image

Universiteit Maastricht wint SURF Security en Privacy Award 2021

donderdag 4 februari 2021, 15:54 door Redactie, 4 reacties

De Universiteit Maastricht heeft de SURF Security en Privacy Award 2021 gewonnen. De onderwijsinstelling kreeg de prijs van 2500 euro voor de open wijze waarop het de kennis en ervaring deelde over de ransomware-aanval waar het eind 2019 mee te maken kreeg.

De aanval begon met verschillende e-mails die een Excel-document als bijlage hadden. Twee medewerkers openden dit document en activeerden de kwaadaardige macro's in de documenten die de aanvallers hadden toegevoegd. Zo werden de eerste twee UM-systemen gecompromitteerd. Via deze systemen werd vervolgens de rest van het netwerk overgenomen.

Verder bleek dat twee servers een belangrijke beveiligingsupdate misten, hadden systeembeheerders in strijd met het beleid van de universiteit gebruikgemaakt van het domeinbeheerderaccount voor het uitvoeren van onderhoudswerkzaamheden en waren back-ups vanaf het gecompromitteerde netwerk toegankelijk, waardoor die ook konden worden versleuteld. Er was van een ander systeem wel een offline back-up, maar die bleek zes maanden oud. "Een lacune", aldus de universiteit.

Uiteindelijk zag de Universiteit Maastricht zich genoodzaakt om de verantwoordelijke criminelen 197.000 euro losgeld te betalen voor het ontsleutelen van de bestanden. De Onderwijsinspectie oordeelde vorig jaar dat de universiteit niet goed voorbereid was op ransomware-aanvallen.

Zes weken na de aanval organiseerde Universiteit Maastricht een symposium over de geleerde lessen. Daarin deelden zij openlijk hun ervaring en kennis over het incident. Het symposium was voor iedereen via een livestream te volgen. De belangrijkste boodschap van het symposium was de noodzaak de sector weerbaarder te maken tegen cybercriminaliteit door meer samen te werken.

De SURF Security en Privacy Award wordt jaarlijks uitgereikt aan een persoon, initiatief, of idee bijdragend aan een zo open, toegankelijk, privacyvriendelijk en betrouwbaar mogelijk internet. De geldprijs van 2500 euro moet worden ingezet om de security en/of privacy van de sector verder te verbeteren. Hieronder de e-mails die de aanvallers gebruikten.

Image

Reacties (4)
05-02-2021, 10:34 door Anoniem
Eens dat ze transparant en open geweest zijn.
Maar het effect is wel dat de prijs is uitgereikt aan een organisatie die cybercrime lonend gemaakt heeft door te betalen aan criminelen.....
08-02-2021, 09:57 door Anoniem
Door Anoniem: Eens dat ze transparant en open geweest zijn.
Maar het effect is wel dat de prijs is uitgereikt aan een organisatie die cybercrime lonend gemaakt heeft door te betalen aan criminelen.....

Want dat zou jij / jouw bedrijf natuurlijk NOOOOIT doen!
09-02-2021, 10:33 door Anoniem
Door Anoniem: Eens dat ze transparant en open geweest zijn.
Maar het effect is wel dat de prijs is uitgereikt aan een organisatie die cybercrime lonend gemaakt heeft door te betalen aan criminelen.....

De keuze die hierin is gemaakt is een weloverwogen keuze. Ik deel je zorgen, maar de achterliggende overweging van UM is zeer helder uiteengezet in diverse documentatie en uitingen. De consequenties van niet betalen waren vele malen groter dan die van het wel betalen. Vergeet niet dat UM te maken had met een "bedrijf" dat weliswaar een criminele business model heeft, niet per see met een stel criminelen of anderszins die vanuit een ideologie bezig waren.
13-02-2021, 15:24 door Anoniem
Door Anoniem: Vergeet niet dat UM te maken had met een "bedrijf" dat weliswaar een criminele business model heeft, niet per see met een stel criminelen of anderszins die vanuit een ideologie bezig waren.

Ik zie het verschil niet zo, zodra criminelen zich beter organiseren en het een "bedrijf" noemen dan is het minder erg om ze te betalen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.