Als er geen les gegeven zou worden op de universiteit na bijvoorbeeld een ramkraak, zouden we dat met zijn allen begrijpen. Volgens expert Pieter Jansen, mede-oprichter van cybersecurity-investeringsfonds Ctrl+Alt+Invest is dat na een cyberaanval niet anders. “De theorie is nu dat er forensisch onderzoek wordt gedaan”, vertelt de cybersecurity-specialist. “Dit soort aanvallen komen vaak vanuit de georganiseerde misdaad en moeten dus ook als crime scene behandeld worden.”

Om wat voor aanval het precies gaat - en wat de hackers buit proberen te maken - is nog niet duidelijk. De systemen zijn offline gehaald om ‘ergere uitkomsten te voorkomen’. Ook dat is geen ongewone gang van zaken volgens Jansen: “De vraag bij dit soort onderzoeken is vooral ‘waar zitten ze, en welke toegang hebben ze’. Je kunt je back-ups wel terugzetten en vrolijk verdergaan, maar een hacker kan zijn acties verstoppen en een dag later ergens anders opduiken.” Volgens de expert wordt het dan een kat-en-muisspel tussen hacker en webbeheerder. Daarom is het van belang dat alles uitvoerig wordt gecontroleerd.

LEES MEER: Cyberaanval treft universiteit Eindhoven, grote gevolgen voor onderwijs

Ook op de Jheronimus Academy of Data Science in Den Bosch zijn de colleges deze maandag geschrapt. De onderwijsinstelling is een samenwerking tussen de universiteiten van Tilburg en Eindhoven en maakt gebruik van een computernetwerk van de TU. Maar de cyberaanval is volgens Jansen momenteel nog geen reden voor paniek: “Zoals ik het nu lees, hebben ze controle over de situatie. De belangrijkste impact op dit moment, is het stilliggen van het onderwijs.” De universiteit laat maandag om vier uur weten of het onderwijs op dinsdag wordt hervat.

Digitaal sleepnet
De Universiteit Maastricht werd in 2019 al getroffen door een cyberaanval, en nu is de TU/e de dupe. Toch vermoedt Jansen niet dat universiteiten bewust doel van dit soort aanvallen zijn: “Ik ken geen enkele groep die specifiek achter universiteiten aangaat.” Volgens hem kunnen hackers het web met een geautomatiseerd systeem scannen op veiligheidslekken, een soort digitaal sleepnet. “Vaak zijn de slachtoffers bedrijven of instanties waarvan de digitale beveiliging niet helemaal op orde is.”

En juist die beveiliging moet beter. Dat vindt niet alleen Pieter Jansen, ook de Europese Unie deelt die mening. Daarom kreeg de Nederlandse overheid tot 17 oktober 2024 om de cyberwetgeving aan te passen aan de Europese standaard, maar die termijn is inmiddels al verstreken. Die nieuwe standaard is volgens Jansen niet heel verschillend van de afspraken die er nu liggen, het scherpt vooral bestaande wetgeving aan.

Zo moeten er in de toekomst meer sectoren aan de regels voldoen. Momenteel geldt deze enkel voor zogenoemde ‘essentiële bedrijven’, zoals bijvoorbeeld de gezondheidszorg, banken en de energiesector. De nieuwe richtlijn zal ook van toepassing zijn op ‘grote bedrijven’, dat zijn onder andere koeriersdiensten, voedselindustrie en afvalverwerking. Universiteiten en hogescholen vallen daar nog niet onder, maar Jansen vermoedt dat dit in de uiteindelijke wetgeving wél het geval zal zijn.