NieuwsUniversiteit Maastricht

Universiteit Maastricht krabbelt voorzichtig op na cyberaanval

De schade lijkt op het eerste oog mee te vallen na de cyberaanval op de Universiteit Maastricht. Studenten en medewerkers ervaren vooral ongemak. ‘Ik kan niet bij mijn complete maillijst.’

Een student (l) wordt geholpen met het instellen van een nieuw wachtwoord.Beeld Marcel van den Bergh / de Volkskrant

‘These cookies won’t track you, have a cookie!’, luidt de wervende tekst bij een pak boterkoekjes op de tafel van de helpdesk in de universiteitsbibliotheek van Maastricht. Ach, in deze barre tijden van hacks en gijzelsoftware is een beetje humor nooit weg, zegt helpdeskmedewerker Charlotte Pinckaers met een glimlach.

Maar de meeste studenten laten de koekjes maandag links liggen. Ze hebben problemen met het wijzigen van hun wachtwoord en vragen liever direct advies van de helpdesk. ‘Meestal zijn ze hun oude wachtwoord vergeten’, vertelt een collega van Pinckaers. ‘Dan kun je dus ook je wachtwoord niet wijzigen.’

Wachtwoorden resetten

Na de grootschalige cyberaanval vlak voor kerst die alle computersystemen van de Universiteit Maastricht platlegde, heeft het bestuur alle 18 duizend studenten en 4.500 medewerkers gevraagd hun wachtwoorden te resetten. De meesten hebben dat thuis al gedaan – 15 duizend wachtwoorden zijn inmiddels gewijzigd, meldt Pinckaers niet zonder trots. Maar sommigen kwamen er niet uit.

Op de eerste dag na de kerstvakantie delen helpdeskmedewerkers foldertjes uit over het verzinnen van sterke wachtwoorden: ‘Welcome 123 is not a strong password!’ Of: ‘Friends help friends reset passwords.’ De voertaal in de universiteitsbibliotheek, middenin het historische centrum van Maastricht, is meestal Engels. Want de helft van de Maastrichtse studenten, en een derde van de medewerkers, komt uit het buitenland – meer dan honderd nationaliteiten lopen er rond.

Veiligheid

‘Hackers worden steeds inventiever en kunnen te makkelijk computersystemen binnendringen’, zegt de Roemeense studente Mirella, die computerwetenschappen studeert in Maastricht. Ze kan niet beoordelen of de universiteit de beveiliging wel of niet op orde had. Maar wat ze wel weet is dat dit ook andere instellingen en bedrijven kan overkomen: ‘We moeten veel meer investeren in security.’

Eigenlijk is het een klein wonder dat de universiteit maandag weer voorzichtig kan opstarten. Met man en macht is tijdens de kerstvakantie gewerkt aan het herstel en reactiveren van computersystemen. Daardoor zijn het studentenportal, de roosters (‘alleen read only’) en het studiemateriaal weer digitaal toegankelijk voor studenten. Maar emailen is nog steeds niet mogelijk, printen en scannen in de bibliotheek evenmin.

Deels in de lucht

‘Slechts een deel van het systeem is in de lucht’, zegt universiteitswoordvoerder Fons Elbersen. Alleen sommige systemen voor de studenten werken. Ook de toetsen bij psychologie en cultuurwetenschappen kunnen doorgaan, al wordt in sommige gevallen weer ouderwets teruggegrepen op pen en papier – en studenten die bij de voorbereiding veel last hebben gehad van de storing, kunnen een extra herkansing krijgen. Maar de systemen voor wetenschappelijk onderzoek liggen er nog steeds uit.

‘Het is alsof het tapijt opeens onder je voeten wordt weggetrokken’, zo verwoordt woordvoerder Elbersen het gevoel onder wetenschappers én studenten over de hack. Opeens kon niemand meer emailen, onderzoeken en data bekijken of bijwerken, colleges terugkijken, aan scripties of opdrachten werken.

Jessica Nelson, docent biologie uit de Verenigde Staten, heeft maandagmorgen met moeite haar onderzoeksproject met studenten kunnen opstarten. De deelnemers hadden zich vóór de kerstvakantie aangemeld, via de mail die dus al twee weken platligt. Uiteindelijk wist ze de studenten via hun persoonlijke mailadressen te bereiken. Ze noemt de cyberaanval ongekend: ‘We krijgen elke week wel veel phishingmails, maar dit heb ik nog nooit meegemaakt.’

Niets vernietigd

Voor zover bekend zijn er door de cyberaanval, vermoedelijk vanuit Rusland, geen data en bestanden vernietigd. Maar zekerheid daarover is er niet. Sommige wetenschappers hebben nog steeds geen toegang tot hun onderzoeksaanvragen die ze willen indienen bij de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), waarvoor de deadline binnenkort afloopt. ‘Ik weet van sommige collega’s dat ze om uitstel bij de NWO hebben gevraagd’, zegt natuurkundige Jacco de Vries, betrokken bij de deeltjesversneller in Zwitserland. ‘Of ze moeten in allerijl een oude versie updaten.’

Natuurkundige Gideon Koekoek, die een kamer deelt met De Vries en actief is in het Einstein-project, noemt vooral de moeizame communicatie met lokale en internationale collega’s als gevolg van het wegvallen van mailverkeer een groot probleem. ‘Ik kan niet bij mijn complete maillijst en dat maakt de communicatie heel moeilijk’, zegt Koekoek. Voor verlies van onderzoeksdata zijn zij niet bang: ze werken beiden voor internationale onderzoeksprojecten waarvan de data elders zijn opgeslagen. Aan het eind van de dag laat de universiteit overigens weten dat de mails en de harde schijven voor de wetenschappers vanaf dinsdagmorgen weer beschikbaar zijn.

Waardering voor aanpak

Studenten en wetenschappers zijn tamelijk eensgezind in hun waardering voor de manier waarop de universiteit de cyberaanval tot dusver heeft aangepakt. Ze roemen de transparantie en communicatie, met bijna dagelijkse ‘updates’ (inmiddels dertien stuks) op de eigen website en in sociale media. En over de vermoedelijke betaling van enige tonnen aan de hackers, zoals het universiteitsblad Observant ‘op basis van goede bronnen’ heeft gemeld, wordt vooralsnog nuchter gereageerd. De universiteit wil niet inhoudelijk op dat bericht reageren.

‘Mocht er betaald zijn, dan zal het bestuur die afweging wel hebben gemaakt op basis van een gedegen kosten-batenanalyse’, meent geneeskundestudent Noud Alberts, lid van de Universiteitsraad. Ofwel: dan zal de betaling van losgeld goedkoper zijn geweest dan het nog langer laten gijzelen van de universitaire computersystemen. Laurens Bierens, ook lid van de Universiteitsraad: ‘Maar je schrikt er wel van als dat echt nodig zou zijn geweest.’

De Universiteit Maastricht zou losgeld hebben betaald om gehackte computersystemen weer aan de praat te krijgen. Dat meldt universiteitsblad Observant op basis van ‘goed ingevoerde bronnen’.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden