Webinar: 15 oktober 2020

Tijd: 13.00 - 14.00 uur

De geleerde lessen uit Maastricht

Spreker:
Fons Elbersen

Webinar terugkijken? Klik op onderstaande afbeelding.



De Universiteit Maastricht had in december te maken een grote cyberaanval, waardoor nagenoeg alle universiteitssystemen platlagen. In de kerstvakantie kon er nauwelijks meer gewerkt worden en belangrijke documenten en gegevens van studenten en medewerkers lagen in handen van cybercriminelen. Er werd 2 ton ‘losgeld’ betaald. De impact op het universiteitsleven was groot. In dit webinar vertelt Fons Elbersen (bestuurs- en communicatie adviseur van Universiteit Maastricht) over de geleerde lessen. Wat kunnen individuen, organisaties en de sector leren van deze cyberaanval? Fons vertelt over de omstreden keuze die gemaakt is om losgeld te betalen. En waarom de Universiteit ervoor koos om vanaf het begin af aan open en transparant te communiceren (zowel intern als extern). Kortom in deze webinar leert u waarom de Universiteit op een bepaalde manier heeft gehandeld en wat zij heeft geleerd om cyberaanvallen in de toekomst te voorkomen.

Getekende uitleg van de geleerde lessen uit Maastricht

Vergroot afbeelding


Op donderdag 15 oktober vond van 13:00 tot 14:00 uur het cyberwebinar ‘De geleerde lessen uit Maastricht’ plaats. Op de tekening is bovenaan in het midden een tekening opgenomen van wat er op 23 december 2019 bij de Universiteit van Maastricht is gebeurd: met een laptop (die “patient zero” wordt genoemd) is op een phishing mail geklikt (afgebeeld als een envelopje met een blauw apestaartje erin, waaraan een vishaakje vastzit). Hierdoor ontplofte er volgens de tekening iets in het scherm, afgebeeld met een gele stervorm met daarin een bommetje getekend en daarbij de tekst “Windows infected”. Daaromheen schiet een soort ketting met slotjes uit de pc die de hele boel dus op slot zet. En tot slot een schermpje dat naar voren schiet en in beeld komt met de tekst: “Want your data back? Daaronder op het schermpje een icoontje van en doodshoofd en daaronder een button: “pay here!”. Met andere woorden: de data van de Universiteit was via 1 laptop gegijzeld! Ernaast staat ‘De geleerde lessen uit Maastricht’. Maastricht is afgebeeld in een plaatsnaambordje en boven het woord ‘geleerde’ vliegt een afstudeerhoed door de ontploffing weg van de laptop.

Linksbovenin worden op de tekening via 2 getekende poppetjes de sprekers van dit webinar geïntroduceerd. Josephine Dols, press officer bij de Maastricht University & Fons Elbersen, bestuurs- en communicatieadviseur bij de Maastricht University. Fons begint in de tekening met een quote, afgebeeld in een spreekwolkje: “Ik was net op weg naar mijn vakantieadres…”. Eronder staat een zwart kader waarin in wit de tekst is geschreven: “Daar ging onze kerstvakantie”! Eronder zie je een plaatje van een tafel met daarop een laptop. Aan de tafel hangt een bordje met daarop de tekst “Crisisteam”. Achter de laptop staat een poppetje getekend met de handen in het haar die via een spreekwolkje de tekst uitspreekt: “Dit gaat niet om een huis-tuin-en-keuken-dingetje”. Uit de laptop komen rookwolkjes. Links en rechts achter het poppetje komen andere poppetjes aangerend, terug van hun kerstvakantie.. Ook staat er rechts achter het poppetje achter de laptop een politieagent met een laptop. Dit moet de gespecialiseerde politiedienst voorstellen, die ter plekke de aangifte kwam opnemen en het strafrechterlijk vervolgonderzoek ging starten. Tot slot komt van rechts een expert van FoxIT aangerend, afgebeeld doordat een poppetje een koffertje heeft waarin de tekst FoxIT is geschreven. Het poppetje roept gelijk via een spreekwolkje “Leg álle systemen plat! Complete digitale lockdown!” Onder te tafel staat tot slot in een groengekleurd wolkje met witte letters geschreven: “Circa 100 ICT-medewerkers & experts van FoxIT bij betrokken!”

Vanuit het spreekwolkje van de expert van FoxIT gaan 2 zwarte pijlen naar beneden en komen uit bij twee zwarte stopborden. Tussen die twee stopborden staat een zwarte pijl die naar links en rechts wijst met daarin de witte tekst: “Grote gevolgen”. Onder het linker stopbord staat de tekst: “Examens 4.000 examens”. Onder het rechter stopbord staat de tekst: “Lopende onderzoeken. Vanuit beiden teksten staan dunne zwarte pijltjes naar een tekening eronder, waar 3 grijze databases met een sip gezichtje staan getekend, omringd door een ketting aan een slot. Uit die tekening komen 2 spreekwolkjes: Links staat de tekst “We konden niet meer bij onze data. Ze waren echter niet gestolen, dát was niet het verdienmodel van de data…” en rechts staat de tekst “We hadden wel backups, maar die stonden online”.

Eronder staat in een zwart kader met witte letters geschreven: “Uit onderzoek, samen met FoxIT, bleek:”. Eronder staat een vergrootglas met armpjes en beentjes en 1 groot oog in het glas waaruit een soort ‘waterval van spreekwolkjes komt’ met de volgende teksten: “Via een zeer “sophisticated phishing mail” (ernaast afgebeeld als een envelopje mét blauwe stropdas, die stiekem een bommetje achter z’n rug probeert te verbergen) zijn de binnengekomen… kwalijke software (afgebeeld als een soort corona-virus-cel) heeft toen onze windows-omgeving geïnfecteerd… …dit werd “makkelijk” gemaakt ook door 2 machines die qua software niet goed gepatched waren (afgebeeld door een wasmachine ernaast te tekenen die sorry zegt, erachter staat een systeemkast soort van verdekt opgesteld, beiden hebben armen en benen en gezichtjes) …we hadden intern vanuit beoordeling logging al wel “verdachte activiteiten” waargenomen, maar dit signaal is nooit goed intern doorgenomen (afgebeeld met een alarmbel met een streepje erdoor)”. Ernaast staat een groengekleurd wolkje met daarin in witte letters de tekst “O.b.v. “profiel aanval” vermoeden we dat de daders bij de Russische hackersgroep TA505 horen…”.

In het midden van de tekening zien we vervolgens een grote tekening van een weegschaal. Die in het midden een zwart plakkaat heeft met daarop de tekst “Hét GROTE dilemma”. Links op de weegschaal in het schaaltje staat een mannetje achter een spreekgestoelte afgebeeld. In het zwarte weegschaaltje staat met witte letters: “overheidsstandpunt: geen criminelen betalen”. Het rechter weegschaaltje weegt echter in het plaatje zwaarder. In dat zwarte weegschaaltje zien we heel veel poppetjes getekend. In het zwarte weegschaaltje staat met witte letters geschreven “persoonlijke schade studenten en onderzoekers”. Onder de weegschaal staat de tekst “Eigen keuze maken als universiteit, vanuit je eigen activiteit”! Eronder staat een tekst in een geel kader. “Een universiteit bloeit door contact en ICT is daar inmiddels randvoorwaardelijk voor!”. Bij bloeit is een plantje dat uit de aarde groeit getekend. Bij contact is in de vorm van een hartje twee schuddende handjes getekend. Vanuit de weegschaal die doorslaat is een pijltje zwarte pijl getekend naar een hand met bankbiljetten in zijn hand. Eronder staat de tekst “Uiteindelijke besluit vanwege normen/waarden/moraliteit”. Eronder staat een spreekwolkje met de tekst “CVB heeft dit besluit binnen 1 week moeten nemen, na overleg met toezichthouders, inspectie, etc.”. Op de bankbiljetten staat in het midden het symbool van Bitcoin. Ernaast links staat 2 en ernaast rechts staat een icoontje van een grote ton. Om te symboliseren dat er omgerekend bijna 2 ton aan euro’s is betaald. Vanuit dit handje met bankbiljetten komt een pijltje en dat pijltje wijst naar een slotje dat open gesprongen is. Daarnaast staat een “plusje” getekend. En er direct naast staat een poppetje met een groen truitje en een groen hoedje met een veertje op. Hij heeft een oude perkamentrol in zijn hand waarop als titel “Tips” staat en daarna een hele lijst is. Eronder staat een spreekwolkje “Na betaling kregen we niet alleen onze data / systemen terug, maar ook tips… Robin Hood-achtige taferelemn”! Erboven staat nog een spreekwolkje met de tekst “Hun after sales is wel goed…”

Vanuit de quote in het gele kader met de tekst “Een universiteit bloeit door contact en ICT is daar inmiddels randvoowaardelijk voor” gaat de tekening nog verder. Eerst naar beneden met een zwarte pijl waarin de tekst “aanpak” in wit is geschreven. Daaronder zien we een computerscherm met daarop een webpagina van de universiteit. Erbij staat in een zwart stervormig kader geschreven “Mazzel: de website was nog live!” Eruit komt een spreekwolkje met de tekst “We konden op die manier goed en open communiceren”. Erboven staan diverse poppetjes getekend die via pijltjes allemaal met elkaar verbonden worden. Erboven staat ook een spreekwolkje die namens al die poppetjes wordt gesproken met de tekst “óók via social networks!”. Eronder staat een “plusje” getekend en daarnaast 3 poppetjes met een headset achter een laptop. Erboven staat de tekst “Helpsdesk voor persoonlijk contact”. Ernaast staat nog een plusje getekend. En hier zien we een tafel met ogen en een mondje. Er staat een bordje op getekend met de tekst helpdesk. Uit het mondje van de tafel komt een spreekwolkje met de tekst “Hier vind je hulp voor resetten wachtwoord”. Erboven staat de tekst “Fysieke helpdesks in gebouwen. Er staat vervolgens een groot plaatje rechts naast van 3 poppetjes die schouder aan schouder staan. Het rechter poppetje heeft een protestbord omhoog. Ze kijken alle drie kwaad. Op het protestbord staat “Niet alleen een aanval op UM, ook op ons!”. Erboven staat in een grote vlaggenbanner met wit de tekst “Er was een enorme Esprit de Corps!”. Vanuit dit plaatje gaat een grote zwarte pijl naar rechts. Daar zien we een groot icoon van ‘aanzetten’ met een pijl eromheen die tegen de klok ingaat. Erbij staat de tekst “Bij het opstarten: gelijk verbetermaatregelen genomen t.a.v. beveiliging, workflows, etc.”. Daaruit komt een lichtgroene pijl waar met witte letters in staat “Prio 1: onderwijssystemen. Vervolgens zien we rechts een datumincoon van 6 januari. Uit dat icoon komen 2 spreekwolkjes. Allereerst de tekst “Het lukte ons om op deze dag in ieder geval weer digitale leermiddelen te ontsluiten.” En tot slot “Het heeft wel nog maanden geduurd voordat alles weer opgestart was…”.

De andere zwarte pijl in het midden van de tekening (die boven de ‘aanpak’ staat getekend) bevat de tekst “communicatiestrategie”. Rechts daarvan staat een spreekwolkje met de tekst “Ken je publiek: kritische jonge mensen die alles willen weten & ook zelf getroffen zijn..” van daaruit gaat een pijltje naar rechts en dat komt uit bij een driehoekig verkeersbord met een uitroepteken erin. Ernaast staat de tekst “Heel snel andere universiteiten geïnformeerd over technische details aanval”. Ernaast staat wederom een pijltje naar een Delfsts blauw tegeltje waarop de tekst staat “Eerlijkheid duurt het langst”. Ernaast staat ook de tekst “Vertel ook wat je niet weet en geef dan proces-informatie. Er staat vervolgens een spreekwolkje bij met de tekst “We hadden in die periode soms 60 telefoontjes per dag!”. Ernaast staat een groot tekeningetje van een poppetje met een rugzak om, die een microfoon voorgehouden krijgt. Eruit komt een spreekwolkje met de tekst “Ik vind dat ik heel goed ben geïnformeerd”. Ernaast staat dat studenten en medewerkers dit aangaven. Tot slot eindigt dit middelste spoort met een geel stervormig kader met de tekst “We zijn een organisatie waar geleerd wordt, dus delen we al onze lesson’s learned tijdens een symposium, op onze site & met de rest van Nederland!” Ook staat tussen dit ‘spoor’ van de “communicatiestrategie” en de “aanpak” nog een tekeningetje van een blij lampenbolletje met armpjes en beentjes met ernaast ook de tekst “Veel nuttige kennis & informatie van SURF”.

Tot slot staat helemaal bovenaan rechts in de tekening een groot zwart stervormig kader. Vanuit de centrale getekende titel, waar de plaat mee begint staat vanuit de tekst “geleerde lessen” een pijltje naar dit zwarte kader. In het zwarte kader staat in wit een tweetal kolommen. De linker kolom luidt “technisch op orde” en bevat een opsomming van detectie, compartimentering, back-up & administratie. De rechter kolom luidt “organisatorisch” en bevat een opsomming van wees je bewust van de kwetsbaarheid, vergroot awareness, bijv. over phishing en werk samen. Onderaan in het kader staat tot slot “Het kan íedereen overkomen! Zwijg er niet over: kom úit de taboe-sfeer!”