Bij een universiteitsbrede noodsituatie is Groothuis als vicevoorzitter van het College van Bestuur de eerste aangewezen persoon die leidinggeeft aan het Centraal Crisisteam (CCT). “Het is mijn taak om rust, regie en duidelijkheid te creëren in de aanpak, communicatie en alles daaromheen.” Sinds de eerste verdachte activiteiten op zaterdagavond, heeft hij al zijn uren aan de cyberaanval besteed.

Zaterdagavond zijn er verdachte activiteiten gezien in het netwerk. Hoe zagen die eruit?

“Het forensisch onderzoek loopt nog, dus ik kan niet te veel details geven. Je kan het vergelijken met het beveiligen van een huis. Je hebt goed hang- en sluitwerk en bewegingssensoren, die verbonden zijn met een alarmcentrale. Zo werkt het eigenlijk ook bij het netwerk. We proberen het netwerk natuurlijk zo goed mogelijk te beveiligen, maar je kunt niet uitsluiten dat er toch ergens een gaatje zit. De detectiesystemen werkten gelukkig. Onze IT-experts zagen dat iemand bezig was met een inbraak. Op basis van die verdachte activiteiten werden maatregelen genomen om de inbraak tegen te gaan, als een soort kat-en-muisspel. Tot op een gegeven moment besloten is om aan de noodrem te trekken.”

Hoe is er daarna gehandeld?

“We hebben een CCT opgezet. Die heeft een vaste bezetting van diverse directeuren, de secretaris van de universiteit, veiligheidsexperts, woordvoerders en is aangevuld met specifieke expertise op IT-gebied en onderzoek door een decaan en een managing director toe te voegen. Aan het CCT zijn vier operations teams verbonden. Naast het IT-team, wat natuurlijk al up-and-running was, zijn ook een team onderwijs, een team onderzoek en een team campus ingericht. Die voorzagen het CCT van informatie over wat er nog wel en niet mogelijk was. Op die manier kregen we een beeld van de impact op de hele organisatie.”

Hoe is het crisisteam te werk gegaan?

“Van zondag tot vandaag zijn we dagelijks fysiek bij elkaar gekomen om te overleggen, met zo’n twaalf mensen. Medewerkers van LIS en de externe IT-experts hebben de eerste nachten doorgewerkt, later nog in ploegen- en waakdiensten, mocht een bepaalde expertise nodig blijken te zijn. Er ontstond binnen het hele team een soort oerinstinct: de drive om zo snel mogelijk een oplossing te vinden. Dat zien we zien op dit moment ook bij de mensen van ESA, die hebben ook weer het weekend doorgewerkt om studenten duidelijkheid te kunnen geven en docenten te ondersteunen. Bij mezelf merkte ik het ook. Je staat aan en gaat moeilijk uit. Dit was prioriteit nummer één.

We kozen ervoor om een hele duidelijke communicatielijn te volgen, zowel naar binnen als naar buiten. Iedere dag om twaalf uur vond er een briefing plaats aan het management, de directeuren en decanen. En vervolgens om vier uur de communicatie naar buiten toe, zodat iedereen niet continu hoefde te kijken of er al nieuws was.”

Hoe verloopt het contact met de autoriteiten?

“Via onze veiligheidsfunctionarissen hebben we allerlei lijntjes lopen, onder andere naar de politie. Daar is een melding gedaan, waarop de politie een onderzoek heeft ingesteld. Zij kijken nu wat ze kunnen achterhalen ten aanzien van de identiteit van de hackers. Daar is nog niks over bekend, als we daar al ooit achter komen. Daarnaast heb ik contact met het ministerie van Onderwijs, Cultuur en Wetenschap, de onderwijsinspectie en andere stakeholders. Minister Bruins van OCW heeft vorige week nog gebeld om zich te laten informeren en zijn steun uit te spreken. Die support krijgen we van alle kanten.”

Was de TU/e voldoende voorbereid op deze cyberaanval?

“We kunnen concluderen dat de investeringen, die we de afgelopen vier jaar hebben gedaan in cyberweerbaarheid, hebben gewerkt. Als dit drie of vier jaar geleden was gebeurd, weet ik niet of we hier zo vandaag hadden gestaan. Een universiteit is een ingewikkelde organisatie, ook qua IT. Je kunt niet uitsluiten dat er ergens een gaatje in het systeem zit. Bovendien, als hackers bij de FBI kunnen inbreken, dan zullen ze dat ook op andere plekken kunnen. Dat gezegd hebbende, denk ik dat we adequaat hebben gehandeld.”

Kunnen we dan spreken van een mislukte hack?

“Dat oordeel laat ik graag aan anderen. We waren voldoende voorbereid, gezien onze cyberweerbaarheid. Dat is meer dan alleen beveiligen. Dat zit ook in detectie en reactie en daarvoor natuurlijk nog in bewustheid onder medewerkers en studenten. Wat dat betreft kun je zeggen dat het goed op orde was, maar ik zeg daarbij ook meteen: we moeten blijven investeren en verbeteren. Het is nooit af.”

Zijn er al lessen te trekken uit de reactie op de cyberaanval?

“Dat is nog te vroeg. Het forensisch onderzoek loopt nog. Dat wachten we af. We laten ook een evaluatie uitvoeren door een externe partij, die gaat kijken naar de hele crisisbeheersing. Er zijn ongetwijfeld dingen voor verbetering vatbaar. Die lessen willen we zowel intern als extern delen. Op basis van forensisch onderzoek hebben IT-experts natuurlijk aanvullende maatregelen genomen. Ik kan alleen niet delen welke dat zijn.”

Wat vond je van de reactie van de TU/e-gemeenschap op de cyberaanval?

“Ik ben ontzettend onder de indruk van de veerkracht van alle studenten. Opeens kun je niks meer en is er veel onduidelijk. En dat net voor de tentamens. Ik vind dat studenten onder die omstandigheden veel begrip hebben getoond. Natuurlijk waren er zorgen, maar ik denk dat we die zo goed mogelijk hebben weggemasseerd. Ook vanuit de faculteiten, bij het wetenschappelijk en ondersteunend personeel, kwamen er overwegend positieve signalen.

Terugkijkend denk ik dat we de juiste keuze hebben gemaakt in hoe we de impact hebben proberen te beperken. Het was zoeken om de juiste balans te vinden, om de impact op studenten en docenten zo klein mogelijk te houden. We willen aan beide kanten de werkdruk niet verhogen of ze het gevoel geven dat zij het moeten oplossen. Natuurlijk vindt een aantal docenten het vervelend dat ze te maken krijgen met extra werk, en daar hebben we aandacht voor. Dat kun je nooit honderd procent wegnemen.”

Vanuit de politiek werd gereageerd met een pleidooi voor een 48-uursplan om analoog door te kunnen draaien bij een verstoring van het netwerk. Gaat de TU/e zo’n plan maken?

“Het ligt voor de hand dat je daarnaar gaat kijken in de evaluatie, maar het moet ook organiseerbaar en betaalbaar zijn. Als bepaalde gebeurtenissen het risico hebben dat je er drie maanden uitligt, dan is de impact anders dan als je het binnen een week voor het grootste gedeelte kunt oplossen. Je moet dus het risico en de impact meewegen in passende maatregelen.”