Hoe reageren onderwijsinstellingen als hackers de systemen platleggen? Een recordaantal van zo’n tweeduizend medewerkers aan 72 universiteiten, hogescholen en mbo-instellingen deed mee aan een grootscheepse crisisoefening van ict-coöperatie SURF.

In het gebouw van ict-coöperatie SURF staan deze donderdag piñata’s uitgestald: felgekleurde dieren van papier-maché, die je kapot zou kunnen slaan om de snoepjes eruit te halen. Sommige medewerkers dragen gele T-shirts met piñata’s erop.

‘Dag van de Piñata’

Want de (fictieve) hackersgroep Vulnerability Liberators heeft deze donderdag uitgeroepen tot de ‘Dag van de Piñata’. De hackers balen ervan dat onderwijsinstellingen zo laks omgaan met meldingen over de kwetsbaarheden in hun systemen. Op hun website publiceren ze iedere twintig minuten een nieuwe ‘kwetsbaarheid’.

Het is de vierde keer dat de tweejaarlijkse OZON-crisisoefening wordt gehouden. Er doen elke keer meer instellingen mee, samen met het ministerie van Onderwijs. OZON is trouwens de afkorting van ‘Oefening Zonder Onzinnige Naam’.

De sfeer is speels en serieus tegelijk. Er lopen mensen gespannen rond tussen de verschillende kamers en tientallen anderen – medewerkers van 72 onderwijsinstellingen – zitten in een ruime zaal geconcentreerd achter hun computers. Aan de muur verschijnt een stroom van fictieve nieuwsberichten, die geschreven worden door eerstejaars studenten journalistiek. Ze spelen dat ze de NOS zijn, of een lokale krant.

Wachtwoorden online

Er gebeurt steeds iets nieuws. Allerlei wachtwoorden verschijnen online, het internet vertoont kuren en inloggen op de systemen gaat opeens moeilijk. Het blijkt het kwaadaardige werk van de ontevreden cryptomiljonair Elaine Geurtjes. Ze neemt wraak op de instellingen, die volgens haar gefaald hebben om iedereen goed onderwijs te bieden. En ze krijgt hulp van ontevreden (of omgekochte) medewerkers binnen de instellingen!

Bij SURF kennen ze dit scenario al, maar bij de instellingen niet. Bestuurders, ict-medewerkers en woordvoerders moeten zo goed mogelijk reageren op wat er allemaal gebeurt. Dat is de oefening.

Het is de kunst om precies genoeg chaos op de instellingen af te vuren, vertelt projectleider Charlie van Genuchten van SURF. Samen met haar team heeft ze hier meer dan een jaar aan gewerkt.

Vergezocht? Nee, tamelijk realistisch

Klinkt het scenario niet een beetje vergezocht? ‘We hebben het onder andere gebaseerd op de hackersgroep Shadow Brokers’, antwoordt Van Genuchten. ‘Die publiceerde in 2016 een catalogus van hacks die geheime diensten gebruikten. Maar toen konden anderen er dus ook gebruik van maken. Dat kan nog jarenlang problemen opleveren. In 2017 werd de Rotterdamse haven bijvoorbeeld geraakt en die kwetsbaarheden worden nog steeds gebruikt.’

Binnen de instellingen wisten ze natuurlijk dat er een oefening aan kwam. De crisisteams namen alvast contact met elkaar op, zochten de juiste draaiboeken erbij en stonden er klaar voor. ‘De aanloop helpt al enorm in het bewustzijn’, zegt Van Genuchten. ‘Dan hebben ze elkaar al eens gesproken. En in de crisis gaan ze echt samenwerken.’

Er waren ook middagen waarop ze de oefening met de instellingen voorbereidden. Ze kozen oefendoelen en keken of die binnen het scenario pasten. Bij de instellingen zelf lopen tijdens de crisis waarnemers rond om te kijken hoe het gaat en wat ze ervan kunnen leren.

Boze memes van fictieve studenten

En die zien dat het lang niet altijd goed gaat. ‘Bij ons komt de communicatie nogal langzaam op gang’, vertelt een medewerker van een hogeschool. ‘Ik zie andere instellingen veel sneller reageren.’ Ze wijst op het grote scherm aan de wand met berichten op Twitter en Instagram.

Fictieve boze studenten maken memes over de ict-problemen waardoor ze hun online tentamen niet kunnen maken, terwijl helpdeskmedewerkers op de instellingen vriendelijk antwoord proberen te geven (‘Wat vervelend dat je je tentamen niet kunt maken…’). Ze verwijzen voor updates naar hun website. En ja, sommige instellingen zijn sneller dan andere.

Maar het valt ook niet mee. Al vroeg in de middag peilt SURF de belangstelling bij de deelnemers: zullen we de instellingen iets meer helpen? Ja, luidt het vrijwel unanieme antwoord. SURF stuurt de oefening een beetje bij, zodat de oefening wel leerzaam blijft.

Studenten journalistiek oefenen nieuwsgaring

Een verdieping hoger zitten de eerstejaarsstudenten journalistiek. Zij kennen het scenario niet en moeten op allerlei manieren aan hun nieuws komen. Ze bellen bijvoorbeeld met (echte) woordvoerders, die hun eigen leerdoelen hebben. Achter de namen staat bijvoorbeeld: ‘Mag stevig aangepakt worden’. Dat is dan de oefening voor die woordvoerder.

Twee van hen bellen met de woordvoerder van een ROC, die nog geen informatie kan geven. Het hele onderwijs kampt met ict-problemen, er is duidelijk iets groots aan de hand en de woordvoerder zegt: ‘Een cyberaanval? Dat kan ik niet bevestigen. We zoeken uit wat er aan de hand is, ik bel je terug als ik meer weet.’

Ook als ze aandringen, geeft de woordvoerder geen sjoege. Het frustreert de studenten journalistiek enorm. Stoom komt uit hun oren. ‘Sorry dat ik het zeg, maar voor een woordvoerder is ze heel slecht in woordvoeren. Ze doet echt heel passief-agressief.’

Niet denkbeeldig

Bij SURF loopt ook iemand met een politiepet rond, alsof hij agentje speelt. Het geeft de dag iets luchtigs, door alle serieuze spanning heen. Als de instellingen aangifte willen doen, komen ze bij hem uit. In het echte leven blijkt hij het hoofd van het team Security awareness, dat de oefening organiseert. ‘Ik observeer nu vooral.’

Hij zal het pas op vrijdagochtend iets drukker krijgen. Die ochtend worden de criminele medewerkers ontmaskerd en luwt de crisis. Dat gaat misschien sneller dan in het echt zou kunnen, maar de oefening moet een keer ten einde komen. In de komende weken gaat SURF samen met deelnemers de oefening evalueren: wist iedereen elkaar te bereiken, hoe verliep de communicatie met de buitenwereld?

De dreiging van een cyberaanval in het hoger onderwijs is niet denkbeeldig: het komt vaak genoeg voor. In de kerstvakantie van 2019 bijvoorbeeld legde gijzelsoftware de systemen van de Universiteit Maastricht plat. De universiteit betaalde uiteindelijk bijna twee ton aan losgeld. In 2021 werd onderzoeksfinancier NWO geteisterd door ransomware.

Tekst: HOP, Bas Belleman
Foto’s: Stijn Rademaker

Volg ons op Instagram