Wetsus. Foto LC

Wetsus werd 8 dagen gegijzeld door een hacker: 'We zaten in een slechte film'

Wetsus. Foto LC

Het computernetwerk van Wetsus in Leeuwarden is acht dagen lang gegijzeld geweest door een hacker. Wetsus betaalde losgeld, maar kreeg niet meteen alle ‘sleutels’ terug.

Het waren verschrikkelijke dagen, zegt algemeen directeur Johannes Boonstra. ,,We zaten in een totaal slechte film.’’ Sinds vorige week maandag is hij met een team specialisten dag en nacht in de slag geweest met de onbekende afperser die het netwerk van het wetenschappelijk instituut voor watertechnologie in zijn greep had.

Pas sinds gistermiddag om twaalf uur, na slopende onderhandelingen en meerdere betalingen, kan elk van de ongeveer 150 medewerkers, 60 onderzoekers en 50 studenten weer ongehinderd op het computernetwerk terecht.

Patroon

,,Normaal patroon is dat de hacker losgeld eist. En als je dat betaalt, krijg je snel het digitale gereedschap om alle bestanden en programma’s terug te zetten’’, zegt Boonstra, die tot vorige week geen weet had van deze erecode. ,,Je leert snel bij.’’ Maar Wetsus kreeg te maken met een hacker zonder eer.

Boonstra over het verloop: ,,Vorige week maandagochtend verscheen op de centrale computer een plaatje van een klassiek doodshoofd. Daaronder in het Engels ongeveer de tekst: wil je de bestanden terug, mail me dan. We hebben onmiddellijk aangifte gedaan bij de politie en contact gezocht met alle relevante instanties, zoals het Nationaal Cyber Security Centrum en Fox-IT. En we zijn expertise gaan verzamelen. De Universiteit van Maastricht, die onlangs gehackt is geweest, heeft ons fantastisch geholpen.’’

Lees ook: ‘Hackers houd je niet alleen met technologie buiten’ (LC+)

Betalen

Wie gehackt is, heeft in principe twee opties. ,,Beide even beroerd. Je zet de backups terug, die je dagelijks en wekelijks maakt. Daarmee ben je een paar dagen zoet en je krijgt niet alles terug. Er gaan onderzoeksgegevens van een paar dagen verloren. Of je betaalt losgeld.’’

De hoogte van het geëiste bedrag geeft Boonstra op advies van de politie niet prijs. ,,Dan help je de cybercriminelen om een soort prijslijst samen te stellen.’’ Hij wil wel kwijt dat er uiteindelijk ,,een fractie’’ is betaald van de 197.000 euro die de Universiteit van Maastricht moest neertellen.

De Wetsus-staf telde haar knopen. De schade bij niet-betalen zou vele malen groter zijn dan bij wel betalen. ,,Hoewel het ons erg tegen de borst stuitte, besloten we te betalen.’’ Dat betalen ging in bitcoins.

Stukje code

Dinsdagochtend werd er betaald. ,,En we waren in blijde verwachting van tools, gereedschap waarmee we weer toegang konden krijgen tot bestanden en programma’s.’’ Na uren wachten arriveerde er dinsdagmiddag per mail een eerste ‘sleutel’, een stukje code.

Daarmee kreeg Wetsus echter niet alle 15 servers aan de praat. ,,Steeds als we wat probeerden, raakte er weer ander spul in de hobbel.’’

,,We hebben wel een keer of 50 á 70 mailcontact gehad. Soms liet hij 12 uur lang niks van zich horen.’’ Erger, de finale code kwam niet.

‘Meer geld’

,,Vrijdag meldde hij zich opnieuw. Hij wilde meer geld. Niet veel, maar toch.’’ Dat was tegen de erecode. Boonstra c.s. waren boos, maar gingen opnieuw de onderhandelingen aan. ,,Wij hebben gezegd : stuur eerst de codes, daarna betalen we, dan stuur jij de laatste codes. Zo niet, dan vallen we terug op de backups. Dan verliezen wij, maar jij ook. Toen gaf hij rap toe.’’

,,We hadden de pech dat we te maken hadden met een niet-communicatieve hacker die waarschijnlijk ook niet erg deskundig was. Ik kan me voorstellen dat ook hackers onderling geen waardering hebben voor iemand die hun businessmodel om zeep helpt.’’

Miniem kiertje

Boonstra vindt het belangrijk om openheid te geven. ,,Veel bedrijven schamen zich. Maar het kan echt iedereen overkomen. Als je vandaag 100 procent beveiligd bent, kun je dat morgen niet meer zijn. Volgens specialisten was onze bescherming up-to-date . ‘’

,,Maar één miniem kiertje, en ze wurmen zich naar binnen. Je bent echt super kwetsbaar. Als bedrijf kan het je de kop kosten. Wij hebben het geluk gehad dat we met stand-alone computers redelijk konden doorwerken. Ons belangrijkste werk, het onderzoek, kon gewoon doorgaan. Er zijn voor zover bekend geen data gelekt.’’ Wetsus heeft experts volledige toegang gegeven tot de systemen om lering te trekken.

Plus artikel gelezen
Je las zojuist een artikel.
Onbeperkt PREMIUM-artikelen lezen?

Lees nu PREMIUM vanaf € 1,15 per week. Je krijgt dan onbeperkt toegang tot al onze artikelen, video’s, columns en meer.

Probeer PREMIUM direct