Code Rood tijdens de lunch
Het was muisstil in de centrale hal van Universiteit van Europees Ivy (UEI) op woensdagmiddag. Geen tikkende vingers op toetsenborden, geen gezoem van de ventilatoren. Op de grote schermen in de aula stond slechts één boodschap in knipperende rode letters: “UW SYSTEEM IS VERSLEUTELD. BETAAL 50 BITCOIN OF VERLIES UW DATA.”
Gelukkig was de portemonnee van de universiteit veilig. Dit was de finale van ‘Operation Digital Delta’, de jaarlijkse cybersecurity-simulatie in het kader van de Europese Cybermaand. Maar wat begon als een gecontroleerd experiment in een afgeschermde omgeving, eindigde in een pijnlijke reality check voor de faculteit.
De aanval: Studenten vs. Docenten
Het scenario was simpel: Een team van 20 masterstudenten Computer Science & AI (het ‘Red Team’) kreeg 24 uur de tijd om in te breken in een fictief ziekenhuissysteem, verdedigd door een ‘Blue Team’ van docenten en externe experts van KPN Security. Tegelijkertijd moest een groep PPE-studenten (het ‘Crisis Cabinet’) de media-communicatie en ethische dilemma’s beheren.
De verwachting was dat het Blue Team, met hun jarenlange ervaring, de studenten makkelijk zou afslaan. De realiteit was anders.
“We hebben niet geprobeerd de firewall met brute kracht te doorbreken,” grinnikt teamleider en tweedejaars masterstudent Jeroen de Wit. “We wisten dat prof. Van der Meer (hoofd IT-beveiliging) een zwak heeft voor jazzmuziek. We stuurden hem een phishing-mail met een link naar een zogenaamde ‘zeldzame Coltrane-opname’. Hij klikte binnen drie minuten.”
Via die ene klik kregen de studenten toegang tot het netwerk. Binnen vier uur hadden ze ‘admin-rechten’ verkregen.
De glitch: Wanneer simulatie werkelijkheid wordt
Het incident dat nog lang besproken zal worden bij de koffieautomaten, betreft juist die automaten. Hoewel de simulatie plaatsvond op een air-gapped (fysiek losgekoppeld) netwerk, bleek een oude IoT-gateway per ongeluk nog verbonden te zijn met het facilitaire netwerk van gebouw 909.
Toen de studenten een script draaiden om alle slimme schermen in de simulatie over te nemen, sprongen ook de drie espressomachines in de docentenkamer op slot. In plaats van een cappuccino, kregen dorstige professoren een pixel-art afbeelding van een lachende schedel te zien.
“Het was een onbedoelde bijwerking,” geeft Jeroen toe. “Maar het liet wel perfect zien hoe kwetsbaar het Internet of Things is. Je koelkast kan de achterdeur zijn voor een hacker.”
Verlamming in het Crisis Cabinet
Terwijl de techneuten vochten om de code, speelde zich een ander drama af bij de PPE-studenten. Hun opdracht was om te beslissen: betalen we de (fictieve) hackers, of riskeren we dat patiëntgegevens op straat komen te liggen?
“Het was frustrerend om te zien,” observeerde rector Willem van Naaldwijk, die de rol van ‘Minister van Volksgezondheid’ speelde. “De studenten verzonken in een diep filosofisch debat over de morele implicaties van het financieren van criminaliteit. Ze citeerden Kant en Utilitarisme, maar vergaten ondertussen dat de klok tikte. In een echte crisis heb je geen tijd voor een scriptie; je moet handelen.”
Uiteindelijk besloot het Crisis Cabinet ná de deadline om niet te betalen, wat in de simulatie leidde tot het ‘lekken’ van duizenden dossiers. Een harde les: niet kiezen is ook een keuze.
Lessen voor de toekomst
De simulatie eindigde donderdagmiddag met een debriefing (en pizza). De sfeer was opgelucht, maar serieus. De oefening heeft blootgelegd dat technische verdediging zinloos is als de menselijke factor – de neiging om op linkjes te klikken – niet wordt aangepakt.
Universiteit van Europees Ivy heeft direct maatregelen aangekondigd. Vanaf volgende maand is ‘Social Engineering’ een verplicht onderdeel van de introductie voor alle eerstejaars, ongeacht hun studierichting. En de koffieautomaten? Die zijn losgekoppeld van het internet.
“We hebben verloren van onze studenten,” concludeerde prof. Van der Meer sportief, terwijl hij eindelijk weer een werkende koffie tapte. “En dat is precies waarom we goede leraren zijn. We hebben ze geleerd ons te overtreffen.”
Leave a Reply