in het najaar van 2023 werd de british library het slachtoffer van een cyberaanval die de hele bibliotheek lamlegde. maanden later is de dienstverlening nog steeds niet helemaal hersteld. velen zien hierin een waarschuwing voor de kwetsbaarheid van bibliotheekcollecties, maar eigenlijk vertelt de aanval ons meer over het belang van de infrastructuur die nodig is om deze collecties te beheren.

Fragiele bibliotheken: de cyberaanval op de British Library

Demmy Verbeke

Op zaterdag 28 oktober 2023 werd de British Library, de nationale bibliotheek van het Verenigd Koningrijk, het slachtoffer van een zogenaamde ransomware cyberattack. De criminele organisatie Rhysida, die eerder al soortgelijke aanvallen uitvoerde op de computersystemen van overheidsinstellingen in Portugal, Chili en Koeweit, slaagde erin een grote hoeveelheid data (waaronder persoonlijke gegevens van bibliotheekpersoneel en lezers) te ontvreemden. Het feit dat Rhysida allicht van Russische origine is en dat deze aanval volgde op soortgelijke aanvallen door andere criminele bendes op bibliotheken in Boston en Toronto zou kunnen doen vermoeden dat er een ideologisch opzet is, maar de primaire drijfveer blijkt toch financieel. Er wordt geen echt onderscheid gemaakt tussen slachtoffers: soms betreft het een overheidsdienst, een culturele instelling of een universiteit, maar het doelwit kan even goed een ziekenhuis of een commercieel bedrijf zijn (zoals Duvel Moortgat, dat in maart 2024 werd geviseerd).

In het geval van de British Library was het in ieder geval de intentie om de gestolen gegevens ten gelde te maken, hetzij door losgeld te eisen van de instelling, hetzij door deze data te verkopen via het dark web. Toen duidelijk werd dat de bibliotheek niet op chantage zou ingaan – in het Verenigd Koningrijk geldt een strikt beleid dat overheidsinstellingen in dergelijke gevallen nooit onderhandelen met de boosdoeners, laat staan losgeld betalen – werden de gestolen data ook daadwerkelijk gelekt. In de daaropvolgende dagen kwam de immense schade aan de technische infrastructuur van de British Library aan het licht. Omdat een cyberaanval doorgaans gepaard gaat met de vernietiging van servers en systemen om sporen uit te wissen en het gebruik van nog werkende digitale infrastructuur vanzelfsprekend heel streng gereguleerd moet gebeuren om zeker te zijn dat verdere schade en nieuwe aanvallen vermeden worden, werd zowat alles onbruikbaar. Alle computersystemen werden stilgelegd, mail- en telefoonverkeer werd opgeschort, opzoekingen in de catalogus waren niet langer mogelijk, digitale collecties bleven onbeschikbaar, fysieke items konden niet voor consultatie aangevraagd worden, nieuwe items konden niet aan de collectie toegevoegd worden, en ga zo maar voort. De enige diensten die nauwelijks hinder ondervonden waren de toegang tot de leeszalen en de culturele activiteiten van de bibliotheek – zowel tentoonstellingen als events konden zoals gepland doorgaan en waren, ironisch genoeg, de afgelopen maanden succesvoller dan verwacht.

Toen duidelijk werd dat de bibliotheek niet op chantage zou ingaan werden de gestolen data gelekt

De British Library was tot op zekere hoogte kwetsbaar voor dit type misdaad. Men geeft toe dat de bibliotheek afhankelijk was van een uitzonderlijk diverse en complexe technische infrastructuur die historisch was gegroeid door het samenbrengen van allerlei collecties, systemen en bedrijfsculturen in één organisatie. Men erkent ook dat de aanvallers gebruik hebben kunnen maken van het feit dat niet alle onderdelen van deze historische infrastructuur beveiligd waren tot de hoogste hedendaagse standaard. Maar dat maakte de British Library geen gemakkelijker slachtoffer dan andere instellingen. Medewerkers van veel andere bibliotheken zullen namelijk toegeven dat hun systemen in net hetzelfde bedje ziek zijn. Daarnaast heeft de British Library een gestructureerde aanpak om met grote incidenten om te gaan, waar andere instellingen momenteel alleen maar afgunstig naar kunnen opkijken. Naar aanleiding van de cyberaanval werd het major crisis management plan geactiveerd, waarbij onmiddellijk gold en silver committees worden aangesteld die het strategische en operationele management van de crisis in handen nemen. Het eerste vermoeden van een aanval werd vastgesteld op zaterdagochtend 7u35. Nadat dit vermoeden bevestigd werd door een team van technische experten werd het crisis management plan om 9u15 geactiveerd. Alle betrokkenen waren tegen 9u21 op de hoogte en het gold crisis response team kwam om 10u stipt een eerste keer samen (via WhatsApp, omdat e-mail en andere systemen niet werkten). Ook de verdere opvolging was exemplarisch: bibliotheekservices werden stelselmatig weer opgestart – zo is de online catalogus sinds januari 2024 opnieuw beschikbaar – en het incident wordt aangegrepen om de hele infrastructuur grondig te herdenken en te moderniseren, niet alleen met het zicht op betere beveiliging, maar ook ter optimalisatie van alle bibliotheekservices en -processen. Dit neemt niet weg dat nog niet alle aspecten van de dienstverlening zijn hersteld: de levering van fysieke items vanuit externe depots is nog niet mogelijk, de toegang tot elektronische collecties is nog niet hersteld en digitaliseringsprojecten liggen stil. De inschatting is dat de benodigde infrastructuur volgens de herziene aanpak pas in het najaar van 2025 volledig operationeel zal zijn.

De wereldwijde reacties op deze cyberaanval bevestigen hoezeer verschillende groepen gebruikers zich nog steeds verbonden voelen met bibliotheken. Academici, niet-universitaire onderzoekers, studenten, schrijvers en andere bezoekers van allerlei allooi: allen kaarten ze aan hoeveel last ze ondervonden en nog steeds ondervinden. Wanneer men doorvraagt komt weliswaar aan het licht dat de noden en wensen zeer uiteenlopend zijn – de ene mist vooral de toegang tot de fysieke collectie, de andere de digitale collectie, nog een andere vooral de services gericht op de organisatie en ontsluiting van kennis (ongeacht de drager), terwijl het voor een laatste groep vooral gaat om het gebruik van bibliotheekruimtes (en die laatste groep is in het geval van de cyberaanval op de British Library dus het minst getroffen) – maar allen richten ze zich tot de bibliotheek om aan die noden en wensen te voldoen.

Ook in een digitale context is er onverminderd nood aan bibliotheekexpertise en -bescherming

Dit is een zeer belangrijke vaststelling voor deze instellingen, die de laatste decennia met zekere regelmaat in vraag worden gesteld. De steeds groeiende overschakeling van fysieke naar digitale collecties en dienstverlening noopt tot reflectie over de optimale bestemming van bibliotheekruimtes en efficiënt collectiebeheer, maar men beseft vaak te weinig dat men ook in een digitale context onverminderd nood heeft aan bibliotheekexpertise op het vlak van selectie, ontsluiting, beheer en bewaring. Bovendien ziet men een gelijkaardige discussie opflakkeren binnen de context van toenemende beschikbaarheid van allerlei informatiebronnen in Open Access – wie heeft nog nood aan bibliotheken als alle informatie, gratis, voor iedereen met een internetverbinding beschikbaar is? De reactie op de onbeschikbaarheid van diensten en collecties geleverd door de British Library leert ons dat we beter twee keer nadenken vooraleer we die vraag beantwoorden.

Velen zien in het verhaal van de cyberaanval op de British Library een herinnering hoe kwetsbaar bibliotheekcollecties wel niet zijn. En met reden. Dat fysieke bibliotheken precair zijn, weten we al van vóór de teloorgang van de bibliotheek van Alexandrië, de beroemdste bibliotheek uit de Oudheid die – als we de overlevering mogen geloven – meermaals vernield is geweest. In 2020 vulde Richard Ovenden nog een heel boek met voorbeelden, getiteld Burning the Books. A History of the Deliberate Destruction of Knowledge, en de huidige situatie van bibliotheken in Soedan, Gaza en Oekraïne is een trieste bevestiging dat hieraan nog niets veranderd is. Ligt de oplossing misschien in digitale collecties? Die bieden alvast de mogelijkheid om meer universele toegang tot informatie te realiseren en kunnen veiliger bewaard worden, onder meer doordat ze de toepassing van het lockss-principe (lots of copies keep stuff safe) vergemakkelijken. Maar digitale preservatie is duur, waardoor het veel minder grondig wordt toegepast dan verondersteld, en de huidige aanpak leidt tot een verregaande afhankelijkheid van (universiteits)bibliotheken ten opzichte van forprofitbedrijven die het niet zo nauw nemen met privacy en academische waarden.

Bij een cyberaanval op een bibliotheek zijn de collecties niet het primaire doelwit

En toch leert deze cyberaanval ons een andere les. Net zoals de primaire intentie van gelijkaardige cyberaanvallen op pakweg commerciële bedrijven niet is om de producten te stelen, maar eerder om de productielijn zodanig te verstoren dat het bedrijf bereid is losgeld te betalen, zijn de collecties bij cyberaanvallen op bibliotheken niet het primaire doelwit. Dat neemt niet weg dat in het bijzonder de digitale collectie bij een dergelijke aanval getroffen zou kunnen worden indien die onvoldoende beveiligd is, maar dat was bij dit specifieke incident gelukkig niet het geval. De British Library heeft bevestigd dat noch de fysieke collectie, noch de digitale collectie, noch de bijhorende metadata getroffen zijn. De fysieke collectie bleef onaangeroerd en zowel het born-digital als het gedigitaliseerde materiaal als alle data die betrekking hebben op deze drie soorten collecties was voldoende beveiligd. De zwakke schakel is de technische infrastructuur (i.c. computer- en communicatiesystemen) die toegang geeft tot deze informatie en waarvan alle bibliotheekservices en -processen afhankelijk zijn.

In een opiniestuk gepubliceerd op de blog van de London School of Economics and Political Science kaart Simon Bowie aan dat dit tekenend is voor de devaluatie van expertise op het vlak van bibliotheeksystemen, die extra markant is binnen een universitaire context. Die devaluatie leidt onder meer tot een uitbesteding van systemen en infrastructuur aan externe leveranciers, wat niet alleen een dure oplossing is die onvoldoende veiligheid en autonomie garandeert, maar ook leidt tot allerlei ethische vraagstukken en zowel de reactie op een incident als de remediëring van een probleem bemoeilijkt omdat men moet vaststellen onvoldoende over in-house capaciteit en kennis te beschikken. De harde boodschap is dat deze situatie er niet beter op zal worden, tenzij men een andere houding aanneemt tegenover investeringen in infrastructuur, zowel op technologisch als op menselijk vlak. De doorslaggevende factor moet in deze context niet de kostprijs zijn, maar de autonomie en veiligheid die geboden wordt – wat niet hoeft te betekenen dat iedere universiteit dan maar in een eigen oplossing moet voorzien, op voorwaarde dat er voldoende focus ligt op gedeelde normen en waarden tussen partners (wat verre van evident is indien universiteiten in zee gaan met forprofitbedrijven).

De cyberaanval op de British Library zet dus niet alleen het belang van bibliotheken in de verf, waarop een grote en diverse groep gebruikers een beroep blijft doen, zelfs in een digitale en Open Access-context. De aanval spoort beleidmakers ook aan tot verstandige investeringskeuzes die minstens evenveel rekening houden met het waarborgen van veiligheid en autonomie als met de kostprijs, in het licht van een Open Access-toekomst waarin de kwaliteit van een bibliotheek minder door de collecties bepaald zal worden en meer door het niveau van dienstverlening en de robuustheid van de gebruikte bibliotheeksystemen.

Demmy Verbeke is hoofddocent Open Scholarship aan de Faculteit Letteren van KU Leuven en hoofd van KU Leuven Bibliotheken Artes. Hij is lid van het managementteam van de bibliotheek, doceert informatiekunde en doet onderzoek naar (open vormen van) wetenschappelijke communicatie in de geesteswetenschappen.