De site gehackt, gevoelige bestanden gegijzeld. Het overkwam Windesheim vorige week. Gelukkig was het maar een oefening.
Donderdagochtend ging het mis. Iemand had de site van Windesheim gehackt. Maar geheel onverwacht kwam deze mededeling niet want Windesheim deed mee aan een landelijke oefening, OZON 2018, georganiseerd door Surfnet. Veertig instellingen in Nederland deden hieraan mee. En allemaal kregen ze donderdag hetzelfde alarmerende bericht. Maar dat was het begin. ‘Aanvankelijk,’ vertelt voorlichter Lex Kloosterman, ‘denk je nog zoiets van: is dit alles? Maar je weet dat de oefening twee dagen duurt en dat er nog veel meer op je af zal komen.’
Dat klopte. Spoedig maakte Surfnet duidelijk dat de hacker doorgedrongen was tot het computersysteem en zeer gevoelige, persoonlijke bestanden (bewaard door een lector) gegijzeld had. Tegen betaling zouden ze weer worden vrijgegeven. De eerste instelling die toehapte, hoefde maar 5 euro te betalen, daarna liep het ‘losgeld’ snel op. Het crisisteam van Windesheim kwam bij elkaar, onder leiding van cvb-lid Inge Grimm, en besloot dat er niet betaald zou worden. Elders nam men dezelfde beslissing. Niemand betaalde. Kloosterman vindt dat toch wel opmerkelijk. Maar daarmee was het ‘spel’ nog niet voorbij.
Terwijl men bij de ICT-afdeling druk in de weer was om de indringer op te sporen (Surfnet had onder andere een onschuldig doch lastig te vinden virus aangebracht), liepen de gemoederen hoog op. (Nep)journalisten wilden weten wat Windesheim hiertegen ging doen. De lector (gespeeld door een medewerker van ICT) drong aan op betaling. Een aantal studenten legden het losgeld bijeen en betaalden tóch. Daarna wilde de hacker de bestanden wel vrijgeven – maar daarvoor moest hij toegang krijgen tot het systeem. Was hij te vertrouwen? En was het verstandig de politie daarbij te betrekken? Al met al was de oefening voor vele medewerkers, met name bij ICT, een zeer intensieve ervaring. Totdat de hacker ontmaskerd werd. Door medewerkers van de Universiteit Maastricht. Want ja, dat kon. Hij woonde in Katwijk.
Het waren twee leerzame dagen, constateert Kloosterman. Zijn afdeling had hier en daar wel wat alerter kunnen reageren – maar dat is ook de makke van een oefening: je weet dat het ‘niet echt’ is dus hoe ver ga je erin mee? Een eerste evaluatie leerde dat met name de wisselwerking tussen ICT en het crisisteam beter kan. Die stonden al met al ‘wat te ver van elkaar af’. Nu maar wachten op de dag dat alle opgedane ervaring echt van pas zal komen. (MH)
Meer info hier: https://youtu.be/dQw4w9WgXcQ