Auteurs: mr. dr. Evgeni Moyakine en Maarten Goldberg
In deze blogpost zoomen we in op het fenomeen ‘ransomware’. Wat zijn de gevaren ervan voor de Rijksuniversiteit Groningen en voor medewerkers en studenten persoonlijk? Welke maatregelen kun je als persoon en als organisatie nemen om de systemen en netwerken van onze universiteit te beschermen en ransomware-infecties te voorkomen?

Wat is ransomware?
Eén van de meest geavanceerde digitale dreigingen waar alle publieke en private organisaties wereldwijd mee te maken hebben, is de zogenoemde ransomware. Het is in eerste instantie een specifieke vorm van malware die wordt ingezet om data te versleutelen – vooral op Microsoft Windows gebaseerde computersystemen – en losgeld te vragen voor het ontsleutelen daarvan.

Volgens het Nationaal Cyber Security Centrum (NCSC) stelen cybercriminelen vandaag de dag in ransomware-aanvallen ook gegevens zonder die te versleutelen en gebruiken ze de gestolen data om andere criminele activiteiten te ontplooien, zoals het afpersen van slachtoffers met de dreigementen om hun informatie openbaar te maken. (bron: Cybersecuritybeeld Nederland 2023, p. 15)

De RUG als mogelijk slachtoffer
Nederlandse universiteiten lopen een serieus risico om door een aanval met gijzelsoftware te worden getroffen: er wordt heel veel dataverkeer gegenereerd en universitaire gebruikers hebben een grote mate van vrijheid in het gebruik van het internet, het downloaden van bestanden en het installeren en uitvoeren van plug-ins of andere computercode. 

Zo is de Universiteit Maastricht in 2019 slachtoffer geworden van een verwoestende ransomware-aanval en betaalde ze criminelen het bedrag van €197.000 in Bitcoin om de toegang tot haar systemen te herstellen. Het moet worden opgemerkt dat de universiteit de als losgeld betaalde Bitcoins uiteindelijk terugkreeg als gevolg van de inspanningen van politie en justitie. (bron: Huib Modderkolk, 'Universiteit Maastricht krijgt deel losgeld na hack terug, door gelukkige timing crypto fors meer waard', 2 juli 2022).

Daarmee heeft de aangevallen universiteit de winst van ongeveer €300.000 gemaakt, aangezien de waarde van de voor de betaling gebruikte cryptovaluta inmiddels was gestegen… Deze winst werd echter waarschijnlijk geheel tenietgedaan door de verloren arbeidstijd. Personeel en studenten konden meer dan een week niet bij hun data. Het vertrouwen in de Universiteit als een veilige opslagplaats voor onderzoeksdata, waaronder ook bestanden met persoonsgegevens, liep een forse knauw op. 

De kans is zonder meer aanwezig dat de geschiedenis zich herhaalt en de RUG ook slachtoffer wordt van een dergelijke gijzeling.

Wie zit achter ransomware-aanvallen?
Het is lastig om in zijn algemeenheid te zeggen wie zich in de groep van ransomwarecriminelen bevindt, aangezien het vaak verschillende groeperingen of individuen zijn. Zo is één van de meest geavanceerde soorten ransomware van het moment genaamd ‘LockBit’ verkrijgbaar op het dark web. Het wordt ontwikkeld door een team criminelen dat vermoedelijk in Rusland is gevestigd. Door licenties op het gebruik van de diensten van LockBit aan te schaffen kunnen andere criminelen daar hun eigen digitale offensieven mee lanceren, wat een nogal eigenaardig businessmodel vormt. Het zijn trouwens niet alleen criminele, maar ook statelijke actoren die steeds vaker ransomware inzetten om doelbewust digitale (vitale) processen van Nederland en andere landen ontoegankelijk te maken. (bron: Cybersecuritybeeld Nederland 2023, p. 6, 15, 42 en 44) Denk daarbij aan de oorlog in Oekraïne en andere conflicten waarbij ‘cyber warfare’ niet meer weg te denken is. Juist deze aanvallen blijken een groot deel van alle tegen Nederlandse organisaties uitgevoerde digitale aanvallen te vormen.

Wat zijn de gevaren van ransomware voor de RUG?
Als de RUG zou worden gehackt, zouden de ICT-processen binnen de universiteit ernstig worden verstoord en zouden de meeste universitaire activiteiten de facto worden lamgelegd. Te denken valt aan colleges die niet kunnen plaatsvinden, (digitale) tentamens die niet worden afgenomen, oraties en promoties die moeten worden verplaatst en universiteitsgebouwen die waarschijnlijk niet open kunnen omdat essentiële bedrijfsvoeringssystemen niet werken. Daarnaast zouden waardevolle onderzoeksgegevens en persoonlijke informatie van medewerkers en studenten ontoegankelijk worden gemaakt en mogelijk ‘op straat’ komen te liggen. Wat persoonsgegevens betreft, wordt dit dan ook als datalek in de zin van de AVG gekwalificeerd dat bij de Autoriteit Persoonsgegevens en mogelijk alle betrokkenen moet worden gemeld. (Zie art. 4 onder 12, art. 33 en art. 34 AVG)

En er zou een enorme financiële schade zijn. De personeelskosten van de RUG bedragen ongeveer €572.000.000 per jaar (bron: jaarverslag RUG) en dat komt neer op zo’n €2.000.000 per dag dat er niet gewerkt kan worden vanwege de ‘hack’. Het weer inhalen van de verloren tijd zou ook een enorme werkdruk met zich meebrengen voor zowel personeel als studenten.

Last but not least loopt de RUG het risico op een door de toezichthouder opgelegde administratieve geldboete tot €10.000.000 omdat zij een onvoldoende inspanning heeft geleverd om de persoonsgegevens van personeelsleden en studenten te beschermen. (Zie art. 83 lid 2 onder d jo. art. 32 AVG en art. 83 lid 4 onder a jo. art. 32 AVG)

In onze volgende blogpost zullen we ingaan op de vragen hoe je jezelf (privé) tegen ransomware kunt beschermen, wat de RUG kan doen om haar IT-beveiliging te optimaliseren en haar weerbaarheid tegen deze malware te vergroten en wat we moeten doen als de RUG toch gehackt wordt. Blijf op de hoogte en mis het niet!