Auteurs: mr. dr. Evgeni Moyakine en Maarten Goldberg
In onze vorige blogpost zijn we ingegaan op het fenomeen ‘ransomware’ en hebben we uitgelegd wat de gevaren van deze malware zijn voor de RUG, medewerkers en studenten. In dit stuk bespreken we maatregelen die getroffen kunnen worden om ons tegen deze cyberdreiging te beschermen.

Hoe kun je je beschermen tegen ransomware?
Er zijn twee belangrijke manieren om jezelf (privé) te beschermen. Als je deze maatregelen als medewerker of student treft, verhoog je daarmee ook het beveiligingsniveau van de RUG zelf.

(1) Bescherm je tegen phishingberichten die via e-mail, sms of berichtendiensten (zoals WhatsApp) worden verstuurd en die kwaadaardige links bevatten. Klik je namelijk op de link (naar bijvoorbeeld een Word- of Excelbestand), dan wordt via een macro of andere (verborgen) code de malware geïnstalleerd en wordt je computer geïnfecteerd.

_{Tip: Volg bij de RUG een online cursus (https://myuniversity.rug.nl/infonet/medewerkers/actueel/news/231124-elearning-phishing) waarin je leert phishingberichten te herkennen en ‘EHBO’ toe te kunnen passen in het geval je ze te laat herkent.}

(2) Gebruik alleen software die is aangeschaft door of voor de RUG. Deze is minder kwetsbaar voor malware die via macro’s en plug-ins wordt verspreid. Installeer geen gratis software of ‘handige’ plug-ins, want gratis kaas vind je alleen in een muizenval.

_{Tip: Gebruik uwp.rug.nl. Je werkt dan via de ‘Citrix Workspace’ op een virtuele computer van de RUG. Behalve dat deze virtuele computer veel minder gevoelig is voor infecties, maak je ook alleen gebruik van de door de RUG aangeschafte software, waaronder grote pakketten zoals Adobe Creative Cloud waarop je zelf meestal geen licentie hebt.} 

Wat kan de organisatie doen? 
Ook hier is het van groot belang dat medewerkers en studenten alert zijn op phishingberichten en ze tijdig kunnen herkennen. De ransomware-aanval op de Universiteit van Maastricht vond bijvoorbeeld plaats doordat een medewerker op de link van de aanvallende criminelen in de door hen verstuurde e-mail had geklikt. (SURF, ‘Wat Universiteit Maastricht leerde van de ransomwareaanval (deel 1)’, https://www.surf.nl/wat-universiteit-maastricht-leerde-van-de-ransomwareaanval-deel-1). Het gelinkte Excel-bestand bevatte een macro die vervolgens de malware van een externe server op de computer van de medewerker heeft geïnstalleerd, met alle gevolgen van dien. 

Daarnaast moet worden gedacht aan het op een doeltreffende wijze organiseren van netwerksegmentering, namelijk het opdelen van netwerken in functionele segmenten, en aan zowel vulnerability als patch management. Het monitoren van netwerken, het opsporen van activiteiten van kwaadwillende actoren binnen die netwerken en het regelmatig uitvoeren van updates zijn daarbij essentieel. Ook is het belangrijk om binnen de organisatie code execution te beperken: het uitvoeren van onbekende (potentieel kwaadaardige) code zoals de macro die in de aanval op de Universiteit van Maastricht werd gebruikt, moet dus worden verboden. Vervolgens dient het dataverkeer van gebruikers dat via webbrowsers wordt getransporteerd te worden gefilterd zodat schadelijke websites kunnen worden geblokkeerd. Ten slotte moet het gebruik van (mogelijk met malware geïnfecteerde) USB-sticks en andere externe opslagmedia worden beperkt.

Echter, zoals in deel 1 van deze blog al genoemd: dergelijke vergaande maatregelen staan haaks op de behoefte van onderzoekers om in hun discipline grote hoeveelheden data uit te wisselen en op de noodzakelijke vrijheid om zelf te kunnen programmeren en computercode uit te voeren in hun onderzoek. We maken het wetenschappelijk onderzoek hiermee een stuk lastiger of zelfs onmogelijk.

Wat doet de RUG al?
Dat weten we eigenlijk niet, want zoals bij meer veiligheidszaken is het vaak onverstandig om details van je IT-beveiligingsbeleid openbaar te maken. De RUG heeft een Chief Information Security Officer (CISO) die over alle veiligheidsmaatregelen gaat. Wellicht kan hij een vervolg geven aan deze blog door meer te vertellen – in algemene zin – over de maatregelen die de RUG treft om zich te beschermen. 

En als het dan toch gebeurt, zo’n gijzeling?
Naar onze mening dient de RUG een aantal scenario’s paraat te hebben voor het geval er toch een gijzeling plaatsvindt. Dat moeten niet alleen centrale scenario’s zijn voor de gehele RUG, maar ook draaiboeken specifiek gericht op de  belangrijkste processen binnen een faculteit of instituut. Een ‘high tech’ onderzoeksinstituut van FSE zal wellicht andere noodmaatregelen belangrijk vinden dan bijvoorbeeld een onderwijsfaculteit. 

De te ondernemen technische en organisatorische (nood)maatregelen dienen bij voorkeur gebaseerd te zijn op criteria die – vooraf – in overleg met alle betrokkenen zijn vastgesteld. Dit geldt helemaal voor een eventuele beslissing om losgeld te betalen of anderszins toe te geven aan de criminelen, wat ook een interessante vraag is waar meer aandacht aan moet worden besteed.

Conclusie
Zoals benadrukt door het Agentschap van de EU voor Cyberbeveiliging (ENISA) in het recentelijk gepubliceerde rapport ‘ENISA Threat Landscape 2023’ behoort ransomware samen met Distributed Denial of Service-aanvallen op dit moment tot de grootste cyberbedreigingen in de EU (NCSC, ‘Ransomware’, www.ncsc.nl/onderwerpen/ransomware). Cybersecurity is en blijft erg contextgebonden, hetgeen betekent dat de vraag naar de adequate te treffen maatregelen met betrekking tot deze specifieke digitale dreiging binnen de organisatie zelf (de RUG) dient te worden gesteld en beantwoord. Daarbij moet voldoende aandacht worden besteed aan een breed spectrum maatregelen op het gebied van cybersecurity. 

Een andere, niet minder belangrijke vraag is of men na een ransomware-aanval met criminelen in onderhandelingen moet treden om de buitgemaakte data terug te krijgen. Oud-minister Van Engelshoven stelde principieel naar aanleiding van de ransomwarehack bij de NWO uit 2021 (alweer als resultaat van de phishingmail) dat de Nederlandse overheid geen losgeld aan cybercriminelen betaalt en niet ingaat op hun eisen (Kamerstukken II 2020/21, 26643, nr. 744). Je hebt natuurlijk geen garantie dat cyberbendes na het ontvangen van het geëiste losgeld je data zullen terugbezorgen en niet verder zullen verspreiden, maar je kunt je wel afvragen of het verstandig is om het onderhandelen altijd af te raden. 

Verstoorde ICT-processen leiden immers tot veel schade. De rechten en belangen van betrokkenen, zoals het personeel en de studenten van de RUG, wiens persoonsgegevens ontoegankelijk zijn gemaakt, dienen ook conform de AVG te worden beschermd. Bovendien zal het voor deze mensen een enorme stress en werkdruk met zich meebrengen, zoals al eerder gememoreerd.

Met andere woorden: er is nog veel werk aan de winkel. Als we ons echter realiseren wat ransomware is en wat de gevolgen van de inzet ervan zijn, kunnen we met gezond verstand samen met onze ICT-experts al veel ellende voorkomen en weerstand bieden aan gijzelaanvallen en andere cyberdreigingen die in het digitale tijdperk op de loer liggen. Zoals Cruijff het ooit zei: je gaat het pas zien als je het doorhebt.