Oplossingen zoeken voor nasleep cyberaanval voor onderzoekers
Het uitzetten van alle serververbindingen van en naar onze universiteit was nodig om erger te voorkomen tijdens de cyberaanval. Dat heeft ook grote impact gehad op onze onderzoekers. Sandor Schmikli van LIS was samen met decaan van Mathematics and Computer Science Edwin van den Heuvel verantwoordelijk voor het inventariseren en oplossen van alle problemen die de aanval met zich meebracht. De ‘bijzondere’ gevallen – rond de vijftig - kwamen bij hen op het bordje.
“Iedereen heeft zijn eigen ervaringen en uitdagingen gehad met de cyberaanval”, vertelt Sandor Schmikli, bij LIS verantwoordelijk voor onderzoek. Hieronder valt Research IT Consultancy, de data stewards, het Supercomputing Center en het Research Data Infrastructure Lab. “Geen enkele onderzoeker kon in het begin via het interne netwerk bij zijn bestanden, bij data op servers, en er was geen online verbinding mogelijk van buitenaf met bijvoorbeeld laboratoriumapparatuur.”
“Het werd al vrij snel helder dat sommige onderzoekers onder grote tijdsdruk stonden. Ze moesten deadlines halen voor hun funding bij NWO of in Brussel, of een publicatie insturen. Als je dan niet bij je werk kunt, is dat heel stressvol.”
Rekenen op supercomputers
Een ander voorbeeld waar een oplossing voor moest komen: onderzoekers konden geen zware berekeningen laten draaien op supercomputers die elders staan, bijvoorbeeld bij SURF of in een research cloud. Dit was een paar weken niet mogelijk. “Je hebt een licentie nodig om te kunnen rekenen met software buiten ons netwerk. Maar de server met die licentie staat hier op de ý. En die was van buitenaf onbereikbaar.”
Black box
Dat was het speelveld waarin decaan Edwin van den Heuvel van M&CS en Schmikli zich bevonden in de nasleep van de cyberaanval. “Zo’n 95 procent van de onderzoekers kon gelukkig redelijk snel weer aan het werk toen we de verbinding met de servers weer hadden opgestart.”
“Toen we weer gingen draaien, was het voor ons een behoorlijke black box waar de vragen vandaan zouden komen. In de loop der jaren zijn er systemen door faculteiten aangeschaft en neergezet, die niet goed in beeld zijn bij LIS. Dan kun je mensen ook niet waarschuwen dat ze hun werk niet kunnen doen op dat systeem. En weten we ook niet of ze hulp nodig hebben om het op te lossen.”
“Deze aanval heeft ons nog eens laten zien hoe belangrijk het is dat we weten wat er aan apparaten op de campus staat. We gaan daarom een inventarisatie doen van het deel van de IT-voorzieningen die faculteiten zelf beheren. Zodat we de impact van een mogelijke nieuwe aanval beter kunnen inschatten. En kunnen voorkomen dat we nog een keer in dezelfde situatie terechtkomen als in januari.”
Verscherpte regels
Met het weer in de lucht brengen van de servers en de systemen kwam er ook een aanscherping van het ict-beleid van de universiteit. Dat betekende bijvoorbeeld dat versneld een nieuwe VPN-verbinding werd gerealiseerd met tweefactor authenticatie.
“In laboratoria staat nog onmetelijk veel oude apparatuur. Denk aan microscopen uit 2005. Die werken nog prima, maar die communiceren alleen nog met een Windows XP-machine met verouderde protocollen – en dat is niet veilig. Onze afdeling Security heeft daarom gezegd dat we die protocollen niet meer ondersteunen op ons netwerk en ze afsluiten.”
“Dan heb je ineens een enorme hoeveelheid waardevolle apparaten die niks meer kunnen. Het was een flinke klus om daar oplossingen voor te vinden”, zegt Schmikli. “Daarvoor hebben we mensen van LIS en de faculteiten bij elkaar gezet die iets kunnen betekenen, en zo zijn al in de eerste weken de meeste problemen opgelost.”
‘Speciale gevallen’
Er kwam zo’n vijftig ‘speciale gevallen’ naar boven die niet meer voldeden aan de aangescherpte regels en voorwaarden. Dat was de focus van Schmikli en Van den Heuvel. “Die hadden aanvullende aandacht en ondersteuning nodig.”
Belangrijke spelers in het uitvragen van de problematiek en het oplossen ervan, waren de research IT-consultants van LIS die in de faculteiten werken. “Zij weten precies wat er speelt binnen de vakgroepen. Zij brachten de moeilijke gevallen in kaart, voerden gesprekken met onderzoekers. Zij waren onze belangrijkste connectie met onderzoekers.”
De research IT-consultants bij de faculteiten waren onze belangrijkste connectie met onderzoekers.
Sandor Schmikli, Area Lead Research bij LIS
Sinds half maart zijn bijna alle problemen opgelost en worden problemen die nog binnenkomen weer op de reguliere manier opgepakt bij LIS. Sinds het weer live zetten van de servers, heeft LIS zo’n vier weken hard gewerkt om de problemen op te lossen.
Kwetsbaar
“Zo’n aanval legt je interne kwetsbaarheid bloot. Het vraagt veel van onze organisatie - onze mensen hebben dag en nacht in ploegen gewerkt om alles op te lossen. We moeten kritisch nadenken hoe we onze organisatie robuuster en flexibeler kunnen maken voor toekomstige aanvallen.”
Terugkijkend denkt Schmikli dat we door het oog van de naald zijn gekropen bij de cyberaanval. “We hadden het geluk dat er mensen alert waren en snel gehandeld hebben, anders had het veel erger kunnen aflopen.”