De Universiteit Maastricht was niet goed voorbereid op een aanval met ransomware, waarmee het eind vorig jaar te maken kreeg. Wel is er adequaat gehandeld bij het afhandelen van de aanval, zo stelt de Onderwijsinspectie. Naar aanleiding van het incident, waarbij criminelen allerlei systemen van de universiteit wisten te versleutelen en uiteindelijk 197.000 euro losgeld ontvingen voor het ontsleutelen van bestanden, stelde de Inspectie een onderzoek in.

Uit het onderzoek blijkt dat de universiteit niet goed voorbereid was op een dergelijke aanval. Zo was er wel aandacht voor databeveiliging, maar ging dat voornamelijk over de AVG en niet over mogelijke cyberaanvallen. In de draaiboeken voor grote incidenten was ransomware niet opgenomen. Tevens was er voorafgaand aan de aanval geen totaal (over)zicht op de it-inrichting en daarmee slechts beperkt zicht op de cyberweerbaarheid van de universiteit als geheel, aldus de inspectie.

Verder blijkt dat de interne controle op de uitvoering van het ict-beleid en de opvolging van afspraken nauwelijks was ingericht. Zo was de externe controle procesmatig en enkel gericht op het financiële en HR-pakket van de centrale it-voorziening van de universiteit. Verschillende partijen, waaronder het College van Bestuur (CvB), laten aan de Onderwijsinspectie weten dat er binnen de universiteit over cyberdreigingen werd gesproken, maar dat dit niet als één van de hoogste risico's werd geprioriteerd. "Risico’s voor het UM-onderwijs en onderzoek rond de politieke en maatschappelijke discussie over taal en internationalisering stonden hoger op de agenda", aldus de Inspectie.

Die stelt verder dat een aantal zwakheden in de it-infrastructuur en organisatie van de Universiteit Maastricht hebben bijgedragen aan de omvang van de uiteindelijke ransomware-aanval. Bij een aantal servers in het netwerk waren de laatste beveiligingsupdates niet geïnstalleerd en was er beperkte segmentatie binnen het UM-netwerk. Daarnaast was er volgens de inspectie sprake van gebrekkige monitoring waardoor er geen opvolging werd gegeven aan meldingen van een virusscanner die uiteindelijk door de aanvallers handmatig werd uitgeschakeld. "Hierdoor heeft men onder andere gefaald in het detecteren van de malware", zo laat de Inspectie weten.

Bewustzijn

De aanval begon met verschillende e-mails die een Excel-document als bijlage hadden. Twee medewerkers openden dit document en activeerden de kwaadaardige macro's die de aanvallers hadden toegevoegd. Zo werden de eerste twee UM-systemen gecompromitteerd. Via deze systemen werd vervolgens de rest van het netwerk overgenomen.

Volgens de Inspectie had de universiteit wel verschillende campagnes georganiseerd, maar waren die met name op de AVG gericht. "Medewerkers en studenten noemen tijdens de gesprekken met de inspectie geen campagnes gericht op gevaren van malware. De medezeggenschap merkt tijdens die gesprekken op dat ze niet weten wat het niveau van bewustzijn binnen de UM is. De gesprekspartners nemen aan dat ze zelf niet op phishingmails klikken, maar of dat zo is weten ze niet", zo staat in het onderzoeksrapport vermeld.

De Onderwijsinspectie komt dan ook tot de conclusie dat de Universiteit Maastricht voorafgaande aan de aanval niet altijd passende maatregelen heeft genomen waardoor de aanval een grotere impact had dan nodig. Ook tijdens de eerste fase van het incident bleken de genomen maatregelen niet voldoende, waardoor niet werd opgemerkt dat derden toegang tot het netwerk hadden gekregen.

"De crisisafhandeling zelf was daarentegen adequaat: in deze tweede fase van het incident die startte na het ontdekken van de ransomware aanval, heeft de inspectie geen aanwijzingen gevonden dat de UM andere, meer passende maatregelen had kunnen nemen", aldus de conclusie. Gezien de stappen die de universiteit al na de aanval heeft genomen kiest de Inspectie ervoor om de UM geen aanvullende verbeterpunten voor te schrijven.