Help, een cyberaanval. Gooi je alle systemen plat, of wacht je tot er meer bekend is?

Hoe informeer je medewerkers en studenten over een cyberaanval, wat zeg je tegen journalisten? Beeld Merlin Daleman

Wat te doen bij een cyberaanval? Vijftig onderwijsinstellingen doen deze week mee aan een landelijke oefening. 'Het is heel reëel dat dit een keer gaat gebeuren.'

De problemen mogen nep zijn, het zweet is echt. Op de TU Eindhoven zijn de mannen van de ICT-afdeling druk in overleg. Er verschijnen dikke druppels op het voorhoofd van een forse man met bril en blokjesoverhemd, terwijl hij driftig tijdstippen en computertermen op grote witte vellen papier stift. Er is kans op een datalek, klinkt het ongerust. "Ik wil nú dat alle kritische systemen uit de lucht gaan", zegt ICT-directeur Hans Louwhoff met uitgestreken gezicht. "Anders worden ze beschadigd of leeggeroofd. We waren al te laat met de site uit de lucht halen. Hij was al geïnfecteerd."

De TU Eindhoven is een van de deelnemers aan de grote cybercrisisoefening die deze week werd georganiseerd door Surf, de ICT-samenwerkingsorganisatie voor onderwijs en onderzoek in Nederland. Samen met zo'n vijftig andere mbo's, hogescholen, universiteiten en onderzoeksinstituten oefenden ze donderdag en vrijdag met een rampscenario (zie kader), een cyberaanval waarbij snel handelen geboden is. Een belangrijke klus, zegt woordvoerder Barend Pelgrim. "Het is heel reëel dat dit een keer gaat gebeuren. Zo'n aanval is een black box. Het heeft meer impact dan een overlijden."

Criminele component

Een aanval van dit kaliber heeft de universiteit gelukkig nog nooit gehad. Maar dat biedt geen garantie voor de toekomst. Het risico op grote aanvallen en 'cyberincidenten' neemt toe, zegt Charlie van Genuchten die de oefening vanuit het crisiscentrum in Utrecht coördineert. "De criminele component wordt groter. Voor hackers is het een verdienmodel om mensen of organisaties af te persen."

Volgens haar hebben onderwijsinstellingen hun veiligheid op het technische vlak relatief goed op orde, maar weten ze bij een aanval niet altijd goed hoe te handelen. "We zien veel onderschatting of overschatting. Bestuurders trekken soms snel ergens de stekker uit, voordat ze precies weten wat er aan de hand is."

Dat was voor de TU Eindhoven ook lastig, erkent Pelgrim. Gooi je direct alle systemen plat, of wacht je tot er meer bekend is, met het risico op nog meer schade? Hun ICT-directeur koos voor het eerste. Daarna volgden meer dilemma's: hoe informeer je medewerkers en studenten, wat zeg je tegen journalisten, en moet je een hacker die geld eist wel of niet betalen?

Het crisiscomité houdt de hand op de knip, ook al dreigt de 'hacker' 51 buitgemaakte bestanden te verspreiden via Wikileaks. Een verstandig besluit, zegt Van Genuchten. "We raden altijd af om te betalen. Ten eerste zou je daarmee het verdienmodel van de hackers in stand houden. Bovendien blijft het onzeker of en hoe je je data terugkrijgt."

De weigering van de TU Eindhoven wordt bestraft: korte tijd liggen de persoonsgegevens van 51 medewerkers en studenten inderdaad (zogenaamd) op straat. Dat is pijnlijk, zegt Pelgrim. Maar het crisisteam blijft bij de beslissing om niet te betalen.

De rust keert pas na anderhalve dag terug, als bekend wordt dat de dader is opgepakt. Het ICT-team begint alle data door een 'digitale wasstraat' te halen om te checken of ze schoon zijn. Dat blijkt het geval. Na een paar uur staat bijna alles weer online.

Het eindoordeel? Hoewel de schade beperkt is door alle systemen snel plat te leggen, zijn er zeker leerpunten, zegt Pelgrim. Zo moet er een beter systeem komen om met studenten te communiceren als e-mail en intranet eruit liggen. Nu gebeurde dat via sociale media.

Daarnaast moet de TU wetenschappers er beter op wijzen dat ze back-ups moeten maken. Door het platleggen van alle systemen raak je aan wetenschappelijk onderzoek, zegt Pelgrim. "We kregen klachten uit laboratoria dat er gegevens verloren gingen. Dat is ontzettend pijnlijk."

Het scenario

Bij de crisisoefening werd voor alle deelnemers een centraal scenario gebruikt met varianten per instelling: door een aanval wordt de website (een dummy) van de deelnemende organisatie overgenomen en voorzien van nepnieuws. Ondertussen worden in hoog tempo bestanden versleuteld. Studenten kunnen niet meer inloggen en er ontstaat onrust op sociale media. De hacker eist vervolgens een hoog bedrag en dreigt dat er anders gegevens op straat komen te liggen. Ook media en studenten mengen zich in de discussie. Uiteindelijk krijgt de politie genoeg aanwijzingen om de dader op te sporen en aan te houden, en de gestolen data en de 'sleutels' terug te bezorgen.

Lees ook:

Rotterdamse haven wapent zich tegen nieuwe cyberaanval

In de haven zijn ze geschrokken van de sabotage vorig jaar van twee containerterminals. Bedrijven zijn nu alerter.

Voor agressief Rusland schuift Nederland de spionnencode terzijde

Inlichtingendiensten bestrijden elkaar doorgaans in stilte, maar Nederland en zijn bondgenoten maken nu een uitzondering voor Rusland. Ze lijken de Russen niet langer als respectabele rivaal te beschouwen, maar als een soort maffiose tegenstander.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden