Minister adviseerde Universiteit Maastricht geen losgeld te betalen

Gijzelsoftware Ondanks een advies van minister Ingrid van Engelshoven (Onderwijs, D66) betaalde de Universiteit Maastricht zo’n twee ton losgeld om versleutelde bestanden weer vrij te krijgen.
De aula van de Universiteit Maastricht.
De aula van de Universiteit Maastricht. Foto Marcel van Hoorn/ANP

Minister Ingrid van Engelshoven (Onderwijs, D66) heeft de Universiteit Maastricht ontraden losgeld te betalen aan de hackers die eind vorig jaar computersystemen van de instelling gegijzeld hadden. Enkele dagen na de ransomware-aanval besloot de universiteit toch bijna twee ton aan losgeld over te maken. Dat ging wel om eigen geld van de instelling, meldde Van Engelshoven vrijdag in een brief aan de Tweede Kamer.

Van Engelshoven antwoordde op Kamervragen dat „de regering van mening is dat er geen geld naar criminelen toe moet vloeien”. „Het is de eigen beslissing van het college van bestuur van de Universiteit Maastricht geweest om het losgeld te betalen.” Zes dagen nadat gijzelsoftware computers van de universiteit had versleuteld, besloot de universiteit het losgeld van 30 bitcoin - omgerekend zo’n 197.000 euro - te betalen. De continuïteit van onderzoek en onderwijs zou anders in gevaar komen, zei Nick Bos, vice-voorzitter van college van bestuur, begin februari tijdens een speciaal symposium over de hack. De instelling „gruwde” van de gedachte de criminelen te betalen, zei Bos daar.

Lees ook: Na fatale klik hadden hackers vrij spel

Op de vraag of Van Engelshoven de consequenties voor onderwijs en onderzoek acceptabel vond, antwoordde een woordvoerder van het ministerie van Onderwijs maandag dat het standpunt van het kabinet „helder” is. „Geen geld betalen aan criminelen.” De universiteit Maastricht heeft daar een eigen afweging in gemaakt, benadrukt een woordvoerder van het ministerie. De Universiteit Maastricht toonde begrip voor het kabinetsstandpunt. „De Rijksoverheid kán geen ander standpunt innemen, dat begrijpen we,” zei een woordvoerder van de universiteit maandag. „We hebben een eigen beslissing moeten maken. De aversie van de universiteit om te betalen heeft alles te maken met die morele afweging. Maar uiteindelijk was er geen andere keuze.”

Na betaling kreeg de universiteit een decryptiesleutel en kwamen IT-systemen langzaam weer online. De circa twee ton losgeld kwam niet uit het budget voor onderwijs en onderzoek, bevestigt de woordvoerder desgevraagd. „In ieder geval de initiële kosten en het losgeld zijn gedekt vanuit de verkoop van een bedrijf dat onder de holding van de Universiteit Maastricht viel.” Of alle kosten van de hack door de verkoop gedekt kunnen worden, is nog niet bekend.

De Universiteit Maastricht werd vlak voor kerst getroffen door een grote ransomware-aanval die 267 Windows-servers versleutelde. IT-systemen van de universiteit waren door de versleuteling tot begin januari veelal ontoegankelijk. De aanvallers - een Russisch sprekende hackgroep bekend onder de aanduiding TA505 - zaten al sinds half oktober in het universiteitsnetwerk, nadat medewerkers op een link in een phishing-e-mail hadden geklikt. Daarna drongen ze stap voor stap het netwerk binnen en versleutelden ze ook back-ups, bleek uit een analyse door beveiligingsbedrijf Fox-IT. De criminelen gebruikten daarbij een gat in de beveiliging van een server dat niet op tijd gedicht was. TA505, ook bekend als Grace-RAT, maakte sinds februari zo’n 150 slachtoffers, zei Fox-IT.

Ruimte voor verbetering

Kamerleden wilden na de geslaagde cyberaanval ook weten of de beveiliging van de rest van de onderwijssector op orde was. Onderwijsinstellingen zijn „reeds serieus” bezig met cybersecurity, antwoordde Van Engelshoven vrijdag in een aanvullende Kamerbrief.

Onderwijsinstellingen gaven hun eigen IT-beveiliging in 2019 een 6,3, bleek eerder deze maand uit een enquête onder leden van SURF, de overkoepelende IT-organisatie van de onderwijssector. Een jaar eerder gaven ze zichzelf een 5,5. „Op basis van deze uitkomsten kan worden gesteld dat er, ondanks vooruitgang, bij onderwijs- en onderzoeksinstellingen nog ruimte is voor verdere verhoging van de cyberweerbaarheid.”

Ook Van Engelshoven ziet ruimte voor verbetering. Voor de zomer komt de hoger onderwijssector met een plan „waar de hele sector mee aan de slag gaat om het gewenste ambitieniveau te bereiken”, schrijft ze. „Onderwijsinstellingen, en met name universiteiten, moeten zich realiseren dat zij een interessant doelwit vormen voor criminele organisaties en statelijke actoren vanwege de maatschappelijke impact, economische bijdrage, innovatie en onderzoeksdata die een belangrijke waarde vertegenwoordigen.”