Inspectie: ‘Universiteit Maastricht niet voorbereid op cyberaanval’

Inspectie: ‘Universiteit Maastricht niet voorbereid op cyberaanval’

Laatst bijgewerkt: 16 juni 2020
Leestijd: 4 minuten, 5 seconden

De Inspectie van het Onderwijs constateert dat de Universiteit Maastricht steken heeft laten vallen bij de cyberaanval van eind vorig jaar. De onderwijsinstelling had wel degelijk aandacht besteed aan informatiebeveiliging, maar was met name gericht op naleving van de Algemene Verordening Gegevensbescherming (AVG). De afhandeling van deze crisis was daarentegen wel adequaat. Ook heeft de Universiteit Maastricht passende maatregelen genomen om herhaling in de toekomst te voorkomen.

Dat zijn de belangrijkste conclusies die de Inspectie van het Onderwijs trekt. Ze onderzocht welke maatregelen de Universiteit Maastricht voor, tijdens en na de cyberaanval had genomen.

Cyberaanval

In december 2019 was de Universiteit Maastricht het doelwit van cybercriminelen. Om toegang tot het computernetwerk van de universiteit te krijgen, verstuurden ze diverse phishingmails met daarin een Excel-document als bijlage. Aan dit bestand hadden de hackers kwaadaardige macro’s toegevoegd. Daarmee slaagden ze erin om toegang tot het systeem van de universiteit te krijgen. Van daar ging het van kwaad tot erger en namen ze het gehele netwerk over.

Er waren geen offline back-ups van gegevens. Studenten en academici konden zodoende niet bij hun onderzoeksresultaten. Het IT-personeel van de universiteit probeerde de cyberaanval ongedaan te maken, maar zonder succes. Bovendien was het onzeker dat ze het netwerk volledig konden herstellen zonder de decryptiesleutel. Daarop besloot de onderwijsinstelling om de hackers bijna 200.000 euro aan losgeld te betalen.

De Inspectie van het Onderwijs kreeg van Ingrid van Engelshoven, minister voor Onderwijs, Cultuur en Wetenschap (OCW), de opdracht om het incident te onderzoeken. De hoofdvraag van het onderzoek luidde: heeft de Universiteit van Maastricht vooraf, tijdens en na de aanval passende maatregelen genomen om de goede voortgang van het onderwijs te waarborgen?

Cyberweerbaarheid

Op de eerste deelvraag is de Inspectie kritisch. Voorafgaand aan de cyberaanval had de Universiteit Maastricht weliswaar aandacht voor informatiebeveiliging. Deze was echter gericht op de implementatie van de AVG, niet op een mogelijke cyberaanval. “Cyberdreiging stond niet bovenaan de lijst met risico’s”, zo oordeelt de Inspectie.

“Activiteiten door kwaadwillenden, zoals ransomware, waren niet opgenomen in de draaiboeken voor grote incidenten. Voorafgaand aan de cyberaanval was er geen totaal (over)zicht op de IT-inrichting en daarmee slechts beperkt zicht op de cyberweerbaarheid van de universiteit als geheel.”

Doordat er beperkte controle was op de uitvoering van het ICT-beleid, werd de cyberaanval niet direct opgemerkt. Anderen hadden hierdoor zonder autorisatie toegang tot het netwerk van de universiteit. Hierdoor had de aanval meer impact dan nodig.

Lerend vermogen

De afhandeling van de crisis is volgens de Inspectie ‘adequaat’ verlopen. De Universiteit Maastricht heeft alle passende maatregelen genomen die ze had kunnen nemen om de gevolgen van de ransomware-aanval te beperken. De Inspectie is ook te spreken over het symposium dat de universiteit nadat de aanval was afgeslagen gaf. Daarin gaf de onderwijsinstelling openheid van zaken over het incident om andere organisaties te waarschuwen. Daarmee heeft de Universiteit Maastricht in de ogen van de Inspectie een belangrijke bijdrage geleverd “aan het lerend vermogen van het stelsel van hoger onderwijs”.

Adequaat ingrijpen

Tijdens het afhandelen van de crisis heeft de Universiteit Maastricht hard gewerkt aan ‘verhoogde dijkbewaking’. Zo huurde de universiteit een extern team in om de IT-systemen 24/7 te monitoren. Daarnaast bracht het de gehele centrale en decentrale IT-infrastructuur in kaart en scherpte ze diverse preventieve maatregelen aan. Of dit voldoende is om herhaling van soortgelijke incidenten op langere termijn te voorkomen, kan de Inspectie op dit moment niet zeggen. Dat zal in praktijk moeten blijken.

Al met al is de Inspectie te spreken over het optreden van de Universiteit Maastricht. In de conclusie staat het volgende:

“We concluderen dat door het adequaat ingrijpen tijdens de cyberaanval de goede voortgang van het onderwijs en onderzoek als gevolg van de cyberaanval slechts beperkt in gevaar is geweest. Er is slechts voor een korte periode sprake geweest van een continuïteitsprobleem voor het onderwijs en onderzoek. Het CvB [College van Bestuur, red.] van de UM [Universiteit Maastricht, red.] heeft weloverwogen beslissingen genomen en deze gedeeld en geïmplementeerd binnen de organisatie om een goede voortgang van de geplande onderwijsactiviteiten na de vakantieperiode te realiseren. Hoewel de UM heeft nagelaten in preventieve zin voldoende passende maatregelen te nemen, waren de respons en de eerste getrokken lessen adequaat.”

Door het adequate optreden van de universiteit heeft de Inspectie van het Onderwijs geen aanvullende verbeterpunten. Wel waarschuwt ze dat andere universiteiten en hogescholen kwetsbaar kunnen zijn voor cyberdreigingen. Begin 2020 nam de Inspectie het initiatief om dit te onderzoeken. Zodra het onderzoek is afgerond brengt ze de Universiteit Maastricht op de hoogte van de bevindingen.

Samenwerking

De Universiteit Maastricht heeft tegenover de Inspectie verteld dat ze behoefte heeft aan meer samenwerking met andere onderwijsinstellingen, aan meer kennisdeling over cyberdreigingen en duidelijke steun vanuit de overheid. Medewerkers vinden dit het juiste moment om over cyberveiligheid te praten en maatregelen door te pakken. Daarbij moet er aandacht zijn voor het dilemma tussen investeringen in onderwijs en onderzoek enerzijds, en cyberweerbaarheid anderzijds.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen