De cyberaanval op de Technische Universiteit Eindhoven (TU/e) in januari laat zien hoe kwetsbaar de organisatie was voor digitale dreigingen. Het incident maakt duidelijk dat kleine tekortkomingen kunnen leiden tot een grote ontwrichting.
Een onderzoeksrapport van Fox-IT toont aan dat de aanval grotendeels te wijten was aan bekende kwetsbaarheden en menselijke fouten. Zo was multifactorauthenticatie nog niet verplicht op de VPN-toegang, hoewel dit al wel op de planning stond. Ook werd toegang verkregen via accounts waarvan eerder bekend was dat ze gecompromitteerd waren. TU/e had gebruikers wel gevraagd hun wachtwoord te wijzigen, maar het systeem liet toe dat zij simpelweg hun oude wachtwoord opnieuw instelden. Een gemiste kans om de aanval te voorkomen, met verstrekkende gevolgen.
Volledig netwerk een week offline
De aanval werd op het juiste moment opgemerkt, mede dankzij een oplettend IT-medewerker en de SURFsoc-dienst. Hun snelle reactie, in samenwerking met FoxCERT, leidde tot het drastische maar effectieve besluit om het volledige netwerk offline te halen. Daarmee wist de TU/e te voorkomen dat de aanvallers gegevens versleutelden of exporteerden, zoals gebruikelijk is bij ransomware-operaties.
Dat de TU/e een week offline bleef, blijkt achteraf een noodzakelijke maatregel. Het gaf de organisatie de tijd en rust om het incident grondig te onderzoeken, systemen te herstellen en met zekerheid vast te stellen dat er geen achterdeurtjes waren achtergelaten. Toch is de schade groot. Studenten, docenten en onderzoekers zaten een week lang zonder toegang tot essentiële IT-systemen.
Efficiënte criminele groep
Het forensisch onderzoek van Fox-IT toont verder aan dat de aanvallers gebruik maakten van standaardtools en technieken. Dit wijst op een aanvaller van gemiddelde tot lage complexiteit – geen geavanceerde staatshacker, maar een efficiënt georganiseerde criminele groep. De aanval had met relatief eenvoudige maatregelen voorkomen kunnen worden.
Het incident bij TU/e legt een fundamenteel probleem bloot in het hoger onderwijs: de balans tussen openheid en veiligheid. Universiteiten kennen een hoge mate van autonomie, een dynamisch gebruikersbestand en een cultuur die samenwerking en toegankelijkheid vooropstelt. Dat maakt ze bij uitstek kwetsbaar. Het is de vraag of instellingen zich hiertegen voldoende wapenen.