7 juli 2021
De cyberaanval begint op zaterdag 13 februari, als een aanvaller erin slaagt de IT-omgeving van binnen te dringen. Op maandag 15 februari wordt de aanval gesignaleerd door het Security Operations Center (SOC) van UvA/HvA. Ze zien een password spraying attack en overname van domeincontrollers, passend bij ransomware-aanvallen.
De Colleges van Bestuur (CvB) worden geïnformeerd en de centrale crisisorganisatie wordt geactiveerd. HvA/UvA besluiten ‘terug te vechten’ en de aanval actief en openlijk te bestrijden - zonder daarbij álle systemen op zwart te zetten, omdat dit grote gevolgen voor de continuïteit van het onderwijs zou hebben.
In de dagen daarna blijkt dat het aannemelijk is dat de aanvallers inloggegevens en versleutelde wachtwoorden in bezit hebben gekregen, door de Active Directory domeindatabase te downloaden. Deze gegevens kunnen gebruikt worden voor een nieuwe aanval, of verkocht. Om deze reden wordt op 23 februari aan alle studenten en medewerkers van UvA/HvA gevraagd wachtwoorden te wijzigen. Dankzij grondige voorbereiding en goede begeleiding, en met ingewonnen advies van de Functionarissen Gegevensbescherming van de beide instellingen, verloopt deze operatie snel en succesvol. Binnen een paar dagen hebben ruim 100.000 mensen hun wachtwoord aangepast. Ondertussen gaat de strijd tegen de cyberaanvallers door. Op 10 maart geeft het centrale crisisteam van UvA/HvA onder leiding van CvB-leden Jan Lintsen (UvA) en Hanneke Reuling (HvA) het sein ‘brand meester’. De herstelwerkzaamheden nemen daarna nog enige tijd in beslag.
Het COT concludeert dat veel mensen in de UvA/HvA hebben bijgedragen aan het afslaan van de aanval. Betrokken medewerkers bleken deskundig, mensen uit verschillende disciplines werkten goed samen en er was onderling vertrouwen tussen functionarissen op sleutelposities. De interne samenwerking was effectief, integraal en flexibel. De impact kon tot een minimum worden beperkt. Nadat UvA/HvA de tegenaanval hadden ingezet, hebben de hackers hun aanval niet doorgezet en zijn zij niet overgegaan tot gijzeling van data. Investeren in digitale veiligheid en weerbaarheid blijft nodig, ook nadat eerder stappen werden gezet op dat gebied.
De besturen van UvA en HvA bedanken het COT voor de uitgebreide evaluatie. ‘Dit levert ons waardevolle aanknopingspunten op’, aldus Hanneke Reuling, die als CvB-lid van de HvA samen met haar UvA-collega Jan Lintsen leiding gaf aan het centrale crisisteam. ‘Het maakt mij trots als ik in de evaluatie teruglees dat de mensen in organisatie zeer professioneel gehandeld hebben en dat er effectief werd samengewerkt.’ Jan Lintsen deelt die mening. ‘Het was een intensieve periode die gelukkig goed afliep. Deze evaluatie maakt nog eens heel goed duidelijk dat instellingen als de onze zich nooit veilig kunnen wanen en dat we in de komende periode moeten investeren om de beveiliging op een hoger niveau te brengen.’
Het COT doet hiertoe ook concrete aanbevelingen: maak langetermijn keuzes in het kader van cybersecurity, benut de opgedane ervaringen om voorbereid te zijn op eventuele nieuwe incidenten en deel de lessen. Ook worden aanbevelingen gedaan voor technische verbeteringen als versneld doorvoeren van multi-factor authenticatie, sterkere wachtwoorden en verbetering van detectie. Deze en andere maatregelen worden opgenomen in het Verbeterplan informatiebeveiliging, waarin de komende jaren extra geïnvesteerd zal worden. Speerpunten daarin zijn onder andere het versterken van de monitoring-, detectie- en responscapaciteit, het vergroten van het bewustzijn van risico’s bij studenten en medewerkers en het uitbreiden capaciteit, door het aantrekken van meer security specialisten, SOC-analisten en serverbeheerders.