De cyberaanval die begin dit jaar plaatsvond op het ict-netwerk van de Technische Universiteit Eindhoven (TU/e) is mogelijk het gevolg van het ontbreken van multifactorauthenticatie (mfa) op de vpn-verbinding. Hierdoor konden aanvallers eenvoudig toegang krijgen tot het interne netwerk, vermoedelijk met gestolen inloggegevens. De universiteit heeft naar aanleiding van de aanval een nieuwe vpn-verbinding mét multifactor-authenticatie geïnstalleerd.
Dat blijkt uit een uitgebreide publicatie waarin de TU/e deelt hoe de universiteit te werk ging na de cyberaanval die op zaterdag 11 januari 2025 plaatvond. Er zijn naar aanleiding van die aanval verbeteringen doorgevoerd, zoals het installeren van een nieuwe vpn-verbinding met multifactor-authenticatie (mfa), schrijft TU/e.
De universiteit wil op dit moment niet bevestigen of dat ook de plek is waar de indringers het netwerk inkwamen of dat het installeren van een nieuwe vpn met mfa een algemene stap is om de cyberbeveiliging te verbeteren. TU/e publiceert op 19 mei 2025 externe onderzoeken waarin die details mogelijk wel worden gemeld. Het gaat om een forensisch onderzoek dat is uitgevoerd door cybersecuritybedrijf Fox-IT dat de universiteit ook bijstond tijdens de crisis. Daarnaast evalueert het Instituut voor Veiligheids- en Crisismanagement (COT) hoe de crisisorganisatie heeft gefunctioneerd.
Legacy-server?
De situatie bij TU/e onderstreept het belang van extra beveiligingslagen bij externe toegang tot grote ict-netwerken. ‘Meerlaagse identificatie is wel gebruikelijk bij alles waarop in zo’n grote organisatie wordt ingelogd, dus ook bij vpn. Mogelijk was er sprake van een legacy-server’, deelt een beveiligingsexpert die niet bij de universiteit betrokken is desgevraagd met Computable.
In het verslag staat ook dat de capaciteit van securitydiensten is verhoogd om alle bewegingen op het netwerk nog beter te monitoren. Op dit moment is niet bekend wie de daders achter de cyberaanval zijn en er loopt een politieonderzoek.
Uitschakelen netwerk
Om het verlies van data tegen te gaan, besloot de universiteit om in de nacht van 12 januari het volledige netwerk uit te schakelen. Dat had grote gevolgen voor onder meer studenten. Colleges werden geannuleerd en de campus ging op slot. ‘Dankzij snelle actie, waaronder de moeilijke beslissing om die nacht alle interne en externe systemen plat te leggen, werd het ergste voorkomen’, blikt de TU/e terug.
Betrokkenen uit het crisisteam stellen dat ze die keuze vooral durfden te maken omdat ze bij incidenttrainingen regelmatig dergelijke scenario’s hebben doorlopen. ‘Als we niet hadden geoefend, hadden we het misschien niet aangedurfd om die nacht alles uit te zetten’, stelt Bert van Iersel adjunct-directeur de dienst Library & Information Services (LIS) in de publicatie.
It-experts
TU/e beschikt over geautomatiseerde systemen die dagelijks duizenden verdachte activiteiten detecteren. Maar cybercriminelen kwamen via gelekte inloggegevens toch het netwerk binnen en probeerden de volgende beveiligingslagen, die ze tegenkwamen, te kraken om dieper het netwerk binnen te dringen. Inmiddels ‘draait’ de universiteit weer als normaal. Toch echoot de ervaring nog steeds in allerlei hoeken van de onderwijsinstelling door, schrijft TU/e in de aankondiging van het dossier over de cyberaanval. Daarin delen zeventien leden van de TU/e-achterban hun ervaringen. Het gaat onder meer om it-experts, studenten, planners en hoogleraren. Ze onthullen onder meer details over de technische respons en het teamwerk tijdens die ontwrichtende cyberaanval.
Vpn en mfa
Vpn staat voor virtual private network. Het is een technologie die een versleutelde verbinding maakt tussen een apparaat en het internet via een beveiligde server.
Multifactorauthenticatie (mfa), ofwel meervoudige verificatie, voegt een extra beveiligingslaag toe aan het inlogproces, meestal naast een wachtwoord. Dat gaat bijvoorbeeld via en code via sms, een authenticatie-app of een vingerafdruk of gezichtsherkenning
