In februari van dit jaar werden de Universiteit van Amsterdam (UvA) en de Hogeschool van Amsterdam (HvA) getroffen door een cyberaanval. In een op 6 juli verschenen evaluatie delen de onderwijsinstellingen hoe ze die aanval pareerden. Terugvechten was het enige reële scenario, stellen de betrokkenen vast.
Dat staat in ‘Aanval afgeslagen’, Leerevaluatie cyberaanval UvA-HvA. De studie geeft naast een reconstructie van de gebeurtenissen een uitgebreid beeld van de afwegingen op het gebied van strategie, ict en communicatie. Een interessant document voor iedereen die wil leren hoe een onderwijsinstelling zo’n aanval aanpakt. Zeker omdat dergelijke rapportages meestal niet openbaar worden gemaakt.
De universiteit en hogeschool lieten een in crisismanagement gespecialiseerd adviesbureau, COT (onderdeel van Aon), de zaak onderzoeken. Zij spraken met direct en indirect betrokkenen, zoals bestuursleden en leden van het cert (computer emergency response team) en soc (security operations center).
Uit het feitenrelaas blijkt dat de onderwijsinstellingen de hack op 15 februari opmerkten. Nadat eerder de universiteit van Maastricht slachtoffer was geworden van een aanval met gijzelsoftware en betaalde om weer toegang te krijgen tot die data, was het in Amsterdam meteen alle hens aan dek, zo blijkt uit het document. Een belangrijke rol is weggelegd voor ict-beveiliger Fox-IT, die zich als externe adviseur met name concentreert op het detecteren van de indringers. Ook blijkt dat de criminelen via een laptop van een student het systeem zijn binnengedrongen.
Drie opties
Er worden bij de eerste bijeenkomsten van het crisisteam meerdere opties afgewogen. Eén daarvan is alle aan internet gekoppelde systemen afsluiten en systemen uitzetten om te behoeden dat deze geraakt worden door de aanvaller. Gezien de periode waarin de hack plaatsvindt, midden in de corona-pandemie waarbij onderwijs op afstand wordt gegeven, is dat geen optie.
Ook wordt overwogen om ‘in stilte’ een nieuwe omgeving op te bouwen. Door niet te reageren op de aanval, maar te observeren wat er gebeurt en parallel een nieuwe omgeving opbouwen, kunnen de bewegingen van de hackers – het zijn er twee, zo blijkt – in kaart worden gebracht.
Uiteindelijk wordt gekozen voor de optie ratrace/terugvechten, door het ‘direct counteren’ van de activiteiten van de aanvaller met de mogelijkheid dat de aanvaller zich terugtrekt en systemen nog te redden zijn.
De schade
Uit het technische onderzoek blijkt dat in totaal 62 servers zijn gecompromitteerd. Daarbij zijn ten minste elf gebruikersaccounts, waarvan tien beheeraccounts, en alle drie de domeinen in de infrastructuur van de instelling gecompromitteerd. Dat wil zeggen dat gebruikersaccounts gebruikt zijn door de aanvaller, hij op de systemen code heeft uitgevoerd en toegang heeft weten te bemachtigen tot een account met (domein)-beheerdersrechten. De aanvaller heeft in ieder geval gebruikersinformatie en netwerkinformatie benaderd.
Risico’s
De optie terugvechten brengt het risico met zich mee dat de hacker escaleert en versnelt en alsnog de data van de HvA en UvA gijzelt. Dat risico is met Fox-IT besproken en samen zijn de scenario’s verder uitgewerkt. ‘Het vergt beslissen in onzekerheid, omdat niet bekend is hoe ver de hacker al is en de instellingen willen de hacker niet verstoren’, staat in de evaluatie. Fox-IT helpt bij het scherp krijgen van de scenario’s en het houden van focus. Samen stellen ze een duidelijk doel vast, kiezen een scenario (terugvechten) en monitoren dat scenario. Volgens de betrokkenen is terugvechten het enige realistische scenario.
De impact van het scenario waarin alle aan internet gekoppelde systemen worden uitgezet, heeft namelijk een veel te grote impact op de continuïteit van de onderwijsinstellingen. De optie om een nieuwe omgeving te bouwen en de hacker in de oude infrastructuur te volgen is te complex en vergt te veel tijd. Bovendien zijn er al tegenacties uitgevoerd, zoals het blokkeren van misbruikte beheeraccounts en het resetten van wachtwoorden.
In de evaluatie staat ook dat er op bestuurlijk niveau is overlegd over het al dan niet betalen voor het ontsleutelen van data. Het is evenwel nooit tot een ransomware-aanval gekomen. De onderzoekers adviseren om voor de toekomst die verkenning uit te werken tot een onderbouwd standpunt over de afweging om wel of niet te betalen voor het ontsleutelen van data door cybercriminelen en welke afwegingen daarin worden gemaakt.
Verbeteringen
De aanpak van de cyberaanval biedt volgens de evaluatie ruimte voor verbeteringen. Taken en verantwoordelijkheden moeten beter worden vastgelegd. De onderzoekets concluderen dat door volledige inzet van betrokkenen en improvisatie de cyberaanval is ‘afgeslagen’.
Maar de crisis-experts adviseren om taken en verantwoordelijkheden nog beter vast te leggen zodat in het geval van een toekomstig incident sneller duidelijk is wie waarvoor verantwoordelijk is.
