Kennisinstituten zijn steeds vaker doelwit van cyberaanvallen, ook de Vrije Universiteit Amsterdam. ‘Het zijn geen pogingen meer, maar gerichte aanvallen met een winstoogmerk.’
De Universiteit Maastricht betaalde begin vorig jaar bijna twee ton losgeld om hun gehackte computersystemen terug te krijgen. Ook de servers van wetenschapsfinancier NWO werden begin dit jaar platgelegd door hackers. Het is een ontwikkeling die chief information security officer Coen Wartenhorst en collega Jeffrey Middelbos ook opmerken.
In de val getrapt
Een grote aanval zoals die op Universiteit Maastricht bleef de VU tot nu toe bespaard. Maar ruim 7.000 studenten en medewerkers van de VU klikten afgelopen november gewoon op de link in de nep-phishing mail die IT rondstuurde. In de mail stond dezelfde tekst die de hackers gebruikten voor de succesvolle aanval op Universiteit Maastricht.
Dagelijks krijgt de IT-dienst zo’n tien nieuwe meldingen binnen om te controleren
“We zijn meerdere keren, ook dit jaar al, in de buurt geweest van zo’n zelfde grote aanval”, zegt Wartenhorst. De meeste aanvallen worden opgespoord voordat ze schade aan kunnen brengen. Een deel van de securitymeldingen krijgt IT binnen van medewerkers die zelf melding maken van mogelijke phishing bijvoorbeeld, de rest wordt opgevangen door de firewall of opgemerkt door IT-medewerkers. Wanneer er opeens extreem veel internetverkeer is, er vanzelf software wordt gedownload, vanaf één computer snel achter elkaar andere inloggegevens worden gebruikt, of een VUnet-ID steeds vanaf een ander IP-adres wordt aangemeld, gaan de alarmbellen af. Dagelijks krijgt de IT-dienst zo’n tien nieuwe meldingen binnen om te controleren.
Spionageclubs
Het precies noteren van alle afzonderlijke security-incidenten is lastig, want elke melding wordt afzonderlijk geteld, terwijl tien verschillende meldingen ook over een en dezelfde aanval kunnen gaan. Middelbos: “Tegelijkertijd worden grote aanvallen niet altijd volledig genoteerd omdat het team de registratie dan loslaat.” “Als je met z’n allen bezig bent zo’n aanval onschadelijk te maken, is registratie niet het eerste waar je aan denkt. Je koppelt nieuw binnenkomende meldingen dan niet meteen aan dat incident”, beaamt Wartenhorst.
In januari kwam er een reeks meldingen binnen die terug te leiden was naar een specifiek soort malware. Het securityteam werd tijdelijk opgeschaald en de VU pareerde de aanval. Twee maanden later rolde de politie in samenwerking met andere landen het netwerk op. Wat de cybercriminelen precies voor informatie wilden, was niet duidelijk. “Als je er vroeg genoeg bij bent zijn ze nog nergens, dan weet je niet wat voor aanval het precies is”, zegt Wartenhorst. “Maar naast het vragen van losgeld voor het teruggeven van macht over servers, zijn er ook spionageclubs die onderwijsdata willen krijgen als gegevens over onderzoeken of bedrijfsinformatie. In plaats van naar de website van een universiteit gaan om de catalogus te lezen, breken ze in om te zien waar de universiteit mee bezig is en op welke gebieden een instelling goed is voor latere aanvallen.”
‘EduVPN is voor de mensen van wie we de identiteit kennen, en vereist meerdere inlogstappen. Het zet de deur minder wijd open’
Als kennisinstituten een doelwit zijn, is het dan niet veiliger voor medewerkers thuis om vanaf hun eigen IP-adres te werken in plaats van de VPN van de VU? Dan zouden ze wellicht onder de radar kunnen blijven. “Maar als we toegang tot de VU-systemen openzetten voor het hele internet, dan kan iedereen bij ons proberen in te breken. EduVPN is voor de mensen van wie we de identiteit kennen, en vereist meerdere inlogstappen. Het zet de deur minder wijd open.”
Om beter bestand te zijn tegen aanvallen, houdt ict-instelling SURF de kennissector in de gaten. Een emergency response team informeert onderwijsinstellingen van wat er allemaal bij de andere instellingen gebeurt en assisteert waar nodig bij het pareren van aanvallen.
Geen respect meer
Sinds dit jaar maakt de IT-desk gebruik van een nieuw systeem om meldingen handmatig te kunnen categoriseren. Ze moeten constant in beweging blijven, want de hackers zijn dat ook. “Kennisinstituten waren niet altijd interessant voor hackers”, zegt Wartenhorst. “Helaas zijn we ontdekt.” Het werkveld van hackers is daarmee veranderd. Ook hun werkwijze is volgens Middelbos agressiever geworden: “Voorheen stopten ze nog met malware verspreiden als ze zagen dat ze met een zorginstelling of onderwijsinstituut te maken hadden. Dat interesseert ze nu niet meer.”
‘Binnenkort is er weer een IT-conferentie in Bulgarije. De helft van de bezoekers is daar niet met legitieme doeleinden’
Oppassen met wat je elkaar vertelt
Het idee van de eenzame hacker op zolder is ook volgens Wartenhorst achterhaald. “Ze zitten op kantoor, werken van 9 tot 6, klappen dan hun laptop dicht en hebben ook gewoon vakantie. Alleen hun werk is inbreken in systemen, data versleutelen en losgeld eisen. Het is een bedrijfsmodel geworden.” Je zou cybercriminelen bij wijze van spreken dus op een netwerkborrel tegen kunnen komen. “Dat gebeurt ook”, zegt Middelbos. “Binnenkort is er weer een IT-conferentie in Bulgarije. De helft van de bezoekers is daar niet met legitieme doeleinden, maar om informatie in te winnen van andere partijen.” Gelukkig vertrouwen Middelbos en Wartenhorst elkaar wel. Middelbos: “Ik wantrouw alles, behalve mijn collega’s. Nee hoor. Maar het geldt wel voor de hele cyberwereld: je past op met wat je elkaar vertelt.”