Reportage cybercrisis oefening

‘Digitale brandoefening’ moet hogescholen voorbereiden op eventuele cyberaanval

De verijdelde Russische hack bevestigt hoe reëel het gevaar van de cyberaanval is. Maar wat doe je als je organisatie daadwerkelijk wordt getroffen? Dat oefenden vijftig onderwijsinstellingen vorige week donderdag en vrijdag door een levensechte cybercrisis na te bootsen.

De ICT-managers van Windesheim overleggen hoe ze met de aanval moeten omgaan. Beeld Marcel van den Bergh

Donderdag 10.00 - Hackers nemen website hogeschool over

Plots staat een vreemde boodschap op de website van hogeschool Windesheim in Zwolle. ‘Netneutraliteit en academische vrijheden staan op de tocht!’ Wat volgt is een aanklacht tegen de netwerkbeheerder van de hogeschool. Die sponsort internettoezicht en zou zo de vrijheid op het internet beperken. En nu is uit protest de website gehackt.

De verantwoordelijke hackers zitten op dat moment in een kantoor in Hoog Catharijne, Utrecht. Bij de ICT-organisatie Surf, om precies te zijn. Niet dat ze echt kwaad in de zin hebben. Surf coördineert een tweedaagse oefening in cyberveiligheid. Een soort brandoefening, maar dan digitaal. Met vijftig instellingen en 1.200 deelnemers is deze oefening, die steeds vaker door bedrijven wordt uitgevoerd, relatief groot.

‘We krijgen steeds vaker te maken met cyberbedreigingen’zegt Gertjan Flinterman, die als ICT-manager bij Windesheim het verloop van de oefening beoordeelt. ‘Vaak op kleine schaal, maar dat het ook op grote schaal kan gebeuren, zien we in de media.’ Vandaar dat Windesheim oefent hoe het is als het helemaal misgaat. Wat zijn de communicatielijnen? Wie is waarvoor verantwoordelijk? ‘Dat moet in je dna gaan zitten.’

11.15 - Steeds meer bestanden kwijt

Paniek onder studenten, die zich massaal melden via mail, telefoon en social media. In rap tempo worden hun bestanden versleuteld door gijzelingssoftware; alleen de hacker heeft de sleutel om ze weer toegankelijk te maken. Natuurlijk zijn de bestanden niet echt weg, maar er is wel degelijk een soort onschuldig virus binnengehaald op de servers van de vijftig instellingen. Daar kan de ICT-afdeling zich in vastbijten.

De overheid legt steeds meer nadruk op cyberveiligheid, merkt Bibi van den Berg, hoogleraar cyberveiligheid aan de Universiteit Leiden. Daarbij zijn oefeningen als deze essentieel. ‘Het is een andere vorm van nadenken over risico’s. Je accepteert dat een crisis nou eenmaal kan plaatsvinden. Dan kun je maar beter voorbereid zijn, in plaats van alleen te zeggen: we gaan alles in het werk stellen om te voorkomen dat het ooit gebeurt. Zo’n crisis voorkomen is namelijk steeds onwaarschijnlijker.’

‘Veel mensen menen dat cybersecurity alleen een probleem is van eentjes en nulletjes’, zegt ze. ‘Maar wat in cyberspace gebeurt, kan effect hebben op de werkelijkheid. Je kunt stukken land onder water zetten of een ziekenhuis uitschakelen. Dit soort rampenoefeningen maakt mensen daarvan bewust.’

Grote cyberoefening bij Surf in het controlecentrum. Vanuit hier wordt de cyberaanval uitgevoerd, het scenario gespeeld. Beeld Marcel van den Bergh

12.30 uur - Lekken gesprekken over seksuele intimidatie?

Een nieuw probleem bij Windesheim: de hacker heeft bestanden in handen, waaronder paspoorten en ontslagbrieven. Wie lekken wil voorkomen en zijn bestanden terug wil zien, moet betalen. Dat terwijl een lector, gespeeld door een ICT-medewerker, zich heeft gemeld met een versleutelde laptop vol gevoelige interviews en andere data van zijn onderzoek naar seksuele intimidatie. Pas na flink wat gemor geeft hij zijn laptop af. De rest van de dag blijft hij aandringen: waarom kan Windesheim niet gewoon betalen?

Elk uur is er crisisoverleg op het hoogste niveau, waar de dilemma’s op tafel liggen. Als ze alle computers van het netwerk halen breidt de infectie niet verder uit, maar dan zal de hacker eerder lekken, heeft hij aangekondigd. Tenzij ze geld overmaken. Wat te doen?

In hun kantoor staren de ICT-managers van Windesheim naar een scherm met daarop de webpagina van de hacker, bestaand uit een donkergroene achtergrond met gifgroene letters. Alle gehackte instellingen staan opgesomd, samen met het aantal versleutelde en gelekte bestanden. En een aftellende timer. Nog maar zes uur te gaan voordat 700 duizend bestanden definitief verloren zijn en 33 duizend bestanden op straat liggen.

15.05 - Windesheim knakt niet

De kogel is door de kerk: Windesheim betaalt niet, luidt het officiële statement. Natuurlijk is zo’n beslissing tijdens een oefening eenvoudiger genomen dan tijdens een echte crisis, zegt Charlie Genuchten, coördinator van de oefening. Tijdens de WannaCry-aanval, die 12 mei vorig jaar onder meer de haven van Rotterdam platlegde, werd in sommige gevallen wel betaald. ‘Al denk ik dat deze instellingen ook in een echte situatie deze lijn zouden volgen, omdat het dilemma inmiddels bekend is. Het zou waarschijnlijk wel een wat langduriger proces zijn.’

Beeld Marcel van den Bergh

Vrijdag - Hacker opgepakt

De crisis loopt met een sisser af. Vrijdagochtend blijkt de sleutel gevonden om de bestanden te ontsleutelen. Een uur later is de hacker opgepakt. Nu is het nog zaak om te achterhalen welke bestanden zijn gelekt, dit te melden bij het nationale meldpunt en contact te zoeken met de getroffenen.

‘Het was erg intensief. Soms liepen de emoties echt hoog op, met name bij ICT’, zegt Windesheim-directeur Pieter Dieckmann. Hij is blij met de deelname aan de oefening, waarvan de verijdelde Russische hack het belang nog maar eens onderstreepte. Niet alles bleek eenvoudig. Zo gingen de ontwikkelingen zo razendsnel, dat het moeilijk was iedereen op de hoogte te houden.

‘Als zo’n situatie echt plaatsvindt en de instellingen reageren zoals ze nu deden, zou ik dat heel mooi vinden’, concludeert oefeningscoördinator Charlie Genuchten tevreden. ‘Al weet je natuurlijk nooit hoe het in werkelijkheid gaat.’ 

Na een uitgebreide evaluatie publiceert Surf later dit jaar de getrokken lessen, met algemene verbeterpunten en geanonimiseerde anekdotes waar anderen van kunnen leren. Mooi, want kennis delen is vaak het zwakke punt van dit soort oefeningen met cyberveiligheid, meent Frank Groenewegen van cyberbeveiligingsbedrijf Fox-IT. ‘Organisaties zijn vaak bang voor reputatieschade, ze willen fouten geheimhouden. Maar wat bij bedrijf A fout gaat, kan ook bij bedrijf B gebeuren. Daarover moeten we veel transparanter communiceren.’

Beeld Marcel van den Bergh

Meer over cyberveiligheid

Alle apparaten straks online: zie dan maar eens een cyberramp te voorkomen. Het staat nu echt op exploderen, het Internet of Things.

Betalen aan een crimineel: vijf lessen over gijzelingssoftware. ‘Ransomware kan de vitale infrastructuur van een land platleggen.’

Zijn DDoS-aanvallen op banken echt zo moeilijk af te slaan? Er zijn verdedigingslinies op te trekken, al verschillen experts van mening over de beste methode.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.