Cyberaanval Technische Universiteit Eindhoven, vijf geleerde lessen

Een cyberaanval op je onderwijsinstelling is geen kwestie van óf, maar wanneer het gebeurt.” We hebben de Technische Universiteit Eindhoven (TU/e) gevraagd welke lessen ze hebben geleerd. Met hun tips maak je je jouw instelling nog meer cyberweerbaar.

"De juiste mindset maakt het verschil bij crisisgovernance"

Hoe hadden jullie vooraf de rolverdeling en besluitvorming tussen CISO, CIO, bestuur en communicatie ingericht? Werkte dit in de praktijk, en wat is jullie belangrijkste tip voor andere instellingen om governance in crisistijd goed te laten functioneren?

Bij TU/e is een formele crisisorganisatie ingericht, met duidelijke mandaten voor de CISO, CIO, het bestuur en de communicatieafdeling. Deze structuur is vastgelegd in een crisisplan met escalatiepaden, bellijsten, vaste vergaderruimtes en een Signal-groep voor snelle communicatie.

In de praktijk werkte dit goed, maar het echte verschil werd gemaakt door training van de juiste crisis mindset. We hebben geoefend met gedrag onder druk: directiever vergaderen, prioriteren onder stress en snel beslissingen nemen met beperkte informatie.

Onze tip aan andere instellingen: zorg niet alleen voor een goede structuur, maar investeer juist in de gedragskant. Want uiteindelijk is het de mindset van mensen die bepaalt of governance tijdens een cybercrisis echt functioneert. Tijdens een cyberaanval is het niet alleen je plan, maar vooral je mindset die bepaalt of je overeind blijft.”

Wil je jouw crisisstructuur versterken vóórdat een cyberaanval toeslaat? Bekijk de tips en handvatten.

"Cyberbewustzijn is meer dan IT: betrek de hele organisatie"

Welke awarenessmaatregelen en trainingen hadden jullie vooraf getroffen bij medewerkers en studenten? Hoe effectief bleken die in het signaleren en melden van de cyberaanval? En wat adviseren jullie andere instellingen om de menselijke factor beter voor te bereiden op cyberdreigingen?

Bij TU/e voeren we regelmatig awarenesscampagnes, phishing-simulaties en geven we bij de onboarding informatie over cybersecurity. Toch merken we dat dit in de sector vaak nog onvoldoende is. Een weerbare mindset vraagt meer dan alleen kennis: het vereist bewust gedrag én structurele aandacht in het dagelijks werk en onderwijs.

Net zoals de overheid adviseert om contant geld achter de hand te houden, zouden we in het onderwijs ook explicieter moeten nadenken over digitale continuïteit: hoe blijven onderwijs en onderzoek functioneren als systemen of applicaties uitvallen? Die vraag hoort al bij de inrichting van processen en technologie, niet pas tijdens een incident.

Onze boodschap aan andere instellingen: beschouw awareness niet als een puur IT-vraagstuk. Cyberweerbaarheid vraagt om afwegingen tussen beschikbaarheid en gebruikersgemak — en dat betekent dat docenten, onderzoekers én studenten actief betrokken moeten worden.

Ben je benieuwd hoe je security awareness écht onderdeel maakt van je organisatiecultuur? Op de pagina Awareness en Training lees je hier meer over

"Grootste cyberrisico’s? Oude systemen en uitgestelde maatregelen"

Welke technische verdedigingsmaatregelen hadden jullie vooraf ingericht? Hoe effectief bleken die tijdens de cyberaanval? En wat zouden jullie met de kennis van nu anders doen?

Vooraf hadden we een reeks verdedigingsmaatregelen ingericht zoals netwerksegmentatie, monitoring, back-ups en multi-factor authenticatie (MFA). Toch bleek opnieuw dat een crisis zelden één oorzaak heeft. In ons geval kwamen drie bekende kwetsbaarheden samen: gecompromitteerde gebruikerscredentials, een toegangspad zonder MFA en een verouderd protocol dat werd misbruikt.

Met de kennis van nu zouden we direct meer aandacht geven aan het oplossen van oude kwetsbaarheden. De verleiding is groot om te focussen op nieuwe tools, innovaties en threat intelligence — maar veel incidenten ontstaan door zaken die al jarenlang bekend zijn. Het probleem zit niet in onwetendheid, maar in het uitstellen van maatregelen.

Onze belangrijkste les: de grootste cyberrisico’s zitten vaak in de uitzonderingen, de legacy-systemen, en de maatregelen die “nog even” worden uitgesteld. Als sector moeten we die beter herkennen, erkennen en er structureel op sturen.

Ben je benieuwd hoe je jouw systemen beter kunt beschermen tegen een cyberaanval? Op de pagina Technische Weerbaarheid lees je hier meer over.

"Continuïteit vraagt meer dan IT: denk ook onderwijskundig en organisatorisch"

Welke voorbereidingen hadden jullie getroffen om onderwijs en onderzoek tijdens een cybercrisis te kunnen voortzetten? Hoe goed werkte dat in de praktijk, en wat zijn de belangrijkste lessen?

Voor een scenario waarin het volledige netwerk platligt en alle processen worden geraakt, hadden we vooraf geen uitgewerkt continuïteitsplan of volledig overzicht beschikbaar. Dat maakte de situatie complex. Gelukkig vielen veel cloudgebaseerde diensten buiten het getroffen netwerk, waardoor sommige onderwijs- en onderzoeksactiviteiten toch konden doorgaan.

De cloud was in dit geval zowel een zegen als een risico: het zorgde voor redun­dantie tijdens de crisis, maar maakt ons ook afhankelijk van externe partijen. Bij TU/e moesten we colleges annuleren of verplaatsen, simpelweg omdat het niet anders kon. Tegelijkertijd zagen we veerkracht: docenten die gewoon met krijt op het bord lesgaven, waar dat nog mogelijk was.

Onze belangrijkste les: zorg dat je continuïteitsplan niet alleen draait om IT-oplossingen, maar ook om onderwijskundige en organisatorische scenario’s. Denk aan noodbufferruimte in roosters, alternatieve werkvormen en wat er minimaal nodig is om dóór te kunnen — ook als alle digitale middelen ineens wegvallen. Bij een cyberaanval telt het totaalplaatje, techniek, mensen én samenwerking.

Wil je weten hoe je onderwijs- en bedrijfscontinuïteit waarborgt tijdens een cyberaanval? Op de pagina Bedrijfscontinuïteit lees je hier meer over.

"Niet één oplossing, maar een volwassen organisatie maakt het verschil"

Is er iets dat jullie vooraf niet of nauwelijks hadden voorzien, maar dat tijdens het incident cruciaal bleek — en waar andere instellingen nú over zouden moeten nadenken?

Wat tijdens het incident echt duidelijk werd: je kunt je niet richten op één ontbrekend puzzelstukje. In werkelijkheid komen meerdere scenario’s en factoren tegelijk samen. De cruciale vraag is daarom: hoe volwassen is je instelling als geheel?

• Heb je actueel inzicht in je IT-assets?
• Is je crisismanagement geoefend en doorleefd?
• Heb je grip op uitzonderingen, standaarden en fragmentatie binnen je infrastructuur?

Want hoe meer versnippering, hoe moeilijker het wordt om bij een aanval het initiatief terug te pakken.

Toch is er één factor die alles overstijgt: de mens.

• Hebben mensen het vertrouwen én de ruimte om te handelen?
• Is er voldoende kennis om onder druk de juiste keuzes te maken?
• En is er genoeg stressbestendigheid om rust te brengen tijdens chaos?

Onze oproep aan andere instellingen: denk minder in losse maatregelen en meer in systeemkracht. Richt je niet alleen op techniek, maar vooral op mensen, samenwerking en veerkracht — vóórdat een crisis zich aandient.

Een cyberaanval raakt je hele organisatie, bereid je samen voor

Een cyberaanval zet alles op scherp. Niet alleen je systemen, maar ook je communicatie, besluitvorming en continuïteit worden direct op de proef gesteld. De ervaring van TU/e laat zien hoe belangrijk het is om vooraf goed na te denken over rollen, verantwoordelijkheden en de samenwerking tussen IT, bestuur en onderwijs. Cybersecurity is geen IT-feestje, maar een strategisch vraagstuk dat alle lagen van je organisatie raakt. Door te leren van echte situaties, vergroot je niet alleen je eigen paraatheid – maar ook het vertrouwen binnen je instelling.

Ben je benieuwd hoe je beleid en structuur beter inricht om cyberincidenten het hoofd te bieden?