De Universiteit Maastricht was niet goed voorbereid op de aanval met ransomware, eind vorig jaar. Wel is er adequaat gehandeld bij het afhandelen van de aanval, zo stelt de Inspectie van het Onderwijs na een onderzoek naar de toedracht.
Tijdens het incident wisten criminelen allerlei systemen van de universiteit te versleutelen. De UM heeft uiteindelijk 197.000 euro losgeld betaald. De Inspectie stelde een onderzoek in vanwege de omvang van de cyberaanval en daarmee de mogelijke risico’s voor de voortgang van het onderwijs en onderzoek. Dat onderzoek werd 12 juni 2020 aan de Tweede Kamer aangeboden. Conclusie is dat de UM adequaat ingreep tijdens de cyberaanval. Daardoor is de voortgang van onderwijs en onderzoek slechts beperkt in gevaar geweest; onderwijs en onderzoek waren van 24 december tot 2 januari verhinderd door de aanval.
De universiteit was echter niet goed voorbereid op de aanval, is een andere conclusie van de inspectie. Er was weliswaar aandacht voor bewustzijn en databeveiliging, maar die was vooral gericht op de AVG en niet op mogelijke cyberaanvallen. Een aantal zwakheden in de it-infrastructuur en organisatie van de Universiteit Maastricht hebben bijgedragen aan de omvang van de uiteindelijke ransomware-aanval. Bij een aantal servers in het netwerk waren bijvoorbeeld de laatste beveiligingsupdates niet geïnstalleerd . Daarnaast was er volgens de inspectie sprake van gebrekkige monitoring; er is niets gedaan met meldingen van een virusscanner. Mede daardoor is de malware niet gedetecteerd. De Inspectie heeft de Baseline Informatiebeveiliging Overheid (BIO) gebruikt als kader voor het onderzoek. Deze standaarden zijn: 1. vergroten bewustzijn, 2. veilige en open cultuur, 3. inrichten risicoteam, 4. borgen risicomanagement, 5. aandacht voorketensamenwerking, 6. controleren en evalueren en 7. geld investeren in informatiebeveiliging.
