Universiteit van Amsterdam en de Hogeschool van Amsterdam waren eerder deze week het doelwit van professionele hackers. Doordat de aanval snel werd opgemerkt, is de hinder ‘slechts zeer beperkt’, aldus de instellingen.
De gehackte systemen zijn online en zijn te gebruiken, schrijft de UvA. ‘Er is snel en adequaat op gereageerd door vroege detectie door het security operations center (soc) en ingrijpen door het Computer Emergency Response Team (CERT) van de UvA en HvA.’ De instellingen beschikken over een gezamenlijke ict-dienst en monitoringcentrum.
Doorgaan als gepland
De gevolgen van de hack lijken beperkt. Hoewel veel onderwijs momenteel online plaatsvindt, kunnen de activiteiten doorgaan zoals gepland. ‘Uit voorzorg worden bepaalde systemen proactief tijdelijk uitgezet. Dit kan hinder veroorzaken voor het onderwijs.’ Ook de onderzoeksactiviteiten kunnen doorgaan zoals gepland, hoewel daar eveneens enkele systemen tijdelijk zijn uitgeschakeld.
Onderzoek moet aantonen welke systemen zijn geïnfecteerd. De instellingen hebben het plan om dubbel-uitgevoerde systemen beurtelings uit te schakelen en te controleren. Er zijn offline-backups beschikbaar, dus de kans op dataverlies is beperkt. Security-experts raden medewerkers, studenten en onderzoekers af om zelf een backup te maken. ‘Dit verstoort ons onderzoek en de algemene beschikbaarheid van onze gegevens.’
Opschoning
Het soc en het CERT onderzoeken samen met externe deskundigen hoe de hackers binnendrongen. De organisaties geven prioriteit aan opschoning van systemen en beperking van de overlast voor onderwijs en onderzoek. Er zouden geen aanwijzingen zijn dat persoonlijke gegevens zijn gelekt. Volgens de cyberonderzoekers lijkt de aanval niet gericht op data, maar op financieel gewin. Er is (nog) geen losgeld geëist, schrijven de instellingen.
Begin vorig jaar was de Universiteit van Maastricht het doelwit van cybercriminelen die de systemen en bestanden wekenlang gijzelden na een aanval van ransomware. UvA en HvU zeggen dat ze van die ransomware-aanval veel hebben geleerd en aanbevelingen hebben opgevolgd. Zo werd het soc opgetuigd, het CERT geprofessionaliseerd en multi-factor authentication op diverse systemen doorgevoerd.
Tijdbom
Doordat veel onderwijs en onderzoek in verband met de coronamaatregelen online plaatsvinden, kan de uitval van systemen grote gevolgen hebben. ‘De onderwijssector is al heel lang een tikkende tijdbom’, meldt Adenike Cosgrove, cybersecurity strategist bij Proofpoint. ‘Onderwijsinstellingen bezitten massa’s uiterst gevoelige gegevens over individuen, misschien wel meer dan enige andere sector buiten de gezondheidszorg.’
Volgens Cosgrove zijn Nederlandse universiteiten onder meer gevoelig voor e-mailfraude. Zo heeft 21 procent geen een verificatieprotocol voor e-mail (DMARC-record) gepubliceerd. Dit vergroot de kans dat cybercriminelen zich kunnen voordoen als autoritaire personen binnen die universiteiten, waardoor studenten een verhoogd risico op e-mailfraude lopen.
Een eerdere versie van dit artikel vermeldde dat de HvA en de UvA de 24-uursmonitoring hebben uitbesteed. Dit is onjuist; de twee instellingen hebben een eigen soc en een eigen CERT.