Universiteit Maastricht nam ‘onvoldoende maatregelen’ op cyberaanval

Onderwijsinspectie De Universiteit Maastricht had onvoldoende maatregelen genomen om cyberaanvallen te voorkomen, concludeert de Onderwijsinspectie in een rapport over de ransomware-aanval die de onderwijsinstelling eind vorig jaar platlegde.

Na de cyberaanval moesten studenten nieuwe wachtwoorden aanmaken bij de Universiteit Maastricht.
Na de cyberaanval moesten studenten nieuwe wachtwoorden aanmaken bij de Universiteit Maastricht. Foto Marcel van Hoorn/ANP

De Universiteit Maastricht (UM) heeft voorafgaand aan de gijzelsoftware-aanval van eind vorig jaar onvoldoende preventieve maatregelen genomen om cyberaanvallen te voorkomen. Tegelijkertijd is door het „adequate ingrijpen” het onderwijs en onderzoek „slechts beperkt” in gevaar geweest. Dat concludeert de Onderwijsinspectie in een vrijdag verschenen rapport over de cyberaanval die de Limburgse universiteit vlak voor Kerst enkele weken platlegde.

De instelling was wel veel bezig met databeveiliging, maar had meer aandacht voor de privacywet AVG dan voor het voorkomen van cyberaanvallen, schrijft de inspectie. „Cyberdreiging stond niet bovenaan de lijst met risico’s.” Een draaiboek van hoe te handelen tijdens een ransomware-aanval ontbrak. De universiteit had ook geen goed beeld van alle IT-apparatuur die in gebruik was, waardoor „slechts beperkt zicht was op de cyberweerbaarheid van de universiteit als geheel”.

Lees ook: Na fatale klik hadden hackers vrij spel

Phishingmail

De Universiteit Maastricht werd op 23 december getroffen door een cyberaanval die grote delen van het netwerk platlegde. Na onderzoek van beveiligingsbedrijf Fox-IT bleek de instelling niet adequaat gereageerd te hebben op een phishingmail in oktober. Ook een virusmelding werd niet goed op waarde geschat.

De cybercriminelen bleven daardoor wekenlang onopgemerkt en namen stap voor stap het netwerk over, daarbij geholpen door apparatuur die niet goed bijgewerkt was en daardoor kwetsbaar.

Op Kerstavond sloegen ze toe en versleutelden grote delen van het universiteitsnetwerk. Met van vakantie terugkerende studenten in het vooruitzicht, besloot de universiteit zes dagen na de aanval op de losgeldeis van de hackers in te gaan en 197.000 euro aan bitcoin over te maken.

Lees ook: Zo gijzel je een netwerk, in twaalf stappen

„Hoewel de UM heeft nagelaten in preventieve zin voldoende passende maatregelen te nemen, waren de respons en de eerste getrokken lessen adequaat”, oordeelt de Onderwijsinpectie. De universiteit organiseerde onder andere een symposium over de aanval en deed concrete voorstellen om meer grip te krijgen op de IT-infrastructuur. Zo beloofde de instelling back-ups ook offline – dus buiten bereik van aanvallers – aan te gaan houden. De Onderwijsinspectie ziet daarom geen reden om het toezicht op de Universiteit Maastricht aan te scherpen.

Overigens is de Universiteit Maastricht niet de enige onderwijsinstelling waar een totaalplaatje over de gebruikte IT-apparatuur ontbrak, waarschuwt de Onderwijsinspectie. „Ook andere universiteiten en hogescholen hebben een gelaagde bestuursstructuur en zijn daarmee potentieel kwetsbaar.” Universiteiten zijn vaak sterk per faculteit georganiseerd, met eigen ondersteunende (IT-)diensten. Dat geeft wetenschappers veel vrijheid, maar bemoeilijkt een centraal overzicht op mogelijk kwetsbare systemen.