[UPDATE] Oefening: boze hacker valt hoger onderwijs aan

De hacker in de oefening is boos. “Netneutraliteit en academische vrijheid staan op de tocht!”, fulmineert hij op zijn hackerswebsite. Hij heeft van gifgroene leestekens een doodshoofd gemaakt en schrijft daarnaast waarom hij de computers heeft geïnfecteerd met gijzelsoftware. En hoe de slachtoffers moeten betalen.

Het is een oefening, dus de bestanden zijn niet echt versleuteld. Wel is er dankzij ‘mollen’ in de deelnemende organisaties daadwerkelijk software geïnstalleerd die de bestanden op de harde schijf telt. Zo kunnen de instellingen zien welke bestanden er al besmet zouden zijn.

Bijna alle universiteiten en meer dan twintig hogescholen doen mee aan de oefening van SURFnet, de ict-stichting van het onderwijs. Ook academische ziekenhuizen en onderzoeksinstellingen worden ‘aangevallen’.

Zweten geblazen

Ook de TU Delft werd op de proef gesteld. “Het was zweten geblazen”, aldus oefenleider Sebastiaan Star. Verschillende afdelingen waren betrokken bij de oefening. “Onze IT’ers moesten op zoek naar sporen van de hack en proberen de schade te herstellen of beperken.” Bestuurders moesten op hun beurt onder tijdsdruk belangrijke keuzes maken. “Betalen we de hackers om onze gegevens terug te krijgen?” De communicatieafdeling moest iedereen informeren en tegelijkertijd imagoschade in de pers zien te voorkomen.

De oefening was een succes, vindt Star. “Alle betrokken collega’s deden intensief en serieus mee, waardoor we goed konden zien hoe een echte crisis zou verlopen. De snelheid waarmee we hebben gehandeld lag hoog en er werd serieus meegedaan.” Tegelijkertijd werd duidelijk hoe nodig zulke oefeningen zijn, geeft Star aan: “Het uitschakelen van ons netwerk, systemen en datacenters heeft verregaande consequenties die we wellicht niet in eerste instantie overzien.”

Eén lijn

Twee jaar geleden hield SURFnet een vergelijkbare oefening, met ongeveer 25 deelnemers. Het was heel leerzaam, vertelt woordvoerder Eric van der List. Deze keer wisten de deelnemers elkaar sneller te vinden, zodat ze samen één lijn konden trekken.

En die lijn is: we gaan zeker niet betalen. Het klinkt vanzelfsprekend, maar de hacker begon met een klein bedrag: vijf euro. Wat is nu vijf euro om van de ellende af te zijn? Maar de deelnemers begonnen er niet aan.

Het was een hectische dag. De ict’ers moesten zo snel mogelijk uitzoeken waar de ‘malware’ zich bevond en hoe ze hun netwerk en overige bestanden konden beschermen. De ict’ers van één universiteit zagen vrij snel hoe de vork in de steel zat, zegt Van der List, en ze deelden die informatie meteen met de collega’s elders in het land.

De deelnemers moesten ook bedenken wat ze aan de buitenwereld zouden vertellen. Want de hacker dreigde allerlei gevoelige informatie openbaar te maken. Zo zou de zoon van een beroemdheid zijn afgewezen in een selectieprocedure. Allerlei negatieve opmerkingen over die zoon zouden straks op straat liggen als de instellingen niet betaalden.

Levensecht

In oktober vorig jaar is SURFnet begonnen aan het scenario. Elke instelling had een ‘oefenvoorbereider’ die het scenario op de eigen instelling kon toespitsen, verder wist niemand van de deelnemers wat er precies zou gebeuren. Het moest levensecht zijn.

Deelnemers konden op drie niveaus meedoen. Bij sommige instellingen werden er complete crisisruimtes ingericht en deed het college van bestuur ook mee. Andere hielden het bij een goede oefening voor bijvoorbeeld de ict-dienst en de communicatie. Weer andere instellingen keken voornamelijk toe en hielden de eigen oefening beperkt. Dinsdag wordt duidelijk wat ze ervan geleerd hebben, want dan gaan SURFnet en de deelnemende instellingen erover napraten.

HOP, Bas Belleman / Delta, Mirjam van der Ploeg

UPDATE: Dit artikel is op 9 oktober 2018 aangevuld met informatie over de oefening op de TU Delft.