EINDHOVEN () – De daders die new wave dit jaar een cyberaanval pleegden op de TU Eindhoven (TU/e) waren niet heel geavanceerd. Op basis van de methodes die ze gebruikten, schat beveiligingsbedrijf Fox-IT ze in als “gemiddeld tot laag verfijnd”. Ze konden toch diep tot het verbinding van de universiteit doordringen door een zwakke plek die intern al bekend was.
“Ze hebben een deur gevonden waarop de sloten net niet helemaal lekker zaten”, legde hoofd informatiebeveiliging Martin de Vries uit. Het drama zat in het Virtueel privénetwerk-systeem, waarmee studenten en medewerkers op ruimte kunnen inloggen. Anders dan bij andere systemen was daarvoor geen zogeheten multifactor-authenticatie (MFA) nodig, een dubbelcheck via de mobbie. De Vries: “Dat was een zwakte die we al onderkend hadden, het zou voor de zomer worden opgelost.”
Het invoeren van MFA voor alle systemen is wat de TU/e betreft een belangrijke les voor andere organisaties. “En wacht daar niet te lang mee”, is het advies.
Datalek
De aanvallers kwamen binnen met wachtwoorden van twee accounts die voorheen door criminelen waren buitgemaakt. Gebruikers waren gewaarschuwd en moesten hun wachtwoord aanpassen, maar sommigen hergebruikten hun oude wachtwoord. “Niet verstandig, dat past niet in security awareness”, erkent De Vries. De universiteit maakt dat in het aanvulling onmogelijk.
Wie achter de aanval zat, blijft onduidelijk. “Dat is onbevredigend. De mogelijkheid bestaat wel dat ze later alsnog worden geïdentificeerd”, zegt vicevoorzitter van het universiteitsbestuur Patrick Groothuis. Het politieonderzoek loopt nog. Fox-IT vermoedt dat het gaat om criminelen die via zogeheten ransomware bestanden wilden kapen om losgeld te eisen. De TU sloot echter het hele verbinding tijdig af van de buitenwereld.
Vergelijking met wapenwedloop
De bestuurders van de TU vergelijken het kat-en-muisspel tussen beveiligers en cybercriminelen met een wapenwedloop. Aan de kant van de criminelen is intussen “een hele industrie ontstaan”, waarin ieder zijn eigen specialisme heeft, zegt chief information veiligheid officer De Vries. Dat verklaart haalbaar waarom de daders in de eerste dagen na hun inbraak weinig uitgevoerd lijken te hebben. “Het kan zijn dat iemand dacht: nu ik de sleutel heb, ga ik die te koop aanbieden aan anderen.”
Groothuis benadrukt dat organisaties niet alleen moeten inzetten op preventie. “Je moet er rekening mee houden dat ze een keer binnenkomen. Goede detectie en een adequate reactie daarop zijn minstens net zo belangrijk.”
