Onafhankelijke journalistiek over de Vrije Universiteit Amsterdam | Sinds 1953
26 maart 2024

Campus
& Cultuur

Grote hackoefening op de VU

De VU was dinsdag doelwit van een grote digitale aanval. Vertrouwde onderzoeksrapporten en studentgegevens kwamen op straat te liggen en via een website konden studenten zelf hun cijfers aanpassen.

‘Hi Hi, BSA alsnog positief, dankzij #Createyourowngrade. Daar had ik wel € 40 voor over!’ twitterde @blijestudent. En ondertussen raakten hoogleraren bij Exacte Wetenschappen slaags met elkaar, omdat de ‘gehackte’ hoogleraren een ander ervan beschuldigden dat hij de hackers van binnenuit geholpen had.

Niets van gemerkt? Het was dan ook een crisisoefening. De landelijke organisatie voor ict in het hoger onderwijs, Surf, had de oefening voorbereid om eens te kijken hoe goed de crisisplannen op de hogeronderwijsinstellingen werken als er grote hacks gepleegd worden.

Hackerscollectief

De VU deed mee op het hoogste niveau. Via een mediasimulator werden alarmerende tweets, nieuwsberichten en facebookposts de wereld ingeslingerd. Het hackerscollectief RobbingGood eiste dat universiteiten en hogescholen volledig transparant zouden worden. Alle declaraties, cijfers, onderzoeksdata zou het openbaar maken. Gaandeweg de dag kwamen er steeds meer privacygevoelige documenten en gegevens online te staan.

De aanvallen waren zo groot, door de schade die ze toebrachten aan de universiteit, haar medewerkers en studenten en doordat ze door de media werden opgepikt, dat het college van bestuur moest beslissen wat er ging gebeuren.

Uitval van pc’s

“Op de VU werd vroeg in de middag het strategisch beleidsteam bij elkaar geroepen”, vertelt beveiligingscoördinator bij UC-IT Hans Alfons, die de oefening op de VU leidde. “Dat bestaat normaal uit één lid van het college van bestuur, maar ze wilden er graag alle drie bij zijn. En daarnaast waren het de directeuren van communicatie, UC-IT en bestuurszaken en op afstand de decaan van de exacte faculteit.”

Dat crisisteam moet volgens het protocol binnen een uur met een oplossing komen. Bob van Graft, directeur van UC-IT, zat in de crisiskamer in het Transitorium. “Omdat een aantal computers een virus had en we verdere verspreiding wilden voorkomen, moesten we beslissen of we het antivirusprogramma Hitmanpro gingen updaten zonder dat we dat getest hadden. Dat besluit gaat mijn mandaat te boven, want het risico is dan dat tien procent van de pc’s door de update uitvalt. Dat zijn 800 werkplekken op de VU.”

Bonje

Ondertussen kwamen er meldingen binnen dat cijfers van studenten gewijzigd werden in het systeem, en dus van buitenaf konden worden ingezien, en dat rivaliserende hoogleraren bonje hadden op de gang. Ook daar moesten beslissingen over genomen worden. Van Graft: “Het was heel intensief en tegelijk heel rustig. Iedereen zat heel serieus in zijn of haar rol. Hoe meer de dag vorderde, hoe minder erg je erin had dat het een oefening was.”

Ook Alfons was ervan onder de indruk hoe serieus iedereen meespeelde. “Bij IT hadden we een crisisruimte ingericht en daar zat iedereen met serieuze gezichten, alsof mensen bang waren om fouten te maken. En er vielen soms zelfs harde woorden als iemand het gevoel had dat er niet naar hem geluisterd werd. Het strategisch team voelde het ook echt. Vooral toen bekend werd dat er een vechtpartij was tussen hoogleraren zaten sommigen er heel gespannen bij. ‘Dit heeft echt implicaties’, zeiden ze.

Cijfersysteem uitgezet

Het crisisteam besloot uiteindelijk Hitmanpro niet te updaten en later op de dag te kijken of het virus zich verder verspreid had. Wel ingrijpend was dat ze het systeem waar de cijfers in gewijzigd werden, SAP, besloten uit te zetten. Niemand kon nog bij de cijfers. De VU kon dan via de back-ups bekijken welke cijfers gewijzigd waren en de goede terughalen. IT oefende de dag erna nog door hoe ze het systeem dan weer zouden klaarmaken voor gebruik.

Advalvas was ook betrokken bij de oefening. Er zou een persconferentie komen over de aanval, waar redacteuren lastige vragen gingen stellen. Maar die ging uiteindelijk niet door. “De leden van het crisisteam vonden dat ze te weinig wisten en ze wilden het met meerdere universiteiten samen doen”, aldus Alfons. “Ook als oefening zagen ze het niet zitten. Ik vond het jammer dat het niet doorging.” Van Graft zegt dat er meer dingen anders gingen dan van tevoren bedacht.

Noodplan aangepast

De directeur van UC-IT is tevreden hoe de oefening is gegaan. “Alle partijen in het crisisteam kregen de gelegenheid om hun punt te maken en we hebben afgewogen besluiten genomen. De sfeer was ook heel goed. Het is van essentieel belang dat we op elkaar ingespeeld zijn in zulke situaties. De VU wordt bijna dagelijks geconfronteerd met cyberachtige voorvallen, zoals het cryptolockervirus dat iemands pc volledig stil legt.”

De noodplannen van de verschillende diensten op de VU moeten nog wel wat beter op elkaar afgestemd worden, bleek uit de oefening. Dus die worden deels herschreven.

Op de nabespreking van Surf, de dag erna, was iedereen volgens Alfons zo enthousiast dat het wellicht een jaarlijks terugkerende oefening wordt. Brandoefeningen doen we ook regelmatig, dus grootschalige hackaanvallen moeten ook gesimuleerd worden, zodat alle spelers weten wat ze moeten doen, is het idee. Wie weet merken we er volgend jaar meer van.

Reageren?

Houd je bij het onderwerp, en toon respect: commerciële uitingen, smaad, schelden en discrimineren zijn niet toegestaan. Reacties met url’s erin worden vaak aangezien voor spam en dan verwijderd. De redactie gaat niet in discussie over verwijderde reacties.

Velden met een * zijn verplicht
** je e-mailadres wordt niet gepubliceerd en delen we niet met derden. We gebruiken het alleen als we contact met je zouden willen opnemen over je reactie. Zie ook ons privacybeleid.