A nightmare …

Een terugblik: wat gebeurde er?

Op 8 februari jl. verschafte de groep van cybercriminelen onder de naam DoppelPaymer zich met ransomware toegang tot het netwerk van NWO. De criminelen eisten losgeld, maar NWO besloot (als onderdeel van de Nederlandse Rijksoverheid) op principiële gronden niet in te gaan op de eisen. Om hoeveel losgeld het ging maakte NWO niet bekend. De NWO-domeinenorganisatie legde alle subsidieactiviteiten noodgedwongen stil. Bureau NWO-I probeerde als dienstverlener van de negen NWO-instituten zoveel mogelijk te blijven doordraaien ondanks de crisis. Direct ingehuurde experts van toonaangevende securitybedrijven hielden in de gaten of en zo ja, waar soms buitgemaakte data zouden worden gepubliceerd. Dat gebeurde op 24 februari op het dark web. Het ging om enkele interne NWO-documenten. Analyse wees uit dat de cybercriminelen data buitmaakten, maar welke precies is nog altijd de vraag.

Tot nader order

Door de hack van de netwerkservers, inclusief de mailservers, was het voor de domeinorganisatie van NWO, Regieorgaan SIA en Regieorgaan NRO onmogelijk de primaire processen – zoals de financiering voor de wetenschap - uit te voeren. Alle NWO'ers in de domeinenorganisatie moesten daarom hun taken tot nader order neerleggen. Bureau NWO-I kon aan de negen NWO-instituten geen shared services meer verlenen op het gebied van financiën, P&O en salarisadministratie. Koppelingen met diverse externe applicaties werden afgesloten. Werklaptops bleven gesloten en e-mails aan medewerkers kwamen niet aan.

NWO-I zette dienstverlening voort

De bedrijfsprocessen van de NWO-instituten werden niet door de NWO-hack geraakt. Zij hebben hun eigen netwerk, met eigen infrastructuur, mailsystemen en dataopslag en konden doorwerken. Bureau NWO-I spande zich in om de meest essentiële dienstverlening naar de instituten snel weer op gang te brengen. Met veel inzet kregen de collega’s van bureau NWO-I dit voor elkaar. De afdeling F&C pakte vrijwel direct de draad weer op van het project Nieuw Financieel Systeem. Ook P&O kwam onmiddellijk in actie, want het liep tegen het eind van de maand en salarissen moesten betaald worden. "De gegevens van de maand januari bij de salarisverwerker dienden als startpunt en van de P&O-afdelingen van de instituten kwamen mutaties op het gebied van in dienst, uit dienst en verlengingen van contracten", vertelt Ria Wemelsfelder, hoofd Salarisadministratie NWO-I. "Op deze manier zijn formeel gesproken 'voorschotten' uitbetaald in februari. Op 8 maart is de definitieve salarisproductie van februari alsnog uitgevoerd." Om alle ruim 1.800 medewerkers beter en professioneel te woord te kunnen staan, schakelde bureau NWO-I een gerenommeerd bedrijf in op het gebied van cybersecurity en security risk management. De afdeling Communicatie bracht in allerijl een beveiligde website online met een Q&A voor medewerkers en oud-medewerkers. Naast via e-mail konden zij vanaf dat moment ook 24/7 telefonisch bij deskundigen terecht.

De impact op de instituten

Bij alle instituten is het financieel en personeelssysteem van de NWO-instituten gekoppeld aan het door de cyberaanval geraakte bureau NWO-I. Daarover ontstond bij de instituten veel ongerustheid. De zorg betrof vooral mogelijk misbruik van aan personen gekoppelde bestanden, die NWO-I bij de centrale personeelsadministratie van NWO opgeslagen heeft. David Groep werkt bij Nikhef aan Physics data processing, grootschalige dataverwerking voor het onderzoek. Vanuit die functie is hij eveneens specialist op het gebied van cybersecurity. Met ICT-collega's van de andere instituten probeerde hij zicht op de mogelijke gevolgen te krijgen. Groep: "We zijn met vereende krachten bij de instituten gaan reconstrueren wat ooit naar bureau NWO-I is opgestuurd. Door de segmentatie, van alle losse afzonderlijke instituten met eigen systemen, zijn de gevolgen relatief beperkt". Bij het CWI, het naast Nikhef gelegen instituut op het Amsterdam Science Park, zag instituutsmanager Dick Broekhuis uit naar een iets rustigere tijd na corona. Broekhuis: "Plots was daar deze nieuwe crisis die we  - bovendien in een lockdown-situatie - moesten tackelen. Bij ons was er ook veel inzet van de IT-afdeling nodig om de integriteit van de eigen systemen te verzekeren". De adviezen en maatregelen die voortkwamen uit de resultaten van al deze interne onderzoekingen konden de medewerkers van NWO-I steeds snel bereiken via de online Q&A die soms per uur werd bijgewerkt.

En hoe nu verder?

NWO werkte hard aan het in de lucht brengen van een compleet nieuw netwerk. Laptops van NWO-medewerkers zijn volledig opnieuw geïnstalleerd. Op woensdag 10 maart konden de medewerkers van NWO-D en Bureau NWO-I weer het netwerk op. Op 22 maart vond bij de domeinorganisatie een herstart van het subsidieproces plaats voor alle rondes en de regieorganen SIA en NRO. Alle deadlines voor financieringsaanvragen zijn een maand opgeschoven. In de komende weken zullen alle processen weer gaan lopen zoals voor de hack.

Wat kunnen we doen om een volgende aanval van cybercriminelen te voorkomen? Nikhef'er David Groep is daar stellig over: "De veiligste computer is er een die je in beton giet en in de Noordzee gooit. Er is altijd risico. In de wetenschap wegen we continu op strategisch niveau af hoe we veilig onderzoek kunnen doen. In mijn werk, zoals voor datacollectie voor de Large Hadron Collider in CERN, zie ik dat we cybercriminelen een stap voor kunnen blijven door informatie te delen en samen te werken. Je moet in staat zijn patronen te herkennen, zodat je zelf naar eventuele zwakke plekken in systemen kunt zoeken. Veiligheid moet ook niet abstract zijn. Veilig werken hangt op alertheid van iedereen in de organisatie. Zorg dat je altijd up-to-date bent met nieuwe updates, wees bedacht op phishing, zet geen macro's aan. Alles staat of valt met betrokkenheid van mensen en het delen van informatie. De sense of urgency kan niet hoog genoeg zijn. Bij Nikhef sturen we binnen een uur een mail als we zien dat iemand inlogt van een onbekende plek. Menselijk contact en een paar goede processen zijn voor ons belangrijker dan beleidsdocumenten".

Tekst: Anita van Stel/Arian Visser

Tijdlijn

8 februari  – cybercriminelen dringen de NWO-systemen binnen
13 februari – NWO-netwerk gegijzeld
15 februari - NWO legt activiteiten stil; Bureau NWO-I zet dienstverlening door
22 februari – inleveren 700 laptops bij NWO-kantoren Utrecht en Den Haag
24 februari – publicatie van enkele interne NWO-documenten op het dark web
25 februari – bureau NWO-I neemt contact op met fraudespecialist
4 maart – online Q&A gelanceerd voor (oud-)medewerkers NWO-I
8 maart – 700 NWO-laptops pick-up bij de kantoren in Utrecht en Den Haag
10 maart - het nieuwe netwerk gaat weer online
17 maart – NWO-I People weer in de lucht
22 maart – herstart subsidieproces NWO-D voor alle rondes

Over ransomware

Ransomware is een techniek die data versleutelt en daarmee ontoegankelijk maakt met als doel betaling (of een bepaalde actie) af te dwingen. Steeds vaker wordt hierbij openbaarmaking van data als pressiemiddel aangewend.  Cybercriminelen dringen met ransomware vooral bedrijven binnen. De kosten hiervan zijn relatief laag en de verdiensten hoog. Cybercriminelen gebruiken een zogenaamde zero-day-exploit, een aanval die plaatsvindt op dezelfde dag waarop een kwetsbaarheid in software wordt ontdekt. De praktijk leert dat bedrijven te laat zijn, als ze pas in actie komen als de zero-day-aanval heeft plaatsgevonden. Een criminele organisatie is een toeleverancier in een waardeketen: degenen die malware schrijven zijn anderen dan degenen die de spam versturen en bedrijven afpersen.

Nieuwsbrief Inside NWO-I, april 2021