HvA en UvA getroffen door cyberaanval

Logo van de Universiteit van Amsterdam (UvA) op de voorgevel

De Hogeschool en Universiteit van Amsterdam (HvA en UvA) zijn allebei het slachtoffer van een cyberaanval. Het Security and Operations Centre heeft geconstateerd dat ‘onbekende derden’ zichzelf toegang hebben verschaft tot de ICT-omgevingen. Maatregelen zijn en worden genomen om de gevolgen van de aanval te beperken.

De UvA bevestigt de aanval in een persbericht en op Twitter.

Systemen worden tijdelijk uitgeschakeld

De details over de cyberaanval zijn op dit moment nog schaars. Het is niet bekend om wat voor soort aanval het precies gaat, of er persoonsgegevens of andere data zijn gestolen, of dat de daders bestanden hebben versleuteld en losgeld eisen. In het laatste geval spreken we van ransomware of gijzelsoftware. Eind 2019 werd de Universiteit Maastricht door een ransomware-aanval getroffen. De universiteit betaalde bijna twee ton om weer toegang te krijgen tot het computernetwerk en onderzoeksgegevens.

Medewerkers van het Security and Operations Centre van de HvA en UvA onderzoeken op dit moment welke delen en toepassingen van de ICT-omgeving zijn geraakt door de hackers. Om de impact op het onderwijs en onderzoek te minimaliseren, worden de komende tijd systemen tijdelijk uitgezet. Dat betekent dat studenten, docenten, onderzoekers en academici geen gebruik kunnen maken van de systemen. De informatie die daarin is opgeslagen, is dan eveneens niet beschikbaar. “We begrijpen dat dit overlast geeft en proberen dit zoveel mogelijk te beperken”, schrijft de UvA in een persverklaring.

Lessen en examens gaan door

De onderwijsinstellingen zeggen dat ze, in het belang van het onderzoek, op dit moment geen verdere mededelingen doen over de achtergrond en omvang van de cyberaanval. Het onderwijs lijdt er minimaal onder. Geplande examens en lessen gaan gewoon door. Mocht er iets in de planning veranderen, dan worden studenten daarvan op de hoogte gebracht.

TU Delft en Universiteit Utrecht zijn de dupe van ransomware-aanval

Onderwijsinstellingen in Nederland zijn wel vaker het doelwit van hackers. Zojuist noemden we al even de Universiteit Maastricht. Afgelopen jaar hadden de TU Delft en Universiteit Utrecht last van de naweeën van een cyberaanval bij Blackbaud. Blackbaud is de grootste leverancier van CRM-software voor onderwijsinstellingen en non-profitorganisaties ter wereld. Dat bedrijf maakte eind juli bekend dat ze in de maanden daarvoor getroffen waren door een ransomware-aanval.

De aanvallers stalen een oud back-upbestand, daterend uit 2017, met persoonsgegevens van studenten, alumni en medewerkers. Het ging om onder meer voor- en achternaam, contactgegevens, burgerservicenummer (BSN), donatiegedrag, evenementbezoeken en opleidings- en loopbaangegevens.

Servers van de NWO gehackt

Eerder deze week werden de servers van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) gehackt. Via een persbericht liet de instantie weten dat alle applicaties op het netwerk momenteel niet toegankelijk zijn. Medewerkers kunnen onder anderen geen e-mails ontvangen en verzenden of toepassingen van Office 365 gebruiken.

De software waar academici een subsidieaanvraag kunnen indienen voor onderzoek, draait op een externe server. Uit voorzorg heeft de NWO besloten om deze af te sluiten voor alle gebruikers, totdat zeker is dat er geen infectie heeft plaatsgevonden. De organisatie liet weten dat ‘het gehele primaire proces’ voor onbepaalde tijd is opgeschort. Beveiligingsexperts onderzoeken de zaak en zijn reeds begonnen met herstelwerkzaamheden.

Update (18 februari 2021): via een persverklaring laten de HvA en UvA weten dat de cyberaanval is uitgevoerd door ‘professionele hackers die uit zijn op financieel gewin’. Nog altijd geven de onderwijsinstellingen geen details over de aard en omvang van de aanval. Het Security and Operations Centre zegt dat het Computer Emergency Response Team (CERT) ‘snel en adequaat’ heeft gehandeld, waardoor de schade binnen perken is gebleven.

Om een compleet beeld te krijgen van de cyberaanval onderzoekt het CERT alle door de HvA en UvA gebruikte servers en systemen. Het onderzoek neemt zeker enkele dagen in beslag. Het onderwijs en academisch onderzoek aan de hogeschool en universiteit ondervinden slechts beperkt hinder: de systemen zijn online en kunnen gebruikt worden.

Update (19 februari 2021): via een updatebericht laten de HvA en UvA weten dat de situatie hetzelfde is als gisteren. Het onderwijs en academisch onderzoek ondervinden ‘zeer beperkt’ hinder van de cyberaanval. Alle systemen zijn online en kunnen worden gebruikt.

Wel waarschuwt het Security and Operations Centre van de onderwijsinstellingen studenten en medewerkers dat er phishingmails in omloop zijn. Deze gaan over de aanval op de hogeschool en universiteit. De afzender verzoekt hen om in te loggen op hun account en wachtwoord te wijzigen. Dit is een poging van de daders om misbruik te maken van de situatie, zo waarschuwt het Security and Operations Centre. Iedereen wordt gevraagd om alert te zijn. Studenten en werknemers wordt geadviseerd om het e-mailadres van de afzender te controleren, URL’s in het bericht te controleren op betrouwbaarheid, geen bijlages te openen die je niet volledig vertrouwt en geen Office macro’s te activeren.

Update (27 februari 2021): studenten en medewerkers aan de Hogeschool en Universiteit van Amsterdam geven goed gehoor aan het verzoek om hun wachtwoord te wijzigen. Het Operations and Security Centre zegt in een updatebericht dat enkele tienduizenden studenten hun wachtwoord inmiddels hebben veranderd. “Heb je je wachtwoord nog niet gewijzigd, doe dit dan zo snel mogelijk!”, zo adviseren IT-medewerkers.

De reden waarom het Operations and Security Centre hier zo’n druk achter zet, is dat het oude wachtwoord vanaf 3 maart niet langer werkt. Studenten en personeelsleden van de HvA en UvA kunnen pas weer inloggen als zij hun wachtwoord wijzigen. “Heb je toetsen, zorg dan in ieder geval dat je je wachtwoord daarvoor gewijzigd hebt. Daarna vervalt je wachtwoord en heb je niet langer toegang tot de systemen. Je moet dan een moeilijkere procedure doorlopen om een nieuw wachtwoord te krijgen”, stelt de IT-afdeling.

Iedereen die zijn of haar wachtwoord nog niet heeft aangepast, heeft vrijdag daarvan een herinneringsbericht per e-mail ontvangen.

Update (10 maart 2021): de HvA en UvA schrijven in een gezamenlijk persbericht dat de ‘zware cyberaanval’ op de onderwijsinstellingen is afgeslagen. Het Security and Operations Centre heeft alle servers onderzocht en waar nodig opgeschoond. De hogeschool en universiteit nemen de komende weken de tijd om de aanval te onderzoeken en het plan van aanpak te evalueren. De uitkomsten van de evaluatie worden publiekelijk gedeeld.

De HvA en UvA schrijven in de persverklaring dat de hackers in korte tijd 50 van de ruim 1000 servers wisten te infecteren met malware om ze, op een later moment, te versleutelen. Door het kordate optreden van de IT-medewerkers heeft het nooit zover kunnen komen. Uit voorzorg vroeg de IT-afdeling aan ruim 110.000 studenten en medewerkers om hun wachtwoord te veranderen.

De hogeschool en universiteit melden dat er geen losgeld is betaald. Er zijn ook geen aanwijzingen dat de aanvallers persoonsgegevens of andere privacygevoelige informatie hebben buitgemaakt. Desalniettemin hebben ze aangifte gedaan bij de politie van computercriminaliteit. De Autoriteit Persoonsgegevens is eveneens op de hoogte gesteld.

“Deze aanval laat opnieuw zien dat het hoger onderwijs een doelwit is van gerichte aanvallen en dat het nodig is om bijzonder alert te zijn”, zegt Jan Lintsen, lid van het College van Bestuur van de UvA. Hanneke Reuling, vicevoorzitter van het College van Bestuur van de HvA, zegt trots te zijn op de ICT-afdeling. Het academisch onderwijs en onderzoek hebben minimaal te lijden gehad onder de cyberaanval. Ze benadrukt dat het belangrijk is om lessen te trekken uit de aanval en te blijven investeren in informatiebeveiliging.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen