Universiteit Maastricht betaalde tonnen losgeld aan hackers
De Universiteit Maastricht zou losgeld hebben betaald om gehackte computersystemen weer aan de praat te krijgen. Dat meldt universiteitsblad Observant op basis van ‘goed ingevoerde bronnen’. De universiteit werd vorige week dinsdag het slachtoffer van een aanval met gijzelsoftware.
De universiteit wil niets kwijt over de vermeende betaling. ‘We zitten nog midden in het onderzoek naar de cyberaanval en de herstart van ons onderwijs. Dat is een precaire situatie en daarom zeggen we hier nu niets over’, zegt woordvoerder Fons Elbersen. Later verandert dat misschien nog, als de universiteit de ‘getrokken lessen’ met de buitenwereld hoopt te delen. ‘Dit kan een leerzame casus voor iedereen zijn, dat kunnen we inmiddels wel stellen.’
Volgens Observant zou de universiteit ‘een paar ton’ losgeld hebben betaald om ‘Clop’ onschadelijk te maken. Clop is de naam van de gijzelsoftware waarmee de hackers toesloegen. In oktober vorig jaar werd de Universiteit van Antwerpen al het slachtoffer van Clop. Maastricht wist niet van die hack af. Elbersen: ‘Alle universiteiten houden elkaar van dit soort cyberbedreigingen op de hoogte, maar Antwerpen is in deze contacten nooit naar voren gekomen.’
De beveiligingswereld raadt het betalen van losgeld na een cyberaanval af. Brian Schippers, manager bij digitale beveiliger Sophos: ‘Betaal nooit. Als je dat wel doet, houd je het verdienmodel van de onderwereld in stand.’ Bovendien weet je als instelling of bedrijf nooit zeker dat je na betaling daadwerkelijk de sleutel in handen krijgt die de weigerende computersystemen weer vlot moet trekken.
Sophos, dat verdedigingslinies voor bedrijven maakt tegen onder andere ransomware-aanvallen als in Maastricht, weet uit eigen onderzoek dat ongeveer eenderde van alle getroffen bedrijven overgaat tot het betalen van losgeld. Het beveiligingsbedrijf ziet dagelijks 500.000 nieuwe malwarevormen voorbijkomen bij alle bedrijven die het beschermt. Driekwart daarvan duikt overigens maar één keer op.
Cybercrimepolissen
Soms zijn de (mogelijke) gevolgen zo ernstig dat er niets anders op zit dan te betalen. ‘Het komt voor dat losgeld overmaken de enige manier is om als bedrijf niet failliet te gaan’, zegt Marie-Louise de Smit, specialist cyberverzekeringen bij Aon.
Aon, dat bedrijven adviseert over risicomanagement en verzekeringen, merkt dat cybercrimepolissen steeds gangbaarder worden. Al kun je niet bij elke verzekeraar het losgeld afdekken. Zo betaalt De Goudse geen losgeld, omdat de verzekeraar ‘geen criminele activiteiten in stand wil houden. Ook geloven we niet dat het betalen van criminelen een garantie is voor een oplossing en dat een crimineel niet nog een keer terugkomt.’ De Universiteit van Maastricht heeft geen cyberbeveiligingspolis afgesloten, Elbersen weet niet precies waarom.
De gemiddelde schade door een cyberaanval bedraagt bijna 5 miljoen euro , blijkt volgens Aon uit recent internationaal onderzoek. Daarin zijn alle kosten meegenomen, ook het inhuren van beveiligingsexperts. Bij energie- en aluminiumconcern Norsk Hydro kwam in maart vorig jaar de volledige productie stil te liggen na een cyberaanval. Dit zou het Noorse bedrijf tussen de 53- en 64 miljoen euro hebben gekost.
Aantal incidenten neemt af
Volgens de jaarlijkse Cybersecuritymonitor van het Centraal Bureau voor de Statistiek – een ict-enquête onder twaalf duizend Nederlandse bedrijven – worden grote bedrijven vaker getroffen dan kleinere en blijft geen bedrijfstak gevrijwaard van cyberaanvallen (al komt het in de horeca minder vaak voor). ‘Hackers discrimineren niet’, zegt De Smit van Aon. Wel neemt het aantal ict-veiligheidsincidenten volgens het CBS af, doordat bedrijven zich steeds beter weren tegen cyberaanvallen van buitenaf.
Studenten van de Universiteit Maastricht hadden donderdag voor het eerst weer toegang tot belangrijke systemen als roostering en hun digitale studiemateriaal. Op verzoek van de universiteit veranderden in korte tijd bijna vierduizend studenten en medewerkers hun wachtwoord. Hoewel de systemen voor medewerkers en wetenschappers nog niet functioneren, kan het onderwijs maandag zoals gepland doorgaan.
Het Openbaar Ministerie is na de aangifte door de universiteit een strafrechtelijk onderzoek begonnen. Ook heeft de universiteit melding gemaakt bij de Autoriteit Persoonsgegevens.
Bron: Volkskrant geschreven door Mark Misérus en Laurens Verhagen
IT & Information Security congres
Op 12 februari vindt het IT & Information Security congres plaats in Congrescentrum 1931. Het centrale thema dit jaar is: CISO Leadership. Het doel van het congres is om je te helpen op een succesvolle manier jouw rol als securityleider te vervullen. Hoe zorg je als CISO voor impact? Welke vaardigheden zijn hiervoor nodig? Hoe zorg je ervoor dat jouw organisatie veerkrachtig is én blijft? Hoe stop je de angstcultuur? Hoe krijg je draagvlak in de board?
In een tijd waarin digitale transformatie vliegensvlug blijft groeien en het IT landschap almaar complexer lijkt te worden is goed IT leiderschap van groot belang!