Wat als het echt fout gaat bij aanval hackers?

IT-specialisten zijn wereldwijd hard aan het werk een fout in de software van Apache Log4j te fixen. Dit lek geeft hackers namelijk toegang tot veel systemen. Bron legt Hub Gerats vier vragen voor over de gevaren voor Fontys.

We kennen uit het recente verleden gijzelingen van software bij autofabriek VDL, Media Markt en ROC Mondriaan. Ze lagen dagen plat. Hoe kwetsbaar is Fontys?
“Wij zijn continu bezig om kwetsbaarheden in onze systemen te fixen. Dat is niks nieuws. Het lek in de software van Apache Log4j zorgt nu zeker voor extra werk, omdat het in veel systemen en applicaties wordt gebruikt.

De systeemeigenaren, zoals Microsoft, maken zogenoemde patches om het lek te repareren, die wij overal moeten verwerken. Het is zeker nog geen brand blussen. Dit is preventief werk, om een brand te voorkomen.

Overigens kan ook een individuele laptop worden gegijzeld. Trek dan de stekker uit je laptop en ga ermee naar de IT-dienst. Ook updates op je eigen laptop of smartphone meteen uitvoeren is nu, maar eigenlijk altijd, belangrijk om cybercrime te voorkomen.”

Op welke fronten kan het vooral fout gaan?
"Waar precies kwetsbaarheden zitten bij Fontys, kan ik uiteraard uit veiligheidsoverwegingen niet zeggen. Maar globaal kun je zeggen dat een aanval op drie onderdelen van Fontys schade kan aanrichten: onderwijs, onderzoek en bedrijfsvoering.

Bij onderwijs kan dat bijvoorbeeld gaan om de systemen gebruikt bij roostering. Onderzoeksgegevens moeten ook goed beschermd zijn, denk aan medische gegevens van een bepaald onderzoek. Bedrijfsvoering betreft onder meer de salarisuitbetaling. Het zou niet fijn zijn als dit systeem net voor de uitbetalingsdatum gegijzeld zou worden.

Bij sommige systemen merkt de gemiddelde medewerker of student niks als ze tijdelijk platliggen. Maar als je ’s ochtends helemáál niet kunt inloggen – wat in het ergste geval kan gebeuren – dan heeft dit grote gevolgen. Juist nu veel meer onderwijs digitaal is en mensen thuiswerken, zou dat heel ernstig zijn.”

Wat is het noodplan als het op belangrijke onderdelen toch fout gaat?
“Naast dat we continu bezig zijn met het wegwerken van kwetsbaarheden, oefenen we ook regelmatig crisissituaties. Ook daarover kan ik niet in detail treden, maar er zijn verschillende scenario’s uitgewerkt.

Zoals je ook ziet met de coronapandemie, zijn we bovendien wendbaar genoeg om ons snel aan te passen. ROC Mondriaan ging bijvoorbeeld de roostering weer op papier doen, hoewel dat een hele klus is. Ook hadden ze snel een website in de lucht waarmee zij hun medewerkers en studenten konden informeren.

Om mensen te bereiken hebben we altijd nog andere middelen, zoals gewoon bellen, een sms sturen of social mediakanalen.”

Werkt Fontys samen met andere hogescholen, die vaak dezelfde systemen gebruiken?
“Via de coöperatieve vereniging van Nederlandse onderwijs- en onderzoeksinstellingen SURF werken wij intensief samen met andere onderwijsinstellingen. Hoe groter de brand, hoe intensiever we elkaar opzoeken en helpen, ook internationaal.

Los van deze situatie hebben we ook een goede band met onze eigen ict-opleidingen. Studenten helpen ons bijvoorbeeld met ethisch hacken, waarin we onze eigen systemen aanvallen om te zien waar kwetsbaarheden zitten.” [Petra Merkx]