Wat leert de hack van de UM ons?

Een reactie van Erik van der Heijden, ethical hacker en werkzaam voor het ECCW.

Vorige week is er iets bijzonders gebeurd. De universiteit van Maastricht heeft volledig, duidelijk en onomwonden details vrijgegeven over de gebeurtenissen van de grote ransomware aanval van december 2019. “Er is bijna twee ton overgemaakt naar een criminele organisatie, dus dan kan je het niet maken om geen openheid van zaken te geven” stelt Nick Bos, lid van het CvB. Ik vind het heel lovenswaardig en daar kunnen velen een voorbeeld aan nemen.

Al bijna een jaar lang geef ik als Ethical Hacker in samenwerking met het ECCW lezingen over cyberdreigingen en geef ik tips en trucs mee om (zo goed als mogelijk) te voorkomen dat men gehackt kan worden. We weten allemaal dat 100% veiligheid niet bestaat: Als iemand met een kanon op je huis schiet, schiet je (zeer waarschijnlijk ) ondanks alle maatregelen toch een gat in de muur. Het andere uiterste is dat je je huis beveiligt met een standaard kastsleutel 59 van de Gamma die iedereen kan kopen.

We merken dat deelnemers vaak met een hoop informatie en een gevoel van “wakker te zijn geschud” bij ons weg gaan. Sommige van hen plannen een basisscan die wij als ECCW ook uitvoeren. Niet zelden blijkt daar uit dat er met kleine stappen grotere verbeteringen te behalen zijn. Maar dan komt er iets bekends om de hoek kijken: de waan van alledag! Er speelt zoveel in de organisatie wat NU om aandacht vraagt, dat cybersecurity al snel weer van de tafel af rolt.

Ik ben niet betrokken ben geweest bij de incident management van de Universiteit Maastricht. Wel heb ik als ethisch hacker het rapport van de collega’s van Fox-IT (bron) bestudeerd om eens nauwgezet te kijken wat er is gebeurd en welke lessen er uit te halen zijn voor al die andere kleinere organisaties waar we als ECCW voor aan het werk zijn. Iedereen heeft of krijgt namelijk in meer of mindere mate te maken met cyberaanvallen, internetoplichting of pogingen daartoe. 

 

Onze lezingen zouden nog 10x zoveel impact kunnen hebben als er tijdens deze bijeenkomsten ook ervaringsdeskundigen aan het woord komen. Beter nog dan de specialisten, kunnen zij de gevolgen en de impact van een hack overbrengen op de toehoorders. In de praktijk blijkt dit lastig. Er hangt een stigma op dat alleen domme mensen op phishing mails klikken, en dat als alles technisch tip top in orde zou zijn “ons” dan niets zou zijn overkomen. Dat is hooguit ten dele waar. Immers zit het grootste lek tussen toetsenbord en stoel: ook al heb je alles technisch dik in orde, als een gebruiker iets binnenhaalt dan zijn die maatregelen vaak voor niets geweest. Toch moet je ook dan de vraag stellen: was het technisch dan wel zo goed in orde? Immers kan diezelfde techniek ook weer ingrijpen als de gebruiker iets binnenhaalt wat er eigenlijk niet thuis hoort en voorkomen dat daarmee een foutje uitloopt op een ramp.

Laten we even eerlijk zijn met elkaar, niets menselijks is ons vreemd en van vingertje wijzen wordt niemand wijzer. Laten we daarom een voorbeeld nemen aan de luchtvaart. Als daar een incident centraal staat is de hamvraag van een onderzoek altijd: wat is er mis gegaan, en hoe kunnen we voorkomen dat dit nog eens gebeurd. Pas in een later stadium gaat men zich bezighouden met een eventuele schuldvraag. 

Als we dat met cyber incidenten ook gaan doen scheppen we een precedent waarin men open en transparant kan zijn zodat anderen hiervan ook kunnen leren. Daarin schuilt misschien wel de belangrijkste les van de Universiteit Maastricht. Dat je openheid van zaken kunt geven én je geloofwaardigheid en reputatie kunt versterken.