Samen sterk: Hoe onze universiteit de cyberaanval trotseerde

Cyberaanval snel de kop ingedrukt, maar nasleep houdt ons nog wel even bezig

Samen sterk: Hoe onze universiteit de cyberaanval trotseerde

De cyberaanval die onze universiteit op 11 januari 2025 trof, kon door snel en alert handelen gelukkig worden afgeslagen. Het besluit om diezelfde nacht alle in- en externe netwerkverbindingen te verbreken, had impact op onze hele gemeenschap. Onze universiteit draait inmiddels al weer enkele maanden as usual, maar de nasleep houdt een deel van onze gemeenschap nog steeds bezig. Dit is het verhaal van de cyberaanval door de ogen van zeventien betrokken 果冻传媒鈥檈rs: van IT鈥檈rs tot onderwijsondersteuners, van studenten tot docenten, van planners tot communicatieprofessionals en van onderzoekers tot bestuurders.

Deze productie is geschreven door corporate storyteller Brigit Span.

Hoe het begon

Zaterdagavond 11 januari, 22.15 uur.

Ren茅 Wassink, bij Library and Information Services (LIS) verantwoordelijk voor infrastructuur, platforms en security, zit een tv-serie te kijken over een cyberaanval op de Londense metro wanneer hij een Whatsapp-bericht binnenkrijgt: 鈥極ns monitoringssysteem heeft een verdachte beweging in onze online systemen gesignaleerd, we gaan het uitzoeken鈥�.

Dit berichtje was het begin van de maatregelen tegen wat later een serieuze cyberaanval op onze universiteit zou blijken. Met alle gevolgen van dien. Ren茅 Wassink en Bert van Iersel, adjunct-directeur van LIS, blikken terug op die intensieve eerste dagen waarin ze door snel handelen onze universiteit hebben behoed voor een cyberramp. En waarin ze met hun collega鈥檚 van LIS in ploegen keihard werkten om onze gemeenschap zo snel mogelijk weer op de - digitale- rit te krijgen.

Zaterdagavond 11 januari, 22.25 uur.

鈥淚k kreeg al snel bericht van ons infrastructuurteam dat er iets ernstigs aan de hand was鈥�, vertelt Wassink. Hij nam contact op met zijn LIS-collega鈥檚 Frank Hendrickx (directeur) en Bert van Iersel, adjunct-directeur en Product Area Lead van Data & Insights, om hen op de hoogte te brengen.

鈥淚k stond op het punt om naar bed te gaan toen Ren茅 me een berichtje stuurde dat er mogelijk iets aan de hand was鈥�, haalt Bert van Iersel terug in zijn herinnering. 鈥淚k zei tegen mijn vrouw dat ze vast naar bed kon gaan. Ik wilde weten hoe het zou aflopen en zette mijn laptop aan op de keukentafel.

Bert van Iersel (links) en Ren茅 Wassink van LIS. Foto: Bart van Overbeeke

Duizenden aanvalspogingen per dag

Aanvalspogingen op ons netwerk zijn aan de orde van de dag voor het securityteam van Wassink. 鈥淲e hebben geautomatiseerde systemen die dagelijks duizenden verdachte activiteiten detecteren. Het systeem kan zelf ingrijpen door mensen niet binnen te laten in ons systeem, of het kan escaleren naar ons. Dat gebeurde die avond. Meestal is dat loos alarm. Ik werk nu twee jaar aan de 果冻传媒, en dit was de eerste keer dat we echt een groot probleem hadden鈥�, zegt Wassink.

Wassink: 鈥淥nze mensen van security hebben een tijdje een robbertje gevochten met de indringers die binnen probeerden te komen.鈥� Van Iersel vult aan: 鈥淏ij dit soort hacks zie je dat mensen binnenkomen met gelekte inloggegevens. Vervolgens proberen ze door de volgende beveiligingslagen te komen. Zo wurmen ze zich steeds verder naar binnen in je netwerk.鈥�

Opschalen

Al snel werd die avond het team dat zich bezighield met de cyberaanval opgeschaald binnen LIS. Daarin zaten behalve Wassink en Van Iersel ook de chief information security officer, de verantwoordelijke van het securityteam, en de verantwoordelijke van infrastructuur. 鈥淗et echte werk lag daarnaast natuurlijk bij onze mensen van het security operations teams, die hard aan het strijden waren om de indringer tegen te houden鈥�, vult Wassink aan.

Zaterdagavond 11 januari 23.45 uur.

Alles uit

In een zogeheten status call rond 23.45 uur besloot het team dat er maar 茅茅n keuze over was om de aanval te stoppen: alle netwerkverbindingen moesten worden uitgezet, om te voorkomen dat de indringers dieper zouden binnendringen in onze online systemen.

Wassink en Van Iersel besloten dat de laatste naar de campus zou gaan, omdat er na het afsluiten alleen nog 贸p de campus toegang mogelijk was tot onze systemen. Alle remote verbindingen werden dan hermetisch afgesloten om de hackers ook buiten te sluiten. 鈥淚k woon het dichtste bij en was rond 00.30 uur op de campus. Kort daarna hebben we alle netwerkverbindingen afgesloten鈥�, zegt Van Iersel.

Zo鈥檔 twee uur na het ontdekken van de aanval sloot de universiteit haar netwerk hermetisch af voor de buitenwereld. 鈥淭erugkijkend was die eerste nacht spannend en mooi om mee te maken, al klinkt dat misschien raar鈥�, zegt Van Iersel.

Weinig stress

鈥淲e hadden betrekkelijk weinig stress鈥�, herinnert Wassink zich. 鈥淥nze mensen wisten wat ze moesten doen, want we hebben dit soort crisissituaties geoefend. Daardoor wisten we ook wie we moesten aanhaken binnen de 果冻传媒 om de crisisteams in stelling te brengen.鈥�

Centrale Crisisteam bij elkaar roepen

Van Iersel lichtte het College van Bestuur in dat ze alle netwerkverbindingen hadden moeten uitzetten en dat zondagochtend het Centrale Crisisteam (CCT) bij elkaar moest komen. 鈥淢idden in de nacht heb ik daarvoor Gijs Spiele (hoofd van Safety and Security, red.) aan de lijn gehad om de telefoonnummers van de leden van het CCT te vragen en ze te vertellen dat we de volgende ochtend om negen uur bij elkaar moesten komen.鈥�

(Het verhaal gaat verder na het kader.)

鈥業edereen stond er gewoon, het was 茅茅n team, 茅茅n 果冻传媒鈥�

Natuurlijk was de aanleiding allesbehalve fijn, maar terugkijkend op de cybercrisis blijft vooral een gevoel van trots hangen bij Patrick Groothuis, vicevoorzitter van het College van Bestuur. Tijdens de crisis was hij voorzitter van het Centrale Crisis Team (CCT).

De eerste reactie van Patrick Groothuis toen hij 鈥檚 nachts hoorde dat onze universiteit was aangevallen door hackers, is niet geschikt voor publicatie. 鈥淓r zijn vaker cyberaanvallen op de 果冻传媒, dat monitoren we continu. Maar nu was iemand succesvol binnengekomen en waren wij de klos. Dat was ontzettend balen鈥�, zegt Groothuis. 鈥淢aar ik begreep meteen dat onze mensen van cybersecurity het dappere besluit hadden genomen om snel de stekker eruit te trekken.鈥�

Meer dan een IT-crisis

Groothuis wist: 鈥淒it is meer dan een IT-crisis, dit raakt onze hele gemeenschap: studenten, docenten, onderzoekers, ondersteuners.鈥� Het Centrale Crisis Team (CCT) was al in stelling gebracht op die zondagochtend. Als voorzitter van het CCT was het Groothuis鈥� taak om het crisisteam uit te breiden met de juiste mensen in de juiste rollen, passend bij de situatie. En om rust te brengen in de hele organisatie.

鈥淚n die eerste CCT-vergadering, zondagochtend om 9 uur, hebben we allereerst geprobeerd scherp te krijgen wat er aan de hand is. De input van onze mensen van LIS was daarbij leidend. Daarnaast beoordeelden we wie en wat we nodig hadden om deze crisis te bezweren.鈥�

Klik voor het hele interview met Patrick Groothuis

Patrick Groothuis, vicevoorzitter CvB en voorzitter Centrale Crisis Team

Inzicht krijgen

鈥淒e specialisten van het securityteam van Ren茅 (Wassink, red.) hielden me die nacht op de hoogte tot hoe ver de hacker was gekomen in onze systemen鈥�, zegt Van Iersel.

Wassink: 鈥淥ns belangrijkste doel was om te kijken of degene die binnen was geweest iets kwalijks had achtergelaten of had ge茂nstalleerd op ons systeem. Wij deden forensisch onderzoek, en de politie ook. Wij waren vooral bezig met de mogelijke schade aan onze systemen en data en het minimaliseren van de risico鈥檚 voor onze organisatie. De politie zocht naar daders. Die zijn tot nu niet gevonden.鈥�

Schade beperken

In de uren en dagen die volgden, werkte een team van zo鈥檔 25 IT-experts van LIS keihard om de schade te beperken. Van Iersel: 鈥淲e moesten eerst inzicht krijgen in wat er gebeurd was. We durfden ons systeem niet meteen terug in de lucht te brengen, want we wisten niets van de aanvaller. Het zou zomaar weer kunnen gebeuren.鈥�

Zodra we wisten wat er aan de hand was, konden we gaan opbouwen en nadenken over hoe we ons systeem weer open wilden zetten.鈥� Van Iersel was voorzitter van het Crisis Management Team (CMT) van LIS, waar kort, bondig en gestructureerd de problemen besproken werden. Wassink zat ook in het CMT en was daarnaast voorzitter van het Crisis Response Team (CRT), het team dat met IT-oplossingen aan de slag ging.

鈥淥p de achtergrond werkte Ivo Jongsma, woordvoerder van het College van Bestuur, heel hard om onze gemeenschap te informeren over de crisis. Ik checkte met Frank Hendrickx of de berichten technisch klopten. Het was veel afstemmen.鈥�

(Het verhaal gaat verder na het kader.)

鈥楬et was spannend om hard te moeten roepen dat we een probleem hadden鈥�

Tijdens de cybercrisis was Ivo Jongsma medeverantwoordelijk voor de crisiscommunicatie van onze universiteit. Terwijl de media hem onophoudelijk belden voor meer informatie over de cyberaanval, lag zijn focus in de eerste week vooral op het informeren van onze gemeenschap. Binnenkort mag hij weer aan de bak, omdat half mei de onderzoeksrapporten over de cyberaanval klaar zijn.

Toen bij Ivo Jongsma op zondagochtend 12 januari de wekker ging, zag hij een reeks gemiste oproepen en berichten op zijn telefoon. De universiteit was die nacht digitaal onder vuur genomen. Alle netwerken waren uitgezet, om erger te voorkomen. Er was een crisis gaande en Jongsma, woordvoerder van het College van Bestuur, werd die ochtend om negen uur verwacht bij het eerste overleg van het Centrale Crisis Team (CCT).

Aan het CCT de taak om de crisis in goede banen te begeleiden en onze gemeenschap te informeren over de cyberaanval en de gevolgen daarvan. Zo moest onder meer gecommuniceerd worden dat het onderwijs de volgende dag niet kon doorgaan.

Informeren via de media

Dat is een uitdaging als je de vanzelfsprekende communicatiemiddelen niet tot je beschikking hebt: geen netwerk, geen e-mail, geen Teams, geen Osiris, Canvas of Studielink. 鈥淒e enige mogelijkheid was om het via de media te doen. Het was best spannend om heel hard te roepen naar de buitenwereld dat we een probleem hadden. Ik herinner me het moment nog dat ik op zondagmiddag het persbericht ging versturen. Ik dacht: ik ga eerst nog even naar het toilet, want dat gaat me het komende uur vast niet meer lukken.鈥�

Ivo Jongsma, woordvoerder College van Bestuur

Saamhorigheid

鈥淒ie eerste dag werkten we met onze LIS-teams de klok rond en de dagen erna werkten we tot 鈥檚 avonds laat op vloer 11 in Atlas. Ontbijt, lunch en avondeten werden ter plekke gebracht door de mensen van Facility Services, dat was heel fijn geregeld鈥�, zegt Van Iersel. 鈥淭ijdens die informele momenten samen aan tafel bespraken we hoe het ging, hoe iedereen erin zat.鈥�

鈥淓r was veel saamhorigheid鈥�, zegt Wassink. 鈥淲e waren met z鈥檔 allen aan de slag. Mijn team voelde zich gewaardeerd, dat hun adviezen gehoord werden en werden meegenomen in de besluitvorming.鈥�

Van Iersel vult aan: 鈥淥nze medewerkers van de LIS helpdesk werkten nauw samen met ESA en het CEC om vragen van studenten te beantwoorden via het Whatsapp-nummer dat al snel in de lucht kwam.鈥�

(Het verhaal gaat verder na het kader.)

De verhalen van ESA

De hoogste prioriteit na het afslaan van de cyberaanval was om het onderwijs weer zo snel mogelijk op de rit te krijgen. Deze vier medewerkers van 果冻传媒 and Student Affairs (ESA) vertellen in de onderstaande verhalen hoe zij de cybercrisis hebben ervaren.

Directeur Daisy van der Schaft
- 鈥楳ijn dagen stonden wekenlang in het teken van de cybercrisis鈥�
Student Affairs Officer Robin Verhagen
- 鈥榃e hebben onze studenten zo goed mogelijk proberen gerust te stellen鈥�
Teamleider Onderwijsplanning Jorg de Jong
- 鈥楧e nasleep van deze cyberaanval zullen we het hele collegejaar nog voelen鈥�
Manager ESA bij APSE Ruben Trieling
- 鈥楧e cybercrisis was een snelkookpan: we moesten onder grote druk snel beslissingen nemen鈥�

Clouddiensten

Op woensdagavond werd besloten dat de clouddiensten weer ontsloten zouden worden. Wassink: 鈥淒e authenticatie van die clouddiensten loopt via onze datacenters, en de verbindingen daarmee waren uitgeschakeld. Als we die weer aan zouden zetten, kon onze gemeenschap weer in de online systemen zoals Office365. Teams, Osiris en Canvas. Daar hadden we vertrouwen in, en dat ging goed.鈥�

鈥淛e merkte dat hierna de sfeer luchtiger werd. Op donderdagochtend hadden we de cloud- en SaaS-systemen (waaronder Office 365, red.) in de lucht en zaten we met z鈥檔 allen aan het ontbijt. Toen begonnen de mensen van Ren茅鈥檚 team weer grapjes te maken. Dat was voor mij een moment van opluchting鈥�, herinnert Van Iersel zich.

Een bijpraatsessie voor LIS鈥檈rs tijdens de cybercrisis. Foto: Jochem van Hattum

Herstart onderwijs

Daarna was het de beurt aan de lokale systemen en koppelingen om ook terug live gezet te worden. Denk aan Time Tell, Planon, Version, OnCourse, Oracle en Lab Servant. Om het onderwijs op de maandag erop weer mogelijk te maken, moest dat in het weekend ervoor gebeuren.

鈥淲e zijn dit gaan voorbereiden, maar gaven ook aan dat we niet konden garanderen dat het in het weekend zou lukken. Het was fijn dat ons advies gerespecteerd werd. We hebben de ruimte gekregen om het systeem op een veilige manier weer open te stellen voor onze gemeenschap鈥�, zegt Van Iersel.

Zaterdag, een week na de aanval, was alles weer in de lucht. Wassink: 鈥淒at was een spannend moment. We moesten de systemen testen en valideren. Doet alles het nog, is er iets stuk gegaan omdat alles onbereikbaar was? Dat deden we met zestig LIS鈥檈rs tegelijk in een collegezaal.鈥�

Nazorg

Met alle systemen weer in de lucht, was de klus nog niet geklaard. 鈥淛e moet goede nazorg leveren鈥�, zegt Van Iersel. Een van de belangrijkste onderdelen daarvan is de onderzoeksinfrastructuur. 鈥淒e focus tijdens de crisis lag op de onderwijsorganisatie. Voor onderzoekers had de cybercrisis ook veel impact, want zij konden niet communiceren met hun onderzoeksopstellingen die op ons netwerk staan. Daar zijn we daarna pas aan gaan werken.鈥�

(Het verhaal gaat verder na het kader.)

De impact van de cybercrisis op onderzoekers

Sandor Schmikli, Product Area Lead Research bij LIS, was samen met decaan van Mathematics and Computer Science Edwin van den Heuvel verantwoordelijk voor het inventariseren en oplossen van alle problemen die de aanval met zich meebracht voor onderzoekers. Onder wie hoogleraar Federico Toschi.
Sandor Schmikli, LIS
- Oplossingen zoeken voor nasleep cyberaanval voor onderzoekers
Federico Toschi, hoogleraar bij APSE
- 鈥榃e zijn nog niet uit de problemen, maar er is steeds meer wederzijds begrip鈥�

Leerpunten

Natuurlijk zijn er veel leerpunten te halen uit een cybercrisis. Er zijn ook al verbeteringen doorgevoerd, zoals het installeren van een nieuwe VPN-verbinding met multifactor-authenticatie. Ook is de capaciteit van securitydiensten verhoogd om alle bewegingen nog beter te monitoren.

Wassink: 鈥淚k heb geleerd dat een organisatie in een stresssituatie heel creatieve dingen kan doen. Dan blijk je heel snel te kunnen schakelen, en in een actiemodus te kunnen samenwerken. Dat was achteraf gezien een prachtige ervaring.鈥�

鈥淗et oefenen voor crisissituaties zoals deze is heel waardevol gebleken鈥�, zegt Van Iersel tevreden. 鈥淎ls we dat niet hadden gedaan, hadden we het misschien niet aangedurfd om die nacht alle netwerkverbindingen uit te zetten. Dan hadden de gevolgen voor onze universiteit nog veel groter kunnen zijn.鈥�

Rapportages

Half mei zijn de externe rapportages klaar over de cyberaanval. Een forensisch onderzoek is uitgevoerd door FOX-IT, een cybersecurity-bureau dat onze universiteit ook heeft bijgestaan tijdens de crisis. Daarnaast evalueert COT, het Instituut voor Veiligheids- en Crisismanagement, hoe onze crisisorganisatie heeft gefunctioneerd. 鈥淒ie bevindingen gaan we ook delen met de buitenwereld鈥�, zegt Van Iersel. 鈥淶odat niet alleen wij, maar ook anderen ervan kunnen leren.鈥�

(Het verhaal gaat verder na het kader.)

Wat de cybercrisis betekende voor studenten, docenten 茅n ondersteunende staf
Student CE&C Esm茅 van Mansum
- 鈥業k heb onderschat hoeveel data er online staat鈥�
Docent Built Environment Floor van Schie
- 鈥榃e wilden vooral tegemoet komen aan de behoefte van onze studenten鈥�
Evi Versteegen, Payroll Administration HRM
- 鈥楬et was spannend of we iedereen het juiste salaris konden overmaken in januari鈥�
Docent M&CS Natalia Sidorova
- 鈥楬et was zoeken naar manieren om te communiceren met mijn studenten鈥�
Student Industrial Engineering Pablo Vega
- 鈥業k was vooral bezorgd over het wegvallen van week 8鈥�
Docent M&CS Erik Quaeghebeur
- 鈥楢ls docent voel je je toch verantwoordelijk voor je vak en studenten鈥�
Student APSE Giulia van Rossem
- 鈥楽tudenten hebben vaak niet door wat er achter de schermen allemaal gebeurt鈥�

Continue race

De twee hebben niet de illusie dat er in de toekomst geen aanvallen meer zullen komen. Van Iersel: 鈥淗et is een continue race van beveiligers tegen hackers, een ratrace wie het snelste is. Ze hebben ons 茅茅n keer ingehaald, maar dat heeft ons heel veel inzichten opgeleverd om verbeteringen door te voeren. Een aanval gaat niet nog een keer op dezelfde manier lukken.鈥�

鈥淚nformatiebeveiliging gaat ook om mensen. Als je niet goed omgaat met je login-gegevens en je je wachtwoorden hergebruikt, loop je het risico dat je gegevens op de markt komen en misbruikt kunnen worden鈥�, waarschuwt Wassink.

Het team van Privacy and Security van LIS heeft een overzicht gemaakt met tips voor onze organisatie.

Achterdeurtjes

鈥淚k hoop dat mensen zich nu meer dan ooit realiseren dat ze z茅lf verantwoordelijk zijn voor hun eigen en onze online veiligheid. Als je achterdeurtjes inbouwt, of wachtwoorden deelt met een team, zet je dus ook de deuren van de universiteit open voor mensen die hier niet horen en kwaad in de zin hebben.鈥�

鈥淲e zijn extra alert en hebben extra beveiligingsmaatregelen genomen. We monitoren alles nog strakker dan ooit tevoren en halen verbeteringsprocessen naar voren. Ik heb er vertrouwen in dat onze universiteit een veilige toekomst tegemoet gaat鈥�, besluit Wassink.

Persvragen? Neem contact op met woordvoerder Frans Raaijmakers

果冻传媒