Soms is er amper keus!

De Universiteit Maastricht zou enkele tonnen betaald hebben aan cybercriminelen om de systemen weer draaiend te krijgen. Maar losgeld betalen is niet zonder risico: ‘Ze kunnen actief blijven op je netwerk'.

Het was ongetwijfeld een groot dilemma voor de Universiteit van Maastricht (UM): buigen we voor de cybercriminelen en betalen we losgeld? Of houden we principieel de hand op de bitcoin-beurs? Volgens het onafhankelijke universiteitsblad Observant koos de UM ervoor om het losgeld, naar verluidt enkele tonnen, toch te betalen. Het Nationaal Cyber Security Centrum (NCSC) raadt gedupeerden juist af om dat te doen, maar experts weten: soms is er amper keus.!

Vijf vragen over de hack van de Universiteit Maastricht

1. Wat is er gebeurd? 

Het was een vervelende vroege kerstverrassing dinsdag 24 december: medewerkers van de UM zagen dat plotseling een groot deel van de systemen eruit lagen. De e-mail lag plat, het studentenportaal en interne websites waren onbereikbaar. Al snel werd duidelijk dat het om een aanval met zogenoemde clop-software ging. De cybercriminelen achter clop, experts wijzen daarbij naar Rusland of Oost-Europa, richten zich op een netwerk, dringen dit binnen, vergrendelen zoveel mogelijk bestanden en ontsleutelen deze pas weer na betaling van losgeld, vaak in bitcoins, cryptovaluta die anonieme transacties mogelijk maakt. Eerder sloegen aanvallers op soortgelijke wijze toe bij de universiteit van Antwerpen en een ziekenhuis in Frankrijk. Het OM in Limburg doet onderzoek naar de hack, maar kan daarover vooralsnog niks melden. 

2. Is het goed om losgeld te betalen?

Nee, vindt de Nederlandse regering. Het aan de overheid gelieerde NCSC raadt getroffenen af om losgeld te betalen. Niet alleen omdat je zo het verdienmodel van criminelen in stand houdt, maar ook omdat er ‘geen enkele garantie’ is dat de bestanden daadwerkelijk hersteld worden: ,,Ook kunnen kwaadwillenden actief blijven op het netwerk”, schrijft het cybercentrum. ,,Ik begrijp dat de overheid dat zegt”, vertelt cyberdirecteur Inge Bryan van Deloitte. ,,Maar als bedrijf of instelling is het ook een rekensom: hoe lang kan ik zonder deze systemen voordat ik failliet ga? Dan is de keuze vaak snel gemaakt. Vergelijk het met de ouders wier kind ontvoerd is. Dan kun je principieel zijn, maar de ouders willen niets liever dan hun kind terug.” De universiteit zelf zwijgt vooralsnog over het contact met hackers en dus ook over de eventuele betaling van losgeld.

3. Hoe nu verder?

Op de universiteit wordt de boel in etappes opgestart. Als de colleges komende maandag na de kerstvakantie weer beginnen, draaien de meeste studentensystemen - het roosterprogramma, het studentenportaal - weer, al is het soms in beperkte mate. Later moeten de netwerken voor onderzoekers en de bedrijfsvoering weer werken, net als de e-mail.

4. Gebeurt dit vaker?

Ja, zeggen deskundigen. Wereldwijd zouden recent 1800 bedrijven getroffen zijn door geavanceerde gijzelsoftware, meldde de NOS vorig najaar, maar exacte Nederlandse cijfers zijn er niet. Wel merken onderzoekers een toename, ook omdat de hacks steeds meer geautomatiseerd worden. ,,We zien een opmars”, zegt Bryan van Deloitte.  ,,Bedrijven verzekeren zich daarom steeds vaker tegen de schade door cyberaanvallen. Soms reserveren ze zelfs alvast een wallet (digitale portemonnee, red.) met bitcoins voor het geval ze slachtoffer worden.” Frank Groenewegen van cybersecuritybedrijf Fox-IT begrijpt dat bedrijven soms losgeld betalen, maar waarschuwt ervoor dat al te klakkeloos te doen: ,,Als ze verzekerd zijn tegen cyberaanvallen zal de verzekeraar misschien zeggen: betaal maar, dat is sneller en dus goedkoper. Maar dan maak je het echt te makkelijk. Ik heb liever dat de verzekeraar meer betaalt aan het herstelwerk, als dat mogelijk is, dan dat de criminelen meteen gespekt worden”, zegt Groenewegen. Zijn bedrijf is ook betrokken bij de UM-hack, maar Groenewegen wil over die specifieke casus niks kwijt. ,,In het algemeen geldt: dit zijn super professionele hackers, die moet je aanpakken. Als een bende kinderen van rijke ouders gijzelt, kun je wel steeds losgeld betalen, je moet ook gewoon als politie de bende oprollen. De hackbevoegdheid die de politie nu heeft, kan daarbij helpen.” 
De Maastrichtse universiteit is niet verzekerd tegen digitale aanvallen, meldt een woordvoerder, dus alle extra kosten zijn voor eigen rekening. 

5. Was deze gijzeling te voorkomen?

Dat is nu lastig te zeggen, onderzoek moet dat uitwijzen. In het algemeen geldt: ,,Bedrijven moeten hun IT-huishouding op orde hebben”, zegt Bryan. Dat betekent: netjes alle updates draaien, het netwerk zoveel mogelijk segmenteren (‘je moet ophaalbruggetjes hebben zodra je aangevallen wordt’) en altijd alert blijven op e-mails die verwijzen naar schimmige webpagina's of rare bijlagen bevatten. ,,Al zijn de phishing-mails allang niet meer van het belabberde niveau met spelfouten en rare zinnen.” Wat ook kan helpen volgens Bryan: beter toezicht op IT-systemen. ,,We hebben wel verplichte controles van de boekhouding, waarom gebeurt dat ook niet voor de netwerken en computersystemen?” Als het dan toch misgaat: de politie heeft samen met een aantal cyberveiligheidsbedrijven een website waar de sleutels op staan die gevonden zijn bij eerdere aanvallen. (nomoreransom.org)

Wat kun je doen om gijzelsoftware te voorkomen?

• Voor particulieren geldt

Zorg ervoor dat alle software en het anti-virusprogramma op je computer up-to-date zijn, installeer updates meteen als deze beschikbaar zijn. Oude software maakt de computer kwetsbaarder. Klik niet op links en bijlages in e-mails van onbekenden of e-mails die je niet verwacht. Maak geregeld  back-ups van belangrijke bestanden.

• Bedrijven, instellingen en organisaties moeten ook zorgen dat

Gebruikersrechten van gewone medewerkers beperkt zijn. Zorg ervoor dat alleen goedgekeurde programma’s op de computersystemen kunnen draaien. Gebruik spamfilters om te voorkomen dat phishing-e-mails gebruikers kunnen bereiken. Installeer firewalls om toegang te blokkeren tot IP-adressen van bekende aanvallers. Train medewerkers om phishing-e-mails te herkennen, richt een meldpunt hiervoor in.  Stel een incidentrespons- en herstelplan op. 

Bron: ad.nl