De Universiteit Maastricht (UM) is de winnaar van de SURF Security en Privacy Award 2021. De onderwijsinstelling ontving de prijs van 2.500 euro voor de open wijze waarop het haar kennis en ervaring deelde over een ransomware-aanval.
De aanval vond eind 2019 plaats. Hij begon met meerdere e-mails met een Excel-document als bijlage. Twee medewerkers openden dit document waardoor de malafide macro’s twee UM-systemen compromitteerden. Vervolgens werd de rest van het netwerk overgenomen.
Losgeld
Ook kwam aan het licht dat twee servers niet voorzien waren van een cruciale beveiligingsupdate. Verder bleek dat systeembeheerders, in strijd met het beleid, het domeinbeheerderaccount hadden gebruikt voor onderhoudswerkzaamheden. Back-ups waren vanaf het gecompromitteerde netwerk te benaderen, zodat deze ook konden worden gegijzeld door de ransomware. Er was weliswaar een offline back-up van een ander systeem, maar dat dateerde van zes weken terug. Voor de Universiteit Maastricht zat er, naar eigen zeggen, niets anders op dan de 197.000 euro losgeld te betalen voor het ontsleutelen van de bestanden.
Symposion
Zes weken na de aanval met gijzelsoftware organiseerde de universiteit een symposium over de geleerde lessen. Tijdens dit event deelden zij openlijk hun ervaring en kennis over het incident. Via een livestream was het voor iedereen te volgen. De belangrijkste boodschap was de noodzaak voor de sector om zich weerbaarder te maken tegen cybercriminaliteit. Dat kan door meer samenwerking, aldus de UM.
SURF Security en Privacy Award
De SURF Security en Privacy Award wordt elk jaar toegekend aan een persoon, initiatief, of idee bijdragend aan een zo open, toegankelijk, privacyvriendelijk en betrouwbaar mogelijk internet. De geldprijs van 2.500 euro dient besteed te worden aan het verbeteren van de security en/of privacy van de sector.