TU/e verwacht resultaten onderzoek cyberaanval op zijn vroegst in april te delen

De Technische Universiteit Eindhoven verwacht 'op zijn vroegst' in april meer informatie te publiceren over de cyberaanval waar de universiteit vorige week slachtoffer van werd. De TU/e doet momenteel onderzoek naar de aanval met Fox-IT.

De TU Eindhoven schrijft in een blogpost dat het onderwijs afgelopen maandag 'soepel' is hervat en dat 'vrijwel alle digitale systemen' inmiddels weer beschikbaar zijn. "We zijn opgelucht dat we, zo’n negen dagen na de start van de cyberaanval, samen kunnen concluderen dat we veilig terug kunnen naar de staande organisatie", schrijft TU/e-vicevoorzitter Patrick Groothuis. Daarmee wordt ook het crisisteam ontbonden en stopt de universiteit met het geven van dagelijkse updates op haar website.

De onderwijsinstelling geeft wel aan dat het momenteel een forensisch onderzoek naar de cyberaanval uitvoert. Het bedrijf doet dat samen met cybersecuritybedrijf Fox-IT. Daar wordt onder meer gekeken naar de toedracht van de aanval. De universiteit laat ook extern evalueren hoe de TU/e heeft gereageerd op de cyberaanval. De resultaten van beide onderzoeken worden samen gepubliceerd. Dat gebeurt naar verwachting 'op zijn vroegst in april'.

De TU/e werd op zaterdag 11 januari getroffen door een cyberaanval. Daardoor werden de netwerken van de universiteit afgesloten en werd het onderwijs een week stilgelegd. Om wat voor soort aanval het ging en wie erachter zit, is nog niet duidelijk. Wel meldde de onderwijsinstelling eerder dat de daders 'op heterdaad' zijn betrapt tijdens het uitvoeren van de hack en dat geen data is gestolen of versleuteld. Wat precies is gebeurd, is nog niet bekendgemaakt.

Door Daan van Monsjou

Nieuwsredacteur

22-01-2025 • 21:00

32

Submitter: Fox

Reacties (32)

Sorteer op:

Weergave:

Mooi dat er (gelijk) actie wordt ondernomen en een onderzoek te starten, ik ben benieuwd naar de resultaten. Is het overigens zo dat Fox-IT een bepaalde voorkeurspositie heeft in dit soort gevallen? Gezien het onderzoek bij de Universiteit Maastricht ook heeft gedaan, of is dit "toeval"?
Het kan zijn dat dit vooraf al is vastgelegd: dat er bij een incident van een bepaalde omvang en/of categorie er per definitie een extern bedrijf gevraagd wordt om er onderzoek naar te doen. Hiervoor zou ook al een contract met een externe partij kunnen zijn.
Bij dit soort instellingen gebeurt dat vaak op basis van aanbestedingen en is dus vooraf al bekend wie deze taak uitvoert.

Edit: uit onderstaande link:
"Voor SIEM organiseerde SURF, een IT-coöperatie voor onderwijs en onderzoek, een aanbesteding, die werd gewonnen door Fox-IT. Deze overeenkomst is volgens Fox-IT meer dan 25 miljoen euro waard en duurt vijf jaar."
nieuws: SURF en Fox-IT gaan onderwijsinstellingen beter beveiligen tegen cybe...

[Reactie gewijzigd door headphoneguy op 23 januari 2025 12:06]

Zolang je onder de aanbestedingsgrens blijft kan je gewoon onderhands aanbesteden. Scholen moeten ook specifiek op zulke aanbestedingen intekenen. Dus kan prima zijn dat de ene universiteit voor de aanbesteding van SURF met Fox-IT is gegaan en een andere universiteit/school de keuze heeft gemaakt voor bijvoorbeeld een Northwave. Maar ook dat je geen overeenkomst hebt en gewoon aftikt wanneer je ze nodig hebt.

[Reactie gewijzigd door daredevil__2000 op 23 januari 2025 15:02]

De aanbestedingsgrens ligt ergens bij de 220k. Daar ga je bij een 5 jarig contract met 24/7 dienstverlening makkelijk overheen, zeker als je een wat grotere onderwijsinstelling bent met meerdere logbronnen.
Ik werk zelf bij een onderwijsinstelling. Het hangt heel erg af van wat en hoe je wilt monitoren. Met wat slimme keuzes kan je onder die grens blijven. Zeker voor de kleinere scholen of voor bijvoorbeeld vakopleidingen is 220K heel veel geld in verhouding tot het totale budget. Universiteiten hebben vaak nog andere inkomstenbronnen zoals de onderzoeken voor commerciële bedrijven.
Ik heb ook op een onderwijsinstelling gewerkt, maar die was zo groot dat vrijwel alles (zeker kritieke core infra) meteen boven de grens lag :)
Niet perse toeval. Wel weinig concurrentie dus bij alles wat in NL gebeurd heb je kans 1 op 4 dat Fox langs komt
Mooi dat er (gelijk) actie wordt ondernomen en een onderzoek te starten, ik ben benieuwd naar de resultaten. Is het overigens zo dat Fox-IT een bepaalde voorkeurspositie heeft in dit soort gevallen? Gezien het onderzoek bij de Universiteit Maastricht ook heeft gedaan, of is dit "toeval"?
Maastricht is toeval, anders dan dat Fox-IT nu eenmaal een grote speler in deze markt is en dus veel opdrachten krijgt.
Sindsdien zijn een aantal universiteiten gaan samenwerken op dit vlak en Fox-IT is gekozen als partner. Dat Fox-IT via Maastricht al ervaring had in die wereld heeft vast geholpen om die opdracht binnen te slepen, maar uiteindelijk is het toeval dat ditzelfde bedrijf nu weer is betrokken. Als grootste in z'n soort hadden ze ook zonder Maastricht wel meegedaan.
Fox-IT heeft goede contacten met de AIVD, zeg maar.
Lijkt me niet gek om daar even de tijd voor te nemen. Je wilt immers alles goed uitgezocht hebben en niets over het hoofd zien. En je wilt ook mitigaties en verbeteringen onderzoeken en een verder plan daarvoor maken.

Ze zouden natuurlijk ook een paar mensen van de tweakers community kunnen vragen, die weten het binnen een paar uur /s
Grote kans dat er Tweakers werken ;) Ze hebben waarschijnlijk de vraag gekregen niks te vertellen
De scholen en universiteiten delen informatie over zulke aanvallen onderling al veel eerder (vaak al tijdens de aanval) om elkaar te helpen hier tegen te wapenen. Uiteraard gebeurt dat wel onder een Traffic Light Protocol (TLP) waardoor dit vaak niet zomaar gedeeld kan worden met bijvoorbeeld Tweakers.net
Wie weet, misschien is er wel een tweaker hier die alles al weet.. #dader
@Goldwing1973 Zijn hier dan misschien, ook slechte mensen #dader(s) :'(
Op zijn vroegst in april... kan dus ook juni worden. In ieder geval is de kou dan uit de lucht, hetgeen vanuit communicatie perspectief best wel handig is... Als er gevoeligheden zijn, wordt deze methodiek wel meer gebruikt :-)
Want jij denkt dat het rapport nu al klaar is? Alles kost gewoon tijd om de onderzoeken en komt bovenop de bestaande dagtaken. De eerste prioriteit is zorgen dat alles weer werkt en dat de aanvallers niet meer in je systemen verborgen zitten.
Er zijn al gevoeligheden. In de tweede kamer is niet voor niets besproken dat belangrijke organisaties als universiteiten een duidelijk plan horen te hebben bij incidenten, in plaats van de onduidelijkheid welke prioriteiten men precies heeft. En ook dat dienstverlening zoals onderwijs belangrijker is dan beslissen om dat te stoppen en steeds langer uit te stellen omdat er geen duidelijk plan lijkt te zijn hoe lang men geen onderwijs wil geven.

En wat we daar ook van vinden, het er niet mee eens zijn neemt niet weg dat die gevoeligheden zonder rapport al bestaan.
Je doet wel heel makkelijk de aanname dat de Universiteit geen onderwijs leverde omdat ze geen duidelijk plan zouden hebben. Los van het feit dat de universiteit die week toch al geen echte lessen op het programma had staan (voorbereidingsweek op toetsen) is de infrastructuur van een universiteitsnetwerk nu eenmaal zeer complex. Je wil nu eenmaal gewoon ook zekerheid hoe de kwaadwillende binnen zijn gekomen, waar ze toegang tot gehad hebben, of er nog oude kwetsbaarheden actief zijn en of ze bijvoorbeeld nieuwe achterdeurtjes hebben geïmplementeerd bij de hack.
Ik doe geen aanname. Ik wijs er op dat er in Nederland tot en met in de Tweede Kamer en bij de wetgevers zorgen over zijn wat betreft hie belangrijke organisaties zoals universiteiten voorbereid zijn en grenzen oprekken om geen onderwijs te leveren. En dat die zorgen en eisen niet zomaar geaccepteerd worden, omdar het gevoellig ligt.
Ik ben wel benieuwd op basis van wat je deze aannames doet. Ik werk zelf in het onderwijs en herken me verre van het beeld wat jij hier veelvuldig probeert te schetsen. Het onderwijs heeft samen met accountants ook zelf een normenkader opgezet juist om goed te kunnen toetsen hoe serieus een onderwijsinstelling bezig is met privacy, security, procedures, preventieve maatregelen enz. In dat normenkader wordt juist ook zeer duidelijk benoemd welke verantwoordelijkheden bij de bestuurders liggen waardoor ook zij hier in betrokken worden en ze het niet makkelijk kunnen afschuiven als een IT feestje.

Op deze normenkaders worden peer reviews en expert reviews uitgevoerd naast de controles van de accountants.

Daar naast zijn er zat van andere initiatieven vanuit een SURF of een MBO digitaal om scholen verder te helpen. Denk daarbij aan de NOZON en OZON oefeningen, HALON, SCIRT, SCIPR, MISP, trainingen, kennisdeling enz.

Het onderwijs is onwijs veel verder in de digitale weerbaarheid en heeft dit doorlopend bovenaan de agenda staan dan bijvoorbeeld de overheid.

Dus tenzij je met een duidelijke onderbouwing kan komen om het doorlopend bashen van de onderwijssector te kunnen ondersteunen zitten jouw berichten echt redelijk op een facebook niveau.

Er worden dus zeker geen grenzen opgerekt @Bor

[Reactie gewijzigd door daredevil__2000 op 24 januari 2025 11:01]

Bor Coördinator Frontpage Admins / FP Powermod @daredevil__200024 januari 2025 15:21
Er worden dus zeker geen grenzen opgerekt @Bor
Daar ging ik ook niet vanuit en dat is ook niet mijn ervaring (en nogal een erg negatieve kijk op de zaken) maar dat is wel het idee wat hier volgens mij onterecht wordt geschetst. Dank voor je extra duiding.
Ik stel geen aanname te doen. Ik wijs er op dat men in de tweede kamer en bij wetgevers niet zomaar genoegen neemt met wat verantwoordelijken aan eigen normen of tijdens problemen acceptabel vinden.

De normen voldoen niet zomaar aan wat anderen aan verwachtingen en eisen stellen. Toepassen van die eigen normen ook niet. Beslissingen van een bestuur kunnen bijvoorbeeld volgens de eigen norm prima zijn, maar dat maakt een gevolg dat er eerst een dag en daarna 2 dagen en daarna een week geen dienstverlening is, waar heel veel belanghebbenden meerdere nadelen van hebben, niet zomaar voor iedereen acceptabel.

En dat gaat net zo goed op voor het wel of niet acceptabel vinden dat er pas na maanden onderbouwing komt, ongeacht dat normen of wetgeving daar momenteel ruimte voor geeft.

Ik ben het er volledig mee eens dat de bestaande wetgeving, normen of andere grenzen uitgangspunten zijn. Maar ze zijn wel veranderlijk door de gebreken die ze hebben en door mogelijkheden toepassen die niet duidelijk aansluiten op de verwachtingen of veranderende eisen in de samenleving.

Belangrijke vragen gaan waarschijnlijk zijn in hoeverre de universiteit zich bewust was dat een heel netwerk uit voorzorg onbeschikbaar maken niet binnen een dag of twee dagen zomaar weer beschikbaar is. En waarom ze kennelijk niet gecommuniceerd hebben dat de studenten, docenten en anderen daar maar beter rekening mee konden houden. Of waarom er niet gecommuniceerd is wat de universiteit als grens heeft om maximaal niet beschikbaar te zijn. Ongeacht welke mening jij of ik over duidelijkheid en mogelijkheden hebben.

Begrip vragen dat er bestaande normen zijn of dat tijdens problemen er wel meer te doen is voor wie de problemen moet herkennen, stoppen en herstellen geeft niet zomaar acceptatie van de normen, keuzes of gevolgen. Een rapport over verantwoording net zo min. Wat voor de een acceptabele interpretaties van grenzen en mogelijheden zijn levert anderen niet zomaar acceptabel toepassen van grenzen en onacceptabele gevolgen op. En als we hier al moeite hebben om zelfs maar het wijzen op dat soort gevoeligheden door ze als aanval te beschouwen dan is het niet verwonderlijk dat het onbegrip van en gebrek aan transparantie door verantwoordelijken landelijk en europees zorgr voor steeds stenger worden van eisen waar verantwoordelijken aan moeten voldoen.

[Reactie gewijzigd door kodak op 25 januari 2025 14:45]

Bor Coördinator Frontpage Admins / FP Powermod @kodak23 januari 2025 18:38
Waar worden er grenzen opgerekt om geen onderwijs te leveren in dit geval?
Dat is een andere discussie. Ik stel dat er zorgen over zijn welke grenzen men toe past en of men wel duidelijke grenzen heeft. Ik stel wie die zorgen hebben, zoals bij de volksvertegenwoordiging en wetgeving.
Zelf verwijderd. Excuses.

[Reactie gewijzigd door vdr01 op 22 januari 2025 21:20]

Interessante podcast van een bedrijf dat niet geheimzinnig dit over een hack.
https://open.spotify.com/...ThRMz?si=cce4fab85b0949c7
Bor Coördinator Frontpage Admins / FP Powermod @rpd23 januari 2025 22:15
Ik heb hem even geluisterd maar het is lastig om hier doorheen te komen. De voice actors zijn echt heel erg slecht, de audio kwaliteit is niet al te best en de podcast bevat veel fluff dat niet echt interessant is voor het geheel. De vraag komt dan ook al snel boven hoe vergelijkbaar de hack bij Hoppenbrouwers is met de issues bij de TU/e. Het lijken verschillende cases te zijn.
Het ging mij niet om hoe vergelijkbaar de hack zelf is, maar om de manier waarop ze informatie over de hack delen.

Ik weet niet wat beter is hoor, daar durf ik niet over te oordelen, maar ik zie gewoon veel geheimzinnigheid over hacks tot ze in achterkamertjes alles tot in de puntjes hebben uitgezocht. En dan nog is het vaak vaag wat er gebeurd is en hoe het opgelost is. Ik vond de aanpak in de podcast wel interessant en leerzaam. Het was niet mijn intentie om de kwaliteit van de podcast te benadrukken.
Het hoeft echt een land te zijn dat erachter zit hoor. Zou ook best gewoon een crimineel kunnen zijn die uit was op geld, of een student die geen zin had in tentamens. Geduldig wachten dus.

Op dit item kan niet meer gereageerd worden.