7 geleerde lessen van de cyberaanval bij TU Eindhoven

7 geleerde lessen van de cyberaanval bij TU Eindhoven
Beeld: Shutterstock

In januari werd de Technische Universiteit Eindhoven (TU/e) getroffen door een cyberaanval. Door de aanval lag het onderwijs een week lang stil. De universiteit reflecteerde op haar aanpak en liet onderzoeken wat de toedracht was, hoe ze heeft gereageerd en wat er beter kan. Facto dook in het evaluatierapport en zette de belangrijkste bevindingen op een rij.

FM is bij een crisis in gebouwen verantwoordelijk voor het voortzetten van de bedrijfsvoering. We maken daarom in dit artikel inzichtelijk wat er er precies gebeurde bij de TU/e toen zij getroffen werd door een cyberaanval op 11 januari 2025. Lees hieronder meer over de crisisorganisatie, de aanpak en de geleerde lessen van TU/e voor de weerbaarheid en het herstelvermogen van de organisatie.

Organisatie crisismanagement

TU/e heeft de crisisrespons centraal georganiseerd in het strategisch crisisteam: het Centrale Crisis Team (CCT), dat gaat over de strategie, aanpak, regie en besluitvorming. Onder dit team opereren nog verschillende andere teams die zorg dragen voor de uitvoer en uitwerking. Vanuit preventieve overwegingen besloot het crisisteam het netwerk af te sluiten om verdere criminele schade te voorkomen, blijkt uit het evaluatierapport 'Leerevaluatie cyberaanval'. Daardoor konden er een week lang geen onderwijsactiviteiten plaatsvinden, wat de continuïteit van de facilitaire dienstverlening belemmerde. Toch kon na opschoning en herstel het onderwijs na een week worden hervat.

Aanpak cyberaanval

De teams gingen tijdens de crisis te werk volgens de structuur en aanpak uit het crisisplan. Elk lid informeerde haar achterban en zette acties uit, waarbij het hoger management geïnformeerd en bevraagd werd op frequente momenten. Dagelijks werden informatiebijeenkomsten georganiseerd. Bevoegde en transparante communicatie vormde desalniettemin een uitdaging voor het crisismanagementteam, zo wees het evaluatierapport uit.

Het crisismanagementteam besloot de besluitvorming en aanpak te centraliseren en korte lijnen te houden met faculteiten en diensten. Door vergaderklokken af te stemmen konden de teams de input van overleg naar overleg inbrengen.

Toen duidelijk werd dat onderzoek en onderwijs werd stilgelegd, werd aan de hand van de voortgang besloten dat onderwijs en onderzoek vanaf de maandag (een week later) kon worden hervat. Het rooster werd aangepast, rekening houdend met de langdurige gevolgen voor het jaarrooster.

7 geleerde lessen

Dit zijn de zeven geleerde lessen van TU/e voor facility management om de efficiëntie, veerkracht en coördinatie voor en na een cyberaanval te verbeteren en om in de toekomst weerbaarder te worden en het herstelvermogen te verbeteren.

1. Werken met een observator

De rol van de observator werkte prettig, ondanks dat deze rol niet was vastgelegd in het crisisplan. De
observator had als taak om feedback te geven op het proces en de besluitvorming tijdens het crisisoverleg. Crisismanagementervaring is cruciaal om deze rol goed in te vullen.

2. Gestroomlijnde richtlijnen voor informatiemanagement

TU/e had geen procedure voor informatiemanagement in geval van uitval, wat leidde tot improvisatie. De aanbeveling is om de volgorde en procedure rondom het bespreken en goedkeuren van communicatieberichten te verbeteren. Door de resultaten van het overleg met het hoger management voortaan mee te nemen in de communicatieberichten, versterkt het team de volledigheid, betrouwbaarheid en kwaliteit van de berichtgeving.

3. Duidelijke rollen en verantwoordelijkheden definiëren

Voor het reguliere, operationele en strategische crisisteam is het cruciaal om de verantwoordelijkheden vast te leggen. Dit zorgt ervoor dat dit niet persoonsafhankelijk is en iedereen weet wie welke beslissing mag nemen. Dit voorkomt verwarring en maakt de besluitvorming efficiënter.

In een matrix leg je kritieke IT-besluiten vast, zoals het onmiddellijk stopzetten van geïnfecteerde of verdachte IT-systemen, activeren van back-upsystemen en het herstellen van gegevens, segmenteren van het netwerk, beperken of intrekken van gebruikersrechten en het onmiddellijk toepassen van beveiligingspatches en updates op kwetsbare systemen.

Leg ook randvoorwaarden vast. Bijvoorbeeld, waar crisisteams zich tijdens een crisis kunnen verzamelen en werken. Dit voorkomt onduidelijkheid en improvisatie. Vergeet niet om ook de correcte teamnamen/duidingen vast te leggen.

4. Sectoraanpak

Verwerk inzichten over informeren en samenwerken in sectorafspraken. Laat dit niet afhangen van de betrokkenen, om te voorkomen dat stakeholders te laat worden geïnformeerd/aangehaakt.

5. Business Continuity Management (BCM) rollen vastleggen

Leg vast wat de BCM-rollen zijn van faculteiten en diensten bij uitval van applicaties en systemen. Leg hierin ook de gemaakte afspraken vast voor onderwijs, onderzoek en bedrijfsprocessen. Dit maakt afhankelijkheden en prioriteiten inzichtelijker en versterkt de samenwerking met de IT-organisatie bij mogelijke uitval.

6. Evaluatie en leren

Na de crisis werden zowel interne als externe evaluaties uitgevoerd. Er is aandacht voor het leren als organisatie, inclusief het reflecteren op de impact op onderwijs, onderzoek en de interne gemeenschap. De nafase is gericht op het aanpakken van langdurige uitdagingen en herstel, en begint vaak al tijdens de acute fase. Deel de uitkomsten van deze leerevaluatie intern met studenten en medewerkers en extern met geïnteresseerden.

7. Aandacht voor studenten

De evaluatie laat zien dat het nog niet duidelijk is of de beleving van studenten is meegenomen tijdens en na de crisissituatie. Dit is een aandachtspunt voor de toekomst.

Lees het volledige rapport 'Leerevaluatie cyberaanval'

Dit is het derde artikel uit de serie 'FM en crisismanagement'. In deze serie duiken we in crisissituaties die FM raken, zoals water, hitte en cyberattack.

Ook interessant:

Anne Tjon-A-Joe

Anne Tjon-A-Joe

redacteur Facto

Susan Meenhuis-Bosboom

Susan Meenhuis-Bosboom

Hoofdredacteur Facto

  1. Vacatures

  2. Autoriteit Financiële Markten

    Servicemanager Facilitair Bedrijf

    Autoriteit Financiële Markten logo

  3. Ministerie van Defensie

    Medewerker Begeleidingsdienst

    Ministerie van Defensie logo

  4. Ministerie van Defensie

    Facilitair Medewerker Huisvesting

    Ministerie van Defensie logo
Bekijk vacatures
Ondertekening Vested contract Heineken en ISS Facility Services (beeld: ISS)

Heineken en ISS Facility Services sluiten eerste Production Based Vested‑contract in Nederland

  1. We moeten scherper kiezen wat we studenten willen meegeven
  2. Programma Facto Congres 2026 bekend
  3. Het Slotervaart (50.000m2): unieke rol voor FM in multi-tenant zorggebouw
  4. Zo stimuleer je onderlinge verbinding op kantoor
  5. GesponsordHoe goed is hygiëne binnen jouw organisatie geregeld?
  6. Universiteit Maastricht verduurzaamt campus: jaarlijks 185.000 kg minder CO2-uitstoot
  1. Miro-onderzoek: niet werkomgeving, maar collega's bepalend voor kantooraanwezigheid
  2. Ellen van der Linden-Moen gestart als Regiodirecteur Operationele Facilitaire Dienstverlening bij Ministerie van Financiën
  3. Frans Joosstens (De Haagse Hogeschool): 'Speel minder paniekvoetbal op thema's als netcongestie en thuiswerken'
  4. Amsterdam UMC sluit raamovereenkomst met 6 bouwcombinaties
  5. Facto Facts #4: Voordelen van thuiswerken vs. op kantoor werken
  6. Deze inzichten versterken de sociale cohesie op kantoor (World Workplace Europe)