Verhaal
Wanneer de school het doelwit van hackers is
Een cyberaanval legt de website en applicaties van het Scheppersinstituut in Wetteren plat. De hackers vinden de zwakke plek in de ICT-infrastructuur: de wachtwoorden. Technisch directeur Bart Bruggeman: “Vreselijk die aanval. Maar ook een kans om onze cyberveiligheid te versterken.”
Frank De la Marche, ICT-verantwoordelijke: “Nog voor de schoolbel galmt, verschijnen er vreemde vensters op onze server. Hackers vallen ons aan. Niet met ransomware of gijzelsoftware in een e-mailbericht, maar door zich met gelekte wachtwoorden via een domein administrator aan te melden op onze virtuele omgeving. We zijn toeschouwers: het gebeurt gewoon voor onze neus.”
“Met scripts versleutelen ze onze server-bestanden. Af en toe voegen ze een boodschap toe: ‘Wij zijn Vice Society. Betaal met bitcoins op deze rekening, anders lekken we de gestolen data.’ Behoorlijk hallucinant. Je weet wel dat cyberaanvallen de nieuwe bankovervallen zijn en data het nieuwe goud, maar wij zijn een kleine garnaal. Waarom viseren ze ons? En hoeveel bestanden hebben ze te pakken?”
Bart Bruggeman, technisch adviseur: “De keuze voor een virtuele omgeving en zero clients maakten we 10 jaar geleden voor onze ouders. We willen niet dat zij peperdure laptops in huis moeten halen om zware tekenpakketten te draaien. Door zich aan te melden op onze virtuele omgeving, tekenen leerlingen thuis verder op lichtere, betaalbare pc’s.”
“Onze mensen van de administratie en leraren kunnen thuis ook hun schoolcomputers overnemen. ‘Sla niets op je eigen pc op’, raden we iedereen al jaren aan. Je documenten staan veel veiliger op de schoolserver. Tot malafide hackers je deur forceren natuurlijk. Het verklaart meteen waarom enkele programma’s op dinsdagavond al haperden. Maar omdat zoiets nog wel eens gebeurt, ging bij ons nog geen rode lamp branden.”
12 UUR LATER
De impact op school
Frank De la Marche: “Onze online omgeving mag dan plat liggen, de lessen moeten doorgaan en de mensen van de administratie verder kunnen. Met het ICT-team en enkele beleidsmensen combineren we het onderzoek naar de aanval met collega’s bevoorraden. We halen laptops uit onze stock en installeren snel de juiste programma’s.”
Bart Bruggeman: “De superkracht van leraren: ze zijn ontzettend creatief en flexibel. Ze schakelen vlot naar nieuwe werkvormen en tools. Toch weegt de aanval op onze werking. Leraren kunnen niet aan digitaal cursusmateriaal, puntenboeken en tekenprogramma’s. En net nu komen keurders onze elektrische kasten bekijken. Zonder schema’s of documenten, sta je nergens.”
“Het nieuws van de cyberaanval verspreidt zich als een lopend vuurtje. We beslissen open en eerlijk te communiceren: geen geheimen, geen paniek. Op woensdag leggen we klacht neer bij de politie, contacteren we externe experten zoals CCB (Centrum voor Cybersecurity België) en de koepel. Ouders houden we ook op de hoogte, via sociale media. En hoewel we nog geen zicht hebben op de buit, beslissen we dat criminelen betalen geen optie is.”
Frank De la Marche: “Met een kerngroep stellen we prioriteiten op en houden we de vooruitgang bij. Ook onze zondag gaat op aan spoedberaad. Onze eerste taken: de recentste back-up zoeken en de administratie en Schoolware-omgeving met puntenboeken en agenda’s herstellen. Omdat de administratie van 21 scholen uit de buurt ook op onze server draait, voelen we ons extra verantwoordelijk. Nog dringend: de website online krijgen. Daar lopen net op dat ogenblik de inschrijvingen voor de infodagen begin februari.”
12 DAGEN LATER
De zucht van opluchting
Frank De la Marche: “Speuren naar recente back-up levert vrij snel resultaat op. Eerst vinden we in ons datacentrum in Diegem een reservekopie van 6 maanden geleden terug, daarna eentje van anderhalve maand geleden. Nog enkele dagen later komt de echte verlossing: een collega vindt een back-up van de dag vóór de aanval. Enter slaap, eindelijk!”
“Voor de technici: de hackers hadden de NAS (Network Attached Storage) met een capaciteit van 32 terabyte van ons opslagsysteem Synology teruggezet naar fabrieksinstellingen. Niet hun slimste zet. De data waren daardoor haast onbereikbaar voor iedereen, maar niet van de schijven gewist. We slagen erin om tot daar door te dringen en recupereren alles.”
Bart Bruggeman: “Na anderhalve week kunnen we onze website online zetten. Intussen leert een uitstap naar het dark web dat de gelekte data meevallen. Het gaat om foto’s van schooluitstappen en stukjes cursusmateriaal. Zeker vervelend, maar gelukkig niet meer dan dat.”
“We komen er ook meer te weten over de aanvallers: ze geven zich uit voor een Russischtalig collectief dat vooral Amerikaanse scholen en non-profitorganisaties viseert. Professionals of semi-amateurs? Het tweede wellicht. Maar ze zitten niet stil: we merken aan de gestolen files dat we niet het enige Vlaamse slachtoffer zijn. En dat ze zelfs kredietkaartnummers van verschillende organisaties in handen hebben.”
Frank De la Marche: “Op school delen we nieuwe logins en paswoorden uit. We drukken leraren en leerlingen op het hart om ze slim aan te passen, niet voor geboortedata of andere zoekbare info te kiezen en ze weg te stoppen in een kluis. Tegelijkertijd kondigen we de 2-staps-authenticatie aan. Aanmelden met zo’n 2-stap is als fietsen met valhelm. Je denkt eerst: moet dat echt? Tot iemand op de stoeprand smakt. Vandaag snapt ieder teamlid de noodzaak en voelen we veel begrip voor de maatregel.”
“We verhuizen alles van onze fileserver naar de Office365-omgeving. Dat plan lag al klaar, maar onze geleidelijke koers – de wet van de traagheid: als je mensen overvalt, verlies je ze – schakelt door de aanval een handvol versnellingen hoger. Alle administratieve data zitten vandaag in Teams, alle ‘Mijn Documenten’-mappen in OneDrive. We helpen onze collega’s verhuizen door vormingen voor Teams aan te bieden.”
12 WEKEN LATER
De centen voor de veiligheid
Bart Bruggeman: “Intussen is de rust grotendeels terug. We blijven wekelijks communiceren over de successen en plannen van ons ICT-team. Alleen de view-omgeving staat nog niet open voor externe applicaties. Dat doen we pas als de 2-staps-authenticatie operationeel is. Alleen dan weten we zeker: wie zich aanmeldt, is écht wie hij beweert te zijn. We proberen dat in het derde trimester te regelen. 1 van de issues: wat doe je met 12-jarigen die nog geen gsm hebben of met leraren die zweren bij een oud toestel?”
“We werken hard om dat alles in orde te krijgen. Want de tijd tikt. Als leerlingen thuis niet op de tekenprogramma’s kunnen, lopen eindprojecten vertraging op. En leraren die een paasexamen planden voor technisch tekenen, verplaatsen dat naar het derde trimester of zetten leerlingen voor 1 keer op papier aan het werk.”
Frank De la Marche: “Een belangrijke les? De aanval leert ons dat gebruikersgemak te sterk voorrang kreeg op veiligheid waardoor onze verdediging gaten had. Met een optelsom aan maatregelen staan we binnenkort sterker: onze verhuis naar Office365, 2-factor-aanmeldingen, sterkere wachtwoorden en meer (offline) back-ups. En bij het opzetten van de serveromgeving bouwen we poorten in zodat je zelfs met een domein-administrator niet overal aankan.”
Bart Bruggeman: “Ook al stop je als school centen 100 keer liever in je mensen en machines, toch zetten we in de toekomst wat extra budget opzij voor veiligheid. Voor een technische school in een Vlaamse provinciestad loopt geen buitenlandse hacker warm, dachten we. Die mikken op steden en multinationals. Maar plots ben je een pion op een duister spelbord. Gelukkig vonden we zelf de weg naar de uitgang.”
SLUIT DE DEUR VOOR HACKERS
4 haalbare ingrepen
Katrien Eggers, woordvoerder Centrum voor Cybersecurity België: “Cybercriminelen zoeken naar kwetsbare systemen met onbeschermde persoonlijke info en belanden ‘toevallig’ bij een school. Data versleutelen ze en steeds vaker stelen ze ook gegevens. Die dreigen ze openbaar te maken als je niet met centen over de brug komt.”
“Naast ransomware en phishing zijn er ook DDoS-aanvallen. Daarbij melden duizenden computers zich tegelijkertijd op 1 website aan. Die crasht dan. Soms is de oorzaak vrij onschuldig – iedereen moet een premie op dezelfde website aanvragen –, soms illegaal en georchestreerd. Criminelen besmetten toestellen en camera’s met een slapend virus. Tegen de juiste prijs richten ze zich massaal op dezelfde website.”
“Investeren in je ICT-infrastructuur en -veiligheid is duur. En scholen zitten niet op een berg geld. Start daarom met deze 4 betaalbare ingrepen.”
- “Maak regelmatig back-ups die je offline of in de cloud bewaart, want ransomware valt ook je online opslag aan. Weet waar je updates zich bevinden en test ze regelmatig.”
- “Gebruik 2-factor-authenticatie. Met een extra aanmeldcode op je smartphone of gezichtsherkenning pareer je ongeveer 80% van de aanvallen. Geen populaire maatregel omdat het extra gedoe is? Toch zijn er scholen die al 3 jaar met 2FA werken op digitale platformen.”
- “Leer je leraren en leerlingen phishing herkennen. Een verdachte mail over een pakje dat je niet bestelde of een bizarre betalingsvraag? Met een vreemde bijlage of een link die vervolgens naar je wachtwoord vraagt? Dan moeten de alarmbellen altijd afgaan: afblijven!”
- “Updates werken zwakke plekken in je software weg. Voer ze tijdig uit, als je IT-dienst daarom vraagt. Want wie ze nodeloos uitstelt, zet de deur op een kier voor hackers.”
Lees meer over cyberveiligheid en privacy op Digisprong.
Log in om te bewaren
Laat een reactie achter