Impact dagenlange cyberaanval blijft (voor Saxion) beperkt, maar zorgde wel voor 'hoogste staat paraatheid' en nieuwe vragen

Tien studenten van de opleiding Technische Informatica zullen een toets op een ander moment moeten doen. Hun toets moest door de ddos-aanval worden geannuleerd. Een aantal andere toetsen ging met vertraging van start, maar kon alsnog wel worden afgenomen, door achteraf wat tijd in te bouwen. Verder waren het – vooral voor wie op locatie werkte - op Saxion vooral dagen van traag internet en moeizaam inloggen op clouddiensten als Afas.

Dat is inmiddels opgelost: SURF constateerde vanochtend dat er sinds vrijdagmiddag ‘geen noemenswaardig verkeer meer is geregistreerd dat duidt op nieuwe pogingen of aanvallen op ons netwerk’.

Eind goed al goed, zou je dus bijna zeggen. En ja, de impact van de drie dagen durende ddos-aanval op SURF bleef voor Saxion inderdaad relatief beperkt, zegt Chief Information Security Officer (CISO) Wilbert Hepping. Tegelijkertijd betekende het voor zijn team wel de hoogste paraatheid. “Omdat het allemaal op SURF gericht was, onze internetleverancier, konden wij weinig doen. Tegelijkertijd hielden we het wel continu in de gaten en fungeerden we vooral ook als vraagbaak.” 

Bovendien blijven er ook na de aanval voldoende vragen over. Met misschien wel als belangrijkste; wie zat er achter de aanval op SURF?  Dat is niet alleen het netwerk is van onderwijsinstellingen, maar ook van ziekenhuizen, en daarmee van cruciaal maatschappelijk belang.

“Dat is voorlopig even gissen”, zegt Hepping. Daar heeft SURF volgens hem nog niet over gecommuniceerd, en het is ook de vraag of dat in de toekomst nog gaat gebeuren. Daar doet het Nationaal Cyber Security Centrum (NCSC) inmiddels onderzoek naar. De gedachte is dat er een verband kan zijn met de aanval op de Technische Universiteit Eindhoven, maar dat is vooralsnog niet meer dan speculatie, net als de theorie dat de ddos-aanval zou kunnen dienen als afleiding voor een andersoortige aanval. “Omdat iedereen dan op dat moment daar mee bezig is.”

Het is ook de vraag of men er überhaupt achter kan komen wie er verantwoordelijk is, omdat aanvallers dikwijls proberen hun herkomst te maskeren, legt Hepping uit. “Ze kunnen bijvoorbeeld een Nederlandse server inzetten, terwijl de aanval daar niet vandaan komt.”

Dat juist een toets van Technische Informatica werd getroffen, heeft waarschijnlijk te maken met de bestandsgrootte van de toets.  “Dat is wel wat ik begrepen heb.” 

Voor Saxion bleef de schade zoals gezegd relatief beperkt. Toch zijn ook op dat vlak nog wel wat vragen. Zo werd nu het ‘primaire proces’ van toetsafname relatief beperkt geraakt. “Maar we gaan ook kijken naar situaties waarbij veel meer toetsen geraakt hadden kunnen worden. Wat zouden we kunnen regelen als daar in de toekomst toch een grote verstoring is?” In die zin is de aanval mogelijk een goede leercase. Hepping: “We gaan heel goed naar de evaluatie van SURF kijken.”