Bij de Universiteit Maastricht hebben ze het gevoel te zijn getroffen door een ramp. „Dit wens je niemand toe”, zei de woordvoerder nadat de onderwijsinstelling op 23 december het doelwit werd van een zware cyberaanval door vermoedelijk Russische criminelen. Sindsdien zoekt de universiteit naar uitwegen. De hackers eisten losgeld in ruil voor het vrijgeven van de systemen. Daarop trad het bestuur met ze in contact, zo bevestigde de woordvoerder. Betalen of niet, dat werd de vraag.

E-mailen, onderzoeksresultaten bekijken of informatie opzoeken in de digitale bibliotheek. De digitale aanslag maakte dit alles onmogelijk voor de negentienduizend studenten en ruim 4.500 medewerkers. Hervatting van de lessen op maandag aanstaande kwam in gevaar.

Begin deze week bracht de universiteit bevrijdend nieuws. Het onderwijs kan maandag worden hervat. Het studentenportaal is weer in de lucht, de roosters kunnen weer online worden ingezien en in de meeste gebouwen werkt het draadloos internet weer.

Geen terugvalsystemen

Hoe heeft de universiteit dit voor elkaar gekregen? Deskundigen van cyberbeveiligingsbedrijf Fox-IT werden ingeschakeld om de schade te herstellen. Maar als er geen goede terugvalsystemen zijn, waar kopieën van de gehackte bestanden zijn opgeslagen, dan is herstel vaak onmogelijk. Het is ondertussen wel duidelijk dat er in Maastricht niet overal een ‘back-up’ van was. „Betalen is dan de enige optie om op enigszins korte termijn weer aan de slag te kunnen”, zegt cyberveiligheidsdeskundige Rickey Gevers van digitaal beveiligingsbedrijf Bitdefender.

Is dat wat de universiteit heeft gedaan? Geld overmaken naar een criminele organisatie? Volgens universiteitsblad Observant wel. Op basis van ‘goed ingevoerde bronnen’ binnen de universiteit wist het blad donderdag te melden dat er losgeld is betaald. Waarschijnlijk enkele tonnen in euro’s. Zo zou de digitale sleutel zijn verkregen om de gegijzelde systemen weer vrij te geven.

De woordvoerder van de universiteit wil er niets over kwijt. Het Openbaar Ministerie in Limburg, dat een strafrechtelijk onderzoek is gestart, evenmin. Eerder deze week zei een woordvoerder van het OM wel dat justitie zeker niet altijd tegen het betalen van losgeld adviseert. Soms is er geen andere mogelijkheid.

Onderzoeksresultaten

In het geval van een universiteit is het denkbaar dat kostbare onderzoeksresultaten, verkregen door jarenlang onderzoek, tot de gegijzelde bestanden behoren. „In zo’n situatie kan je je voorstellen dat een universiteit tot betaling overgaat, zegt Gevers van Bitdefender. De woordvoerder van de universiteit bevestigde vrijdagmiddag dat de onderzoeksdata van Maastrichtse wetenschappers op dat moment nog niet veilig waren. „Wij kunnen niet garanderen dat onze wetenschappers straks weer bij al hun gegevens kunnen”, aldus de woordvoerder.

Losgeld

Dat wil niet zeggen dat de universiteit geen losgeld heeft betaald. Soms geven hackers de bestanden in delen weer vrij. Ook kunnen er gegevens beschadigd zijn geraakt, waardoor er ondanks betaling onherstelbare schade wordt geleden. De universiteit houdt studenten en medewerkers met updates op de website op de hoogte van de laatste ontwikkelingen. In update negen werd studenten vrijdag geadviseerd hun wachtwoord te veranderen vóór hervatting van de lessen op maandag.

Nederland is slecht voorbereid op digitale aanvallen, vindt de Wetenschappelijke Raad voor het Regeringsbeleid. Lees een interview met WRR-voorzitter Corien Prins .

Dat al deze stappen op de voet zijn te volgen is vrij uniek en komt door het open karakter van een universiteit, die een cyberaanval van deze omvang nooit geheim kan houden. Rickey Gevers van Bitdefender schat dat bedrijven en instellingen in Nederland op wekelijkse basis dit soort aanvallen te verduren krijgen en vaak tot betaling overgaan. Hij is een van de deskundigen die getroffen organisaties in dat soort gevallen bijstaat. „Meestal gaat het om bedrijven en in bijna alle gevallen blijft het buiten het nieuws”, zegt hij.

Zijn uitspraken worden ondersteund door een recent rapport van het Nationaal Cyber Security Centrum (NCSC), dat in handen kwam van de NOS. Daarin staat dat verschillende Nederlandse bedrijven onlangs zijn getroffen door geavanceerde gijzelsoftware. Wereldwijd zou het om minimaal 1.800 bedrijven gaan. Het NCSC verwacht dat het werkelijke aantal veel hoger ligt.

Mocht de Universiteit Maastricht hebben betaald, dan zou dat internationaal gezien niet de eerste keer zijn. In 2016 betaalde de Universiteit van Calgary 20.000 Canadese dollar om weer toegang te krijgen tot gegijzelde bestanden.

Bart Schellekens, onderzoeker Recht en ICT bij de Raad voor de Rechtspraak, vraagt zich, op persoonlijke titel, af hoe de overheid dit groeiende probleem gaat aanpakken. „Ik verwacht dat er strengere eisen worden gesteld aan informatiebeveiliging door bedrijven en instellingen. De kans op schade is nu erg groot en de pakkans is laag, mede omdat de daders meestal in het buitenland zitten”, aldus Schellekens.

Een versie van dit artikel verscheen ook in NRC Handelsblad van 4 januari 2020