Redactie
donderdag 23 januari 2020
Vreemd Chinees verkeer legde vorige week de universitaire website plat. Maar Leiden wordt dagelijks lastiggevallen door cybercriminelen. ‘Als ze weten dat er ergens een lek zit, gaan ze wat proberen.’

Wat doet de Universiteit Leiden bij een cyberaanval?
Joop van der Born, directeur van de universitaire ICT-afdeling ISSC: ‘We kunnen van meerdere kanten meldingen krijgen, zoals van het Nationaal Cyber Security Centrum (NCSC) die ons van de actueelste bedreigingen op de hoogte stelt. Daarnaast krijgen we informatie van onze eigen monitoringssystemen. Die systemen signaleren het wanneer er bijvoorbeeld veel vreemd digitaal verkeer is en dat wordt automatisch bij onze bemande dienst gemeld. Zij zitten dus niet constant naar een heel groot scherm te kijken.’

Jan-Willem Brock, Hoofd Informatiemanagement van de universiteit: ‘De dienst is altijd beschikbaar, ’s avonds, ’s nachts en op feestdagen.’

Van der Born: ‘Wij worden bij een aanval ook ingelicht.’

Krijgen jullie altijd een melding bij een aanval?
Van der Born: ‘De systemen zijn niet honderd procent dekkend. Er zijn namelijk ook zero day-aanvallen, dat zijn nieuwe virussen die
wereldwijd nog onbekend zijn. Daar krijgen we dan dus geen melding van.’
Brock: ‘We houden ook veel contact met collega-universiteiten. Als zij iets vreemds zien, dan horen wij dat ook. Maastricht informeerde ons bijvoorbeeld heel snel over de ransomware-problemen waar ze mee kampten, waardoor data waren versleuteld (die ze pas weer terugkregen na betaling van enkele tonnen, red.). We kregen dat bericht via Whatsapp, want hun hele mail lag eruit.’

Wat hebben jullie gedaan toen Maastricht appte?
Van der Born: ‘We hebben toen meteen onze twee security officers en ons responsteam geïnformeerd. Dan gaan we kijken of er bij ons ook iets mis is, maar we zagen gelukkig niets vreemds.’

De afgelopen week lag de site van de universiteit er soms uit.
Van der Born: ‘We zagen toen dat er meer verkeer was, maar het had niet de signatuur van een DDoS-aanval, waarbij gigantisch veel verkeer van alle kanten op ons afkomt. Nu kwam er wel veel verkeer, maar slechts vanuit een paar bronnen, vooral uit China. Dat was vreemd. De server waar de website op draait, had er wel last van; die liep vol. Daardoor kon je de universiteitssite een tijdje niet bereiken. Toen hebben we een heel simpele maatregel genomen: het verkeer van buiten Nederland even stopgezet. Toen kon de site even kalmeren.’

Brock: ‘Veel verkeer betekent ook niet per se dat er sprake is van een aanval. Soms besluit iemand bijvoorbeeld alle boeken en artikelen van de Universiteit Leiden te downloaden. Daar hebben we  dan ook last van.’

Betekent dat verkeer uit China ook dat de aanvallers daar zitten?
Van der Born: ‘Dat kun je niet met zekerheid zeggen. We weten ook niet waarom het verkeer er was en wat de veroorzakers van plan waren. We hebben toen een analyse gemaakt, waarna we extra serverkracht inschakelden. Dan kan de site meer verkeer aan. Dat kun je echter niet gelijk doen, want we moesten eerst weten wat er aan de hand was. Daardoor kostte het tijd voordat de site weer te gebruiken was. Dat is uiteraard vervelend.’

Maar het was dus geen DDoS-aanval?
Van der Born: ‘Klopt. Al komen DDoS-aanvalletjes best vaak voor. Meestal worden die ingezet omdat de daders ergens anders willen aanvallen.’

Brock: ‘Ze rammelen aan je voordeur om je af te leiden, om vervolgens te proberen ergens bij een achterdeurtje binnen te komen. Je kunt DDoS-aanvallen voor tien dollar kopen op het internet.’

Wat zou bij ons die achterdeur kunnen zijn?
Brock: ‘De universiteit heeft ontzettend veel deuren. Nu waren ze aan de website aan het rommelen, bijvoorbeeld met het eigenlijke doel om te kijken hoe kwetsbaar de Citrixserver is.’

Van der Born: ‘Het Citrixlek kwam in het nieuws op 3 januari. Rond de kerstdagen hadden we echter al de door Citrix voorgestelde updates gedraaid. Het NCSC vond die maatregelen echter niet voldoende, omdat die het lek niet dichtten. Dus we kregen het advies: “Zet de verbinding naar buiten de universiteit uit”. Dat hebben we toen gedaan.’

Maar was dat dan wel echt nodig?
Brock: ‘Als het NCSC dat adviseert, dan volgen we het op. Zij weten meer dan wij.’

Van der Born: ‘Als het Centrum iets kwalificeert als een hoog risico, dan neem je de maatregelen die zij voorstellen. Al zijn die soms best vervelend, zoals in ons geval voor de medewerkers en studenten.’

Wat is er nu aan de hand met Citrix?
Van der Born: ‘Citrix heeft wereldwijd een lek in het systeem. Tot onze frustratie heeft Citrix erg veel tijd voor een oplossing genomen. Inmiddels is er een software-update beschikbaar die het probleem moet oplossen, maar wij hebben die nog niet kunnen installeren, omdat die alleen past op oudere versies van Citrix. Wij hebben de nieuwste versie, en daar komt waarschijnlijk pas vrijdag een update voor beschikbaar. Gebruikers hoeven die update niet zelf door te voeren, dat gaat automatisch.’

Waar zit hem het gevaar als we Citrix nog wél zouden gebruiken?
Brock: ‘Dat maakt Citrix niet bekend, want dan duiken er nog tal van criminelen op. Maar het komt erop neer dat er ongeautoriseerd toegang mogelijk is tot de Citrix-omgeving, die het systeem verder kan infecteren en nog meer virussen kan verspreiden.’

Hoeveel aanvallen zijn er eigenlijk?
Brock: ‘Metaforisch gezegd: in de gebouwen van de universiteit zitten veel ramen. Iedere seconde komt er wel iemand langs die bij elk raam voelt of dat wel goed dicht zit. Het gaat de hele dag door. Al worden die ramen niet gecheckt door fysieke personen, maar door bots.’

Van der Born: ‘Als de criminelen weten dat er ergens een lek zit, dan gaan ze wat proberen. Een Amerikaans bedrijf heeft laatst een Citrix-omgeving nagemaakt die kwetsbaar is. Die was na een week al vijfhonderdduizend keer aangevallen. Er zit handel en geld in.’

Waar zit de grootste kwetsbaarheid?
Brock: ‘Gebruikers zijn de zwakste schakels. Daarom zijn we ook zo druk bezig met bewustwording onder medewerkers.’

Van der Born: ‘We sturen bijvoorbeeld nep-phishingmails, waarmee we erachter willen komen hoeveel mensen er toch op de link drukken en waarom.’

Brock: ‘Uit de laatste test van vorig jaar, bleek dat elf procent toch nog klikt op phishingmails. Ik hoop dat dat door alle media-aandacht minder wordt. Maar ik neem het mensen niet kwalijk dat ze er intuinen. De kwaliteit van die mails wordt steeds beter.’

De Universiteit Maastricht heeft betaald om de versleutelde informatie weer te kunnen lezen. Wat zouden jullie doen als dat hier gebeurt?
Brock: ‘Als je betaalt, kunnen ze met dat bedrag weer drie aanvallen bij andere organisaties verrichten. Dan houd je het in stand. Maar als je niet betaalt, kunnen studenten en medewerkers lange tijd niet fatsoenlijk functioneren, omdat het zelf oplossen heel veel tijd kost. Juist daarom kiezen criminelen publieke dienstverleners uit, omdat daar de kans het grootst is dat ze gaan betalen.’

Dus dan móet je wel betalen?
Van der Born: ‘Als we een ransomwareverzoek krijgen, checken we eerst of onze back-up nog goed is. Als dat zo is, gooi je eerst alle bestanden op de geïnfecteerde server weg. Als de server weer schoon is, zet je alle bestanden die op de back-up staan weer terug op de server. Dat is een of twee dagen werk. Maar als je back-up ook besmet is, dan heb je echt een heel groot probleem.’

Brock: ‘Dat was het geval in Maastricht. Die criminelen gaan namelijk als volgt te werk: ze gaan eerst naar binnen bij de gewone server. Van daaruit proberen ze ook in de andere servers te komen, waaronder de back-up. Ze verspreiden zich dus door het hele netwerk heen. Pas daarna zeggen ze: “Hier zijn we.”

‘De Universiteit Leiden heeft de back-up elders in het land staan en die is losgekoppeld van de gewone server. Maar bij het overzetten van data moeten ze wel aan elkaar worden gekoppeld. Helemaal veilig is het dus nooit.’

Dus als ze in de back-up zitten, moet je eigenlijk wel betalen.
Brock: ‘Of je moet terug naar een heel oude back-up, van misschien wel een maand geleden. Maar daarmee verdwijnt een heleboel werk. Dan moet je de afweging maken: weegt dat op tegen het betalen van losgeld?

‘Het gaat bij hacks trouwens niet alleen om geld. Er wordt ook gezocht naar kennis die voor bepaalde landen interessant is. Zo was een tijdje geleden in het nieuws dat de Iraanse overheid bij de technische universiteiten op zoek was naar nucleaire gegevens. Wij hebben in Leiden Koreastudies. Noord-Korea wil wel van ons weten wat wij van hen weten.’

Is deze spionage weleens succesvol, hier in Leiden en Den Haag?
Brock: ‘We denken van wel, maar hebben er geen bewijs voor. We krijgen wel signalen van inlichtingendiensten dat dit landelijk speelt.’

Klinkt vrij zorgelijk voor onze onderzoekers die met gevoelige onderzoeksdata bezig zijn.
Van der Born: ‘Er zijn inderdaad onderzoekers die zich afvragen of hun bestanden met onderzoeksdata wel veilig zijn. Maar onze monitoringsystemen, firewalls en virusscanners worden steeds intelligenter. En de medewerkers op deze afdeling worden continu bijgeschoold.’

Brock: ‘We zetten onze studenten bij LIACS (Leiden Institute of Advanced Computer Science, red.) in om op zoek te gaan naar kwetsbaarheden. Verder zijn er bedrijven die we vragen security tests uit te voeren. Voordat we live gaan met een nieuw systeem laten we het altijd testen.’

Van der Born: ‘De urgentie wordt door de universiteit gevoeld. Als wij zeggen dat we voor de veiligheid geld nodig hebben, dan krijgen we dat ook.’

Wordt gevoelige informatie extra beveiligd?
Brock: ‘Zeker. Zelfs wij kunnen daar niet bij. Maar voor een gemiddelde onderzoeker is het risico groter dat de externe schijf of USB-stick, waar hij zijn onderzoeksdata op zet, kapotgaat dan dat onze back-up door iets als ransomware versleuteld raakt. Wij blijven zeggen: sla je onderzoeksdata op op het universiteitsnetwerk en wij maken daar een back-up van. Wij raden het om veiligheidsredenen en privacywetgeving af om zelf alle data op externe harde schijven te zetten. De kans op datalekken is daar veel groter dan op onze back-up.’

Leven er veel zorgen onder de medewerkers?
Van der Born: ‘We krijgen wel wat telefoontjes. Dan gaat het vooral om mails waarvan de medewerkers niet weten of het een phishingmail is. Als je daarover twijfelt: bel altijd de helpdesk. En zodra er in een mail gevraagd wordt naar een wachtwoord of andere persoonlijke gegevens, geef die nooit. Wij vragen nooit om dat soort zaken.’

De universiteit deelde na dit interview mee dat ze verwacht dat de remote werkplek vrijdag 24 januari, aan het eind van de dag, weer werkt.

Door Vincent Bongers en Sebastiaan van Loosbroek

Lees ook

Achtergrond
Affaire Hofman: behalve wangedrag gaat het in de rechtbank opeens ook over kinderarbeid
Het decennialange wangedrag waarvan hoogleraar archeologie Corinne Hofman wordt beschuldigd was al bekend, maar tijdens de rechtszaak over haar ontslag kwam de universiteit met nieuwe aanklachten. De zwaarste: kinderarbeid. ‘Dit is karaktermoord.’
Achtergrond
Hoe wapen je jezelf tegen nepnieuws? ‘Iedereen trapt er wel eens in’
Achtergrond
Protest bezuinigingen hoger onderwijs afgelast: waarom zij zouden demonstreren
Achtergrond
Hoe China meer invloed krijgt op media: ‘Je belandt in stukjes in je kliko’
Achtergrond
Geesteswetenschappen op de schop: African Studies verdwijnt, talen- en Azië-studies fuseren