Inspectie zegt dat Universiteit Maastricht niet goed was voorbereid op ransomware-aanval
Universiteit Maastricht, die eind vorig jaar te maken kreeg met een ransonware-aanval, was hier niet goed op voorbereid. Er is wel adequaat gehandeld bij het afhandelen van de aanval, stelt de Onderwijsinspectie. De Inspectie stelde een onderzoek in nadat er tijdens het incident criminelen meerdere systemen van de universiteit wisten te versleutelen en 197.000 euro aan losgeld ontvingen om dit weer ongedaan te maken.
Geen overzicht
De universiteit was niet goed voorbereid op een aanval als deze, blijkt er uit het onderzoek. Er was wel aandacht voor databeveiliging, maar dit betrof vooral AVG en geen cyberaanvallen. Ransomware was niet opgenomen in draaiboeken voor grote incidenten. Daarnaast was er voor de aanval geen overzicht op de IT-inrichting. Hierdoor was er beperkt zicht op cyberweerbaarheid van de gehele universiteit, aldus de inspectie.
Daarnaast blijkt dat de interne controle op het uitvoeren van het ICT-beleid en of afspraken wel werden opgevolgd, nauwelijks was ingericht. De externe controle was procesmatig en enkel op het financiële en HR-pakket van de centrale IT-voorziening gericht. Meerdere partijen, zo ook het College van Bestuur (CvB), laten de Onderwijsinspectie weten dat er werd gesproken over cyberbedreigingen binnen de universiteit, maar dat deze niet als één van de hoogste risico’s werd gezien. “De risico’s voor het onderwijs van Universiteit Maastricht en onderzoek rond de maatschappelijke en politieke discussie over taal en internationalisering stonden hoger op de agenda”, zegt de inspectie.
De inspectie stelt dat een aantal zwakheden in de IT-infrastructuur en organisatie van UM hebben bijgedragen aan de grootte van deze ransomware-aanval. De laatste updates waren bij een aantal servers binnen het netwerk niet geïnstalleerd en er was maar beperkte segmentatie binnen het netwerk van Universiteit Maastricht. Ook was er volgens de inspectie gebrekkige monitoring. Hierdoor werd er geen opvolging gegeven aan meldingen van een virusscanner. De virusscanner werd uiteindelijk door de aanvallers handmatig uitgeschakeld. De inspectie laat weten dat men hierdoor onder andere heeft gefaald in het detecteren van de malware.
Awareness
De aanval was begonnen met verschillende e-mails met een Excel-bestand als bijlage. Twee medewerkers hebben deze mail geopend en activeerden kwaadaardige macro’s die de hackers hadden toegevoegd. Hierdoor werden de eerste twee Universiteit Maastricht systemen gecompromitteerd. Via deze twee systemen werd vervolgens de rest van het netwerk van de universiteit overgenomen.
De universiteit had volgens de inspectie wel verschillende campagnes georganiseerd, maar deze waren met name gericht op de AVG. “Medewerkers en studenten hebben tijdens de gesprekken met de inspectie geen campagnes genoemd die gericht zijn op de gevaren van malware. De medezeggenschap merkt op tijdens de gesprekken dat ze niet weten wat het niveau van awareness is binnen de universiteit. De medewerkers en studenten geven aan zelf niet op phishingmails te klikken, maar of dit ook echt zo is weten ze niet”, is vermeld in het onderzoeksrapport.
De conclusie van de Onderwijsinspectie luidt dan ook dat de Universiteit Maastricht voor de aanval niet altijd passende maatregelen heeft genomen. Hierdoor had de aanval een grotere impact dan nodig. Daarnaast bleek tijdens de eerst fase van het incident al dat er onvoldoende maatregelen werden genomen. Hierdoor konden criminelen onopgemerkt toegang tot het netwerk krijgen.
“Daarentegen was de crisisafhandeling zelf adequaat: in de tweede fase van het incident die begon toen de ransomware-aanval werd ontdekt, heeft de inspectie geen aanwijzingen gevonden dat de Universiteit Maastricht andere of meer passende maatregelen had kunnen nemen”, luidt de conclusie. De Inspectie kiest ervoor om de Universiteit Maastricht geen aanvullende verbeterpunten voor te schrijven, aangezien de stappen die de universiteit heeft genomen na de aanval.
Bron: Security.nl