De cyberaanval die de universiteit op 11 januari 2025 trof, kon door snel en alert handelen gelukkig worden afgeslagen. Het besluit om diezelfde nacht alle in- en externe netwerkverbindingen te verbreken, had impact op de hele gemeenschap. De universiteit draait inmiddels al weer enkele maanden as usual, maar de nasleep houdt een deel van de gemeenschap nog steeds bezig. Dit is het verhaal van de cyberaanval door de ogen van zeventien betrokken TU/e’ers: van IT’ers tot onderwijsondersteuners, van studenten tot docenten, van planners tot communicatieprofessionals en van onderzoekers tot bestuurders.
Zaterdagavond 11 januari, 22.15 uur.
René Wassink, bij Library and Information Services (LIS) verantwoordelijk voor infrastructuur, platforms en security, zit een tv-serie te kijken over een cyberaanval op de Londense metro wanneer hij een Whatsapp-bericht binnenkrijgt: ‘Ons monitoringssysteem heeft een verdachte beweging in onze online systemen gesignaleerd, we gaan het uitzoeken’.
Dit berichtje was het begin van de maatregelen tegen wat later een serieuze cyberaanval op onze universiteit zou blijken. Met alle gevolgen van dien. René Wassink en Bert van Iersel, adjunct-directeur van LIS, blikken terug op die intensieve eerste dagen waarin ze door snel handelen onze universiteit hebben behoed voor een cyberramp. En waarin ze met hun collega’s van LIS in ploegen keihard werkten om onze gemeenschap zo snel mogelijk weer op de - digitale- rit te krijgen.
Zaterdagavond 11 januari, 22.25 uur.
“Ik kreeg al snel bericht van ons infrastructuurteam dat er iets ernstigs aan de hand was”, vertelt Wassink. Hij nam contact op met zijn LIS-collega’s Frank Hendrickx (directeur) en Bert van Iersel, adjunct-directeur en Product Area Lead van Data & Insights, om hen op de hoogte te brengen.
“Ik stond op het punt om naar bed te gaan toen René me een berichtje stuurde dat er mogelijk iets aan de hand was”, haalt Bert van Iersel terug in zijn herinnering. “Ik zei tegen mijn vrouw dat ze vast naar bed kon gaan. Ik wilde weten hoe het zou aflopen en zette mijn laptop aan op de keukentafel.
Duizenden aanvalspogingen per dag
Aanvalspogingen op ons netwerk zijn aan de orde van de dag voor het securityteam van Wassink. “We hebben geautomatiseerde systemen die dagelijks duizenden verdachte activiteiten detecteren. Het systeem kan zelf ingrijpen door mensen niet binnen te laten in ons systeem, of het kan escaleren naar ons. Dat gebeurde die avond. Meestal is dat loos alarm. Ik werk nu twee jaar aan de TU/e, en dit was de eerste keer dat we echt een groot probleem hadden”, zegt Wassink.
Wassink: “Onze mensen van security hebben een tijdje een robbertje gevochten met de indringers die binnen probeerden te komen.” Van Iersel vult aan: “Bij dit soort hacks zie je dat mensen binnenkomen met gelekte inloggegevens. Vervolgens proberen ze door de volgende beveiligingslagen te komen. Zo wurmen ze zich steeds verder naar binnen in je netwerk.”
Opschalen
Al snel werd die avond het team dat zich bezighield met de cyberaanval opgeschaald binnen LIS. Daarin zaten behalve Wassink en Van Iersel ook de chief information security officer, de verantwoordelijke van het securityteam, en de verantwoordelijke van infrastructuur. “Het echte werk lag daarnaast natuurlijk bij onze mensen van het security operations teams, die hard aan het strijden waren om de indringer tegen te houden”, vult Wassink aan.
Zaterdagavond 11 januari 23.45 uur.
In een zogeheten status call rond 23.45 uur besloot het team dat er maar één keuze over was om de aanval te stoppen: alle netwerkverbindingen moesten worden uitgezet, om te voorkomen dat de indringers dieper zouden binnendringen in onze online systemen. Wassink en Van Iersel besloten dat de laatste naar de campus zou gaan, omdat er na het afsluiten alleen nog óp de campus toegang mogelijk was tot onze systemen. Alle remote verbindingen werden dan hermetisch afgesloten om de hackers ook buiten te sluiten. “Ik woon het dichtste bij en was rond 00.30 uur op de campus. Kort daarna hebben we alle netwerkverbindingen afgesloten”, zegt Van Iersel.
Zo’n twee uur na het ontdekken van de aanval sloot de universiteit haar netwerk hermetisch af voor de buitenwereld. “Terugkijkend was die eerste nacht spannend en mooi om mee te maken, al klinkt dat misschien raar”, zegt Van Iersel.
“We hadden betrekkelijk weinig stress”, herinnert Wassink zich. “Onze mensen wisten wat ze moesten doen, want we hebben dit soort crisissituaties geoefend. Daardoor wisten we ook wie we moesten aanhaken binnen de TU/e om de crisisteams in stelling te brengen.”
Centrale Crisisteam bij elkaar roepen
Van Iersel lichtte het College van Bestuur in dat ze alle netwerkverbindingen hadden moeten uitzetten en dat zondagochtend het Centrale Crisisteam (CCT) bij elkaar moest komen. “Midden in de nacht heb ik daarvoor Gijs Spiele (hoofd van Safety and Security, red.) aan de lijn gehad om de telefoonnummers van de leden van het CCT te vragen en ze te vertellen dat we de volgende ochtend om negen uur bij elkaar moesten komen. De specialisten van het securityteam van René (Wassink, red.) hielden me die nacht op de hoogte tot hoe ver de hacker was gekomen in onze systemen”, zegt Van Iersel.
Wassink: “Ons belangrijkste doel was om te kijken of degene die binnen was geweest iets kwalijks had achtergelaten of had geïnstalleerd op ons systeem. Wij deden forensisch onderzoek, en de politie ook. Wij waren vooral bezig met de mogelijke schade aan onze systemen en data en het minimaliseren van de risico’s voor onze organisatie. De politie zocht naar daders. Die zijn tot nu niet gevonden.”
Schade beperken
In de uren en dagen die volgden, werkte een team van zo’n 25 IT-experts van LIS keihard om de schade te beperken. Van Iersel: “We moesten eerst inzicht krijgen in wat er gebeurd was. We durfden ons systeem niet meteen terug in de lucht te brengen, want we wisten niets van de aanvaller. Het zou zomaar weer kunnen gebeuren.”
Zodra we wisten wat er aan de hand was, konden we gaan opbouwen en nadenken over hoe we ons systeem weer open wilden zetten.” Van Iersel was voorzitter van het Crisis Management Team (CMT) van LIS, waar kort, bondig en gestructureerd de problemen besproken werden. Wassink zat ook in het CMT en was daarnaast voorzitter van het Crisis Response Team (CRT), het team dat met IT-oplossingen aan de slag ging. “Op de achtergrond werkte Ivo Jongsma, woordvoerder van het College van Bestuur, heel hard om onze gemeenschap te informeren over de crisis. Ik checkte met Frank Hendrickx of de berichten technisch klopten. Het was veel afstemmen.”
Saamhorigheid
“Die eerste dag werkten we met onze LIS-teams de klok rond en de dagen erna werkten we tot ’s avonds laat op vloer 11 in Atlas. Ontbijt, lunch en avondeten werden ter plekke gebracht door de mensen van Facility Services, dat was heel fijn geregeld”, zegt Van Iersel. “Tijdens die informele momenten samen aan tafel bespraken we hoe het ging, hoe iedereen erin zat.” “Er was veel saamhorigheid”, zegt Wassink. “We waren met z’n allen aan de slag. Mijn team voelde zich gewaardeerd, dat hun adviezen gehoord werden en werden meegenomen in de besluitvorming.”
Van Iersel vult aan: “Onze medewerkers van de LIS helpdesk werkten nauw samen met ESA en het CEC om vragen van studenten te beantwoorden via het Whatsapp-nummer dat al snel in de lucht kwam.”
Clouddiensten
Op woensdagavond werd besloten dat de clouddiensten weer ontsloten zouden worden. Wassink: “De authenticatie van die clouddiensten loopt via onze datacenters, en de verbindingen daarmee waren uitgeschakeld. Als we die weer aan zouden zetten, kon onze gemeenschap weer in de online systemen zoals Office365. Teams, Osiris en Canvas. Daar hadden we vertrouwen in, en dat ging goed.” “Je merkte dat hierna de sfeer luchtiger werd. Op donderdagochtend hadden we de cloud- en SaaS-systemen (waaronder Office 365, red.) in de lucht en zaten we met z’n allen aan het ontbijt. Toen begonnen de mensen van René’s team weer grapjes te maken. Dat was voor mij een moment van opluchting”, herinnert Van Iersel zich.
Herstart onderwijs
Daarna was het de beurt aan de lokale systemen en koppelingen om ook terug live gezet te worden. Denk aan Time Tell, Planon, Version, OnCourse, Oracle en Lab Servant. Om het onderwijs op de maandag erop weer mogelijk te maken, moest dat in het weekend ervoor gebeuren.
“We zijn dit gaan voorbereiden, maar gaven ook aan dat we niet konden garanderen dat het in het weekend zou lukken. Het was fijn dat ons advies gerespecteerd werd. We hebben de ruimte gekregen om het systeem op een veilige manier weer open te stellen voor onze gemeenschap”, zegt Van Iersel. Zaterdag, een week na de aanval, was alles weer in de lucht. Wassink: “Dat was een spannend moment. We moesten de systemen testen en valideren. Doet alles het nog, is er iets stuk gegaan omdat alles onbereikbaar was? Dat deden we met zestig LIS’ers tegelijk in een collegezaal.”
Nazorg
Met alle systemen weer in de lucht, was de klus nog niet geklaard. “Je moet goede nazorg leveren”, zegt Van Iersel. Een van de belangrijkste onderdelen daarvan is de onderzoeksinfrastructuur. “De focus tijdens de crisis lag op de onderwijsorganisatie. Voor onderzoekers had de cybercrisis ook veel impact, want zij konden niet communiceren met hun onderzoeksopstellingen die op ons netwerk staan. Daar zijn we daarna pas aan gaan werken.”
Leerpunten
Natuurlijk zijn er veel leerpunten te halen uit een cybercrisis. Er zijn ook al verbeteringen doorgevoerd, zoals het installeren van een nieuwe VPN-verbinding met multifactor-authenticatie. Ook is de capaciteit van securitydiensten verhoogd om alle bewegingen nog beter te monitoren.
Wassink: “Ik heb geleerd dat een organisatie in een stresssituatie heel creatieve dingen kan doen. Dan blijk je heel snel te kunnen schakelen, en in een actiemodus te kunnen samenwerken. Dat was achteraf gezien een prachtige ervaring.”
“Het oefenen voor crisissituaties zoals deze is heel waardevol gebleken”, zegt Van Iersel tevreden. “Als we dat niet hadden gedaan, hadden we het misschien niet aangedurfd om die nacht alle netwerkverbindingen uit te zetten. Dan hadden de gevolgen voor onze universiteit nog veel groter kunnen zijn.”
Rapportages
Half mei zijn de externe rapportages klaar over de cyberaanval. Een forensisch onderzoek is uitgevoerd door FOX-IT, een cybersecurity-bureau dat onze universiteit ook heeft bijgestaan tijdens de crisis. Daarnaast evalueert COT, het Instituut voor Veiligheids- en Crisismanagement, hoe onze crisisorganisatie heeft gefunctioneerd. “Die bevindingen gaan we ook delen met de buitenwereld”, zegt Van Iersel. “Zodat niet alleen wij, maar ook anderen ervan kunnen leren.”
Continue race
De twee hebben niet de illusie dat er in de toekomst geen aanvallen meer zullen komen. Van Iersel: “Het is een continue race van beveiligers tegen hackers, een ratrace wie het snelste is. Ze hebben ons één keer ingehaald, maar dat heeft ons heel veel inzichten opgeleverd om verbeteringen door te voeren. Een aanval gaat niet nog een keer op dezelfde manier lukken.”
“Informatiebeveiliging gaat ook om mensen. Als je niet goed omgaat met je login-gegevens en je je wachtwoorden hergebruikt, loop je het risico dat je gegevens op de markt komen en misbruikt kunnen worden”, waarschuwt Wassink.
Achterdeurtjes
“Ik hoop dat mensen zich nu meer dan ooit realiseren dat ze zélf verantwoordelijk zijn voor hun eigen en onze online veiligheid. Als je achterdeurtjes inbouwt, of wachtwoorden deelt met een team, zet je dus ook de deuren van de universiteit open voor mensen die hier niet horen en kwaad in de zin hebben.” “We zijn extra alert en hebben extra beveiligingsmaatregelen genomen. We monitoren alles nog strakker dan ooit tevoren en halen verbeteringsprocessen naar voren. Ik heb er vertrouwen in dat onze universiteit een veilige toekomst tegemoet gaat”, besluit Wassink.
Met dank aan TU/e