Gehackt NWO adviseert: verwijder ontvangen bestanden

De NWO kampt met uitgeschakelde systemen en heeft op zijn nog wel functionerende website een vragenformulier en een FAQ (frequently asked questions) geplaatst. Door de hackaanval is de organisatie onbereikbaar per e-mail en via de vaste telefoonlijnen. In de initiële melding van de hack heeft de NWO gesteld geen mededelingen te doen over deze security-breach en de afhandeling ervan. Dit geldt lopende het onderzoek en tijdens de herstelwerkzaamheden, aldus de mededeling van zondag.

Afgelopen tijd ontvangen

In de inmiddels online gepubliceerde FAQ wordt toch wat meer gemeld over de hack. Dit niet zozeer over de oorzaak en of er sprake is van malware of zelfs ransomware. Wel dat de netwerkschijven zijn gehackt, waarop de data staan die NWO, SIA en NRO verwerken. Op die netwerkschijven staan ook de mailservers van de drie organisaties, aldus de FAQ. Verder is het systeem voor werving- en selectie geraakt; alle sollicitatierondes zijn dus voorlopig opgeschort.

Daarnaast komt er uit de antwoorden iets naar voren over de impact, die mogelijk toch breder kan zijn dan alleen de NWO zelf. In de FAQ is namelijk ook de vraag opgenomen 'Wat moet ik doen met bestanden die ik de afgelopen tijd van NWO/NRO/SIA heb ontvangen?', met een antwoord gericht op security: "Het veiligste wat u kunt doen, is deze verwijderen".

Daarbij vermeldt de NWO in dit antwoord ook dat het nu nog onduidelijk is wat de impact van de hack is. Eerder heeft AG Connect de tip gekregen dat externe contactpersonen te horen hebben gebruiken dat ze recent gedeelde bestanden vanuit de NWO beter niet kunnen openen. Een woordvoerster van de gehackte organisatie heeft daarover aan AG Connect uitgelegd dat hierop geen actief beleid wordt gevoerd, maar dat het als preventief advies kan worden gegeven als mensen vragen stellen over uitgewisselde bestanden. Deze maatregel is nu dus opgenomen in de FAQ.

Netwerk en applicaties down

De NWO gaf eerder ook aan dat zijn netwerk en de applicaties daarin voorlopig niet benaderbaar zijn. "De servers zijn gehackt. Op dit moment is alles erop gericht om het huidige probleem zo snel mogelijk te verhelpen. Het is op dit moment niet te zeggen hoelang deze situatie gaat duren." Door de uitval van servers, deels uit voorzorg zelf uitgevoerd, is het voor de wetenschapsorganisatie nu onmogelijk om zijn primaire proces (financiering voor de wetenschap) uit te voeren.

"Alle activiteiten die daarmee samenhangen, van het openen van nieuw calls tot het beoordelingsproces, zijn daarom tot nader order stilgelegd. Mails aan NWO’ers komen niet aan, en zullen daarom onbeantwoord blijven." Om de vragen van relaties te beantwoorden, is er op de extern gehoste website van de NWO een formulier geplaatst. Daarlangs ingediende vragen worden in behandeling genomen door een team van specialisten binnen NWO. Eventuele antwoorden kunnen in de FAQ worden opgenomen. "Kijk dus voordat u een vraag indient of uw vraag mogelijk al beantwoord is", stipt de NWO aan.

Hack bij UvA en HvA

Inmiddels zijn op woensdag (17 februari) ook hacks onthuld bij de Universiteit van Amsterdam en de Hogeschool van Amsterdam. Die twee onderwijsinstellingen delen hun ICT-systemen, waar onbekende derden zich toegang toe hebben verschaft. Een woordvoerster van de NWO antwoordt op vragen van AG Connect dat de hack bij Uva/HvA "geen direct gevolg" is van de hack van NWO. De UvA benadrukt in een eigen FAQ ook dat er geen link is met de situatie bij de NWO. 

Een beperkte steekproef van AG Connect bij HvA-gebruikers wijst uit dat diverse gebruikte applicaties daar woensdag nog wel naar behoren werken. Dit betreft het mailsysteem, beveiligde VPN-servers die worden gebruikt voor onderzoek, en het beheersysteem voor cijfers.