Oktober is cybersecurity-maand. Een maand waarin bedrijven en instellingen extra aandacht besteden aan de digitale veiligheid van hun netwerken. Reden genoeg voor Trajectum om in de digitale veiligheid van de HU te duiken. Zeker na de grote hack op de Hogeschool Arnhem en Nijmegen (HAN) waar het onderzoek nog steeds naar loopt.
Wat daar precies aan de hand was? Een hacker met de naam Masterballz kwam begin september via een webformulier binnen in een grote database. Uit die digitale opslagruimte haalde hij meer dan een half miljoen emailadressen en duizenden privégegevens. Het ging hier om uiteenlopende gevoelige informatie, van wachtwoorden tot zelfs informatie over mogelijke aandoeningen van studenten.
De hacker eiste 10.000 euro of meer aan losgeld van de onderwijsinstelling. Nadat de HAN het geld niet wilde betalen, is een deel van de gegevens via een screenshot gedeeld met RTL-journalist Daniel Verlaan. Wat er met de rest van de gegevens is gebeurd, is onduidelijk. Mogelijk zijn ze verhandeld op het dark web, de zwarte markt van het internet.
Wat er mis is gegaan? Woordvoerder van de HAN, Maurice Chattelin kan niet meer vertellen dan dat de hacker toegang heeft gekregen via een webformulier. ‘Het onderzoek loopt nog en ICT kan je ook niet meer vertellen op dit moment’, laat hij weten.
Een webformulier dus. Zo’n veld waar je iets in moet vullen om je bijvoorbeeld in te schrijven voor een opleiding. Hoe zit dat dan precies met een webformulier? Opleidingscoördinator van de ICT-opleidingen Cybersecurity en Cloudmanagement aan de HU Serge Wallagh kan daar wel iets over zeggen.
‘De inbraak was technisch gezien niet spectaculair’
Wallagh: ‘Het ging bij de datalek van de HAN waarschijnlijk om een achterhaalde manier van hacken die makkelijk te voorkomen is als je goede mensen in huis hebt. De inbraak was technisch gezien niet spectaculair. Dat webformulier lijkt knullig geprogrammeerd. De hacker tikte een commando in, waarna hij toegang kreeg tot de gegevens. Zo’n fout kan een programmeur tegenwoordig makkelijk voorkomen door regelmatig te checken of in de velden wel gewoon namen of geboortedatums worden ingevuld, zoals het hoort. Als dat niet zo is zou de programmeur een melding kunnen krijgen.’
De HAN-woordvoerder laat weten dat de HAN bezig is met het informeren van de mensen van wie de gegevens op straat liggen. Het gaat vooral om oud-studenten.
De HU hacken: kan dat?
Volgens Tigo Bakker is het best te doen om een onderwijsinstelling zoals de HU aan te vallen. ‘Des te groter het bedrijf of de instelling is, des te meer zwakke plekken er zijn.’ Bakker is geen ICT’er. Hij onderhoudt namelijk geen systemen. Hij is als een van de eersten in Nederland afgestudeerd als ethisch hacker. Dat houdt in dat hij net als Masterballz, de hacker van de HAN, computersystemen aanvalt. Het verschil tussen hem en de hackers die losgeld vragen is dat Bakker wordt ingehuurd of aan online wedstrijden mee doet om te kijken of een systeem nog verbeterd kan worden.
Maar goed, Bakker is net als Masterballz een hacker. En waar begint een hacker als hij de systemen van de HU wil aanvallen? Bakker: ‘Ik zou het niet zo aanpakken als Masterballz bij de HAN heeft gedaan. Die methode is al heel oud en niet zo effectief. Alhoewel er heel vaak webapplicaties zijn die gewoon op een oud webformulier draaien zoals bij de HAN.’
‘Ik kan alle apparaten laten doen wat ik wil en het hele systeem als het ware gijzelen’
Bakker zou kiezen voor een wat rigoureuzere aanpak. ‘De aanval op de universiteit van Maastricht heeft een paar jaar geleden laten zien dat een ransomware-aanval bij de digitale omgeving werkt en een onderwijsinstelling het meest in de problemen brengt.’
‘Om dat te doen zou ik proberen misbruik van de werknemers te maken. Eerst zou ik bijvoorbeeld een phishing mail sturen naar helpdeskmedewerkers met een code die wordt geactiveerd als je op het Word-bestandje in de bijlage klikt. Met die code krijg ik vervolgens toegang tot de computer van de medewerker. Vervolgens kan ik namens die medewerker een mail sturen naar een medewerker met meer rechten en toegang tot de server. Op het moment dat ik de server binnen ben, kijk ik of er nog een overkoepelende server is die me toegang geeft tot de hele HU. En vanuit daar kan ik alle apparaten laten doen wat ik wil en het hele systeem als het ware gijzelen.’
Voorkomen is beter dan genezen
Maar dat een hacker het systeem van de HU in theorie kan kraken, wil niet zeggen dat het per se makkelijk is. Dat beaamt ook Bakker: ‘Elk digitaal systeem is anders gebouwd. En het voorbeeld dat ik gaf over de centrale server die alles controleert en dat het te doen is om daar binnen te komen via medewerkers hoeft niet te gelden. Toch kan de HU dit voorkomen door de gebruikers van het systeem voor te lichten over de gevaren, veel back-ups te hebben van alle data en programma’s en veel testaanvallen uit te laten voeren door professionals zoals ik.’
Volgens Wallagh doet de HU er alles aan om een aanval te voorkomen of niet te laten escaleren. ‘Als je het vergelijkt met een aantal jaar geleden zijn we in de volle breedte op de HU ons veel meer bewust van de veiligheidsrisico’s op het moment dat iets niet aan de algemeen afgesproken normen voldoet. Dat is nu veel professioneler. Vroeger gebruikten we bij ICT nog wel software zonder dat te checken met de eisen van de HU. We kijken nu heel strikt naar welke gegevens we op mogen slaan en hoe lang we ze mogen bewaren en alle bestanden worden gescand.’
Daar komt bij dat de HU-omgeving is beveiligd in samenspraak met partijen die er veel vanaf weten. Zo leert de HU veel van wat er bij de HAN is fout gegaan. De organisatie SURF zorgt ervoor dat zwakheden sneller worden ontdekt door alle hack-gevallen op alle Nederlandse onderwijsinstellingen naast elkaar te leggen. Helpdeskmedewerker Stefan van Loenen laat ook weten dat in het Office 365-pakket alle software versleuteld is door moderne Windowstechnologie. Van Loenen zegt zich daarom geen zorgen te maken over de veiligheidsrisico’s.
‘Een afweging die je niet hoort te maken’
Uiteindelijk heeft de HAN nog geen schadevergoedingen aan de getroffen studenten hoeven te betalen. De hele situatie kostte de hogeschool dus tot nog toe niet veel, behalve misschien een reputatie.
Toch kunnen die studenten van de HAN schadevergoedingen eisen. Volgens privacy-deskundige Rémy-Josquin Carré die voor meerdere grote bedrijven en instellingen privacy-risico’s in kaart brengt, kunnen boetes voor een publieke instelling ook fors oplopen. ‘Als de studenten naar de instelling Autoriteit Persoonsgegevens stappen en er komt een zaak dan kan er in het ergste geval een boete van vier miljoen worden opgelegd.’
Ook zelfstandig kunnen studenten de instelling aanklagen. Carré wijst op een zaak uit 2019 waarin vijfhonderd euro boete is verhaald op een instelling.
‘Een vliegtuigmaatschappij kan ook niet op het onderhoud van vliegtuigen besparen en wel het vergoeden van nabestaanden van rampslachtoffers meenemen in zijn begroting.’
Misschien is het een rare gedachte, maar er gaan jaarlijks miljoenen naar de beveiliging van de ICT-omgeving van de HU. Dat is veel meer geld dan een mogelijke eenmalige boete van vier miljoen euro. Is het niet goedkoper voor de instelling om het risico op boze studenten en medewerkers te lopen en de veiligheid een beetje te laten verslonzen?
Wallagh ziet dat als onbespreekbaar. ‘Dat is een afweging die je als instelling niet hoort te maken, ook al is het moeilijk om veiligheid goed te doen en kost het geld. Een vliegtuigmaatschappij kan ook niet op het onderhoud van vliegtuigen besparen en wel het vergoeden van nabestaanden van rampslachtoffers meenemen in zijn begroting. Dat is gewoon onverantwoord.’