor zijn Tilburgse collega’s, die hebben als het oefenscenario begint nog geen idee wat hen boven het hoofd hangt. Hoogervorst: “Samen met mijn backup, GRC Officer Jolanda Peters, was ik de enige op de universiteit die wist wat er ging gebeuren. Tevoren had ik al wel oefendoelen besproken met LIS-directeur Corno Vromans. Maar zelfs hij wist niets van het masterscenario, hij wist alleen dat er speciaal voor Tilburg een subscenario zou zijn met de digitale toetsen. Iedereen had de mogelijkheid om zo de oefening een beetje op de eigen instelling toe te spitsen.”

Het is de tweede keer dat Surf een cyberoefening houdt op deze schaal, twee jaar geleden was de eerste. In 2016 deed Tilburg University nog niet volledig mee, maar dit jaar is de deelname opgeschaald tot zelfs het College van Bestuur aan toe. Een oefening als deze is dan ook belangrijk, benadrukt Hoogervorst. “Je moet het zien als een brandoefening. Het is zeer nuttig. Al is het verschil wel dat bij een brandoefening iedereen ook echt een gebouw moet verlaten en dat komt nooit goed uit.”

“We hebben codewoorden afgesproken. Als er echt iets gebeurt weet iedereen: dit hoort niet bij de oefening”

Hoogervorst benadrukt dat bij deze oefening de universitaire netwerken volledig veilig waren. De malware, de storingen, de meldingen en de gesimuleerde social media-berichten, alles speelde zich af in een volledig afgescheiden omgeving. Voor de rest van de universiteit was het gewoon business as usual. Een computerstoring in de bibliotheek op diezelfde dag stond dan ook volledig los van de oefening, benadrukt Hoogervorst. Omgekeerd zorgde het ook niet voor verwarring bij het oefenende personeel: “We hebben codewoorden afgesproken. Zodat als er echt iets gebeurt, iedereen weet: dit hoort niet bij de oefening, dit is echt.”

Stekker eruit

Het grote belang van een oefening als deze is dat de verschillende afdelingen van de universiteit het samenwerken met elkaar en met andere universiteiten kunnen testen, vertelt Hoogervorst. “Zo zal het CERT-team willen reageren op een besmette computer door de stekker eruit te trekken, of die van het netwerk te halen. Maar dat kan leiden tot een reactie van een hacker, zoals het openbaar maken van gevoelige documenten, of de malware start een self destruct van bestanden. Bij onze oefening was de sanctie op van het net halen dat er straftijd kwam.” Twee uur zou in mindering worden gebracht, op de nog resterende tijd voordat bestanden werden gewist. “Dus misschien heeft de organisatie er juist belang bij om dat niet te doen. Daarom is het belangrijk om snel in meerdere lagen te overleggen.”

“Ik heb zelfs iemand laten bellen namens Univers met vragen over de problemen”

De oefening duurde anderhalve dag, van donderdag 09.30 tot 17.00 uur en vrijdag van 09.30 tot 13.00 uur. “Het is heel intensief. Voor de mensen op de universiteit, maar ook voor ons in Utrecht,” aldus Hoogervorst. Terwijl hier en op andere deelnemende instellingen crisisteams gevormd worden, er gewerkt wordt aan de problemen en gezocht wordt naar de dader, proberen Hoogervorst en zijn collega’s vanuit Utrecht de druk op te voeren. Ze gebruiken berichtjes van de ‘dader’, die dreigt bijvoorbeeld in de loop van de dag om gevoelige informatie openbaar te maken. Er zijn berichten in de pers en social media, ook zijn er belteams die de universiteiten bestoken met telefoontjes met allerlei vragen. Hoogervorst: “Ik heb zelfs iemand laten bellen namens Univers met vragen over de problemen.”

Ondanks de lange voorbereiding is het verloop van zo’n oefening toch verrassend voor de organisatoren. “We weten nooit hoe het gaat lopen. Hoe een organisatie gaat reageren is niet te voorspellen. Zo hadden we er eigenlijk niet op gerekend dat, aan het einde van de eerste dag, alle organisaties een gezamenlijk standpunt zouden innemen. ‘Wij gaan niet betalen.’ Maar dat is ook het leuke ervan.” Hoe dan ook noemt Hoogervorst de oefening geslaagd, maar helemaal klaar is hij er nog niet mee. Nu mag hij aan de slag met de ervaringen en analyses van de observatoren van de oefeningen om te kijken hoe de weerbaarheid beter kan.

Bekijk meer recent nieuws

Schrijf je in voor onze nieuwsbrief

Blijf op de hoogte. Meld je aan voor de nieuwsbrief van Univers.