“Vanuit het buitenland wordt jouw gehele organisatie aangevallen door hackers.” Met dit scenario gingen de deelnemers aan OZON afgelopen maart aan de slag. Deze grootschalige, landelijke cybercrisisoefening laat zien of instellingen zijn voorbereid op een cybercrisis.
Realistische cyberaanval
De OZON-oefening is gericht op hogescholen, universiteiten, ziekenhuizen en andere onderzoeksinstellingen. De oefening vindt elke 2 jaar plaats en de 2021-editie kende ruim 1000 deelnemers. Charlie van Genuchten werkt bij ICT-dienstverlener SURF en coördineert OZON: “De deelnemers belanden in een realistische cyberaanval, inclusief echte infecties in het instellingsnetwerk en (social) media-aandacht. Het is aan de deelnemers zoals IT’ers, bestuurders en communicatiemedewerkers om een oplossing te vinden. Weet iedereen onder tijdsdruk de juiste beslissingen te nemen en zijn draaiboeken up-to-date?”
“Welke bestuurder moet de IT-afdeling als eerste bellen? Dit ontdek je alleen als je samen zo’n crisis meemaakt.”
Gebrek aan communicatie
Deelnemers nemen vaak de juiste beslissingen, maar er gaan ook dingen verkeerd. De coördinator vertelt over de meest gemaakte fout: “Het grootste struikelblok is het gebrek aan interne communicatie. De verschillende medewerkers weten elkaar moeilijk te vinden. Welke bestuurder moet de IT-afdeling als eerste bellen? Dit ontdek je alleen maar als je samen zo’n crisis meemaakt. Na afloop maakt SURF een rapport met de belangrijkste aandachtspunten, zodat de problemen die OZON naar boven brengt kunnen worden opgepakt. Daarnaast ontdekken deelnemers specifieke IT-kwetsbaarheden bij hun organisatie en gaan daar vervolgens ook zelf mee aan de slag.”
Wetenschappelijk onderzoek
Hoewel de cyberoefeningen een duidelijk effect hebben, mist van Genuchten de wetenschappelijke onderbouwing. “Ik zou graag zien dat de wetenschap het onderwerp cybercrisistraining oppakt. Naar mijn weten is er weinig onderzoek naar gedaan. Terwijl een wetenschappelijke onderbouwing met cijfers en conclusies ons verder zou helpen met het ontwikkelen van trainingen.”
Blijven oefenen
Volgens van Genuchten zou iedereen regelmatig een cybercrisisoefening moeten inplannen: “En dat hoeft echt geen 8 uur durende training met ingewikkelde scenario’s te zijn. Een gesprekje over een mogelijke crisis is al genoeg. ‘Wat als ons bedrijf nu wordt gehackt?’ Bedenk wie je dan nodig hebt en bel ze op. Reageert iedereen op tijd? Maar ook op papier de stappen doornemen bij een hack is al een goede training. Een vaak voorkomende valkuil bij het maken van crisisoefeningen is om ze heel complex te maken om zo de druk op te voeren. Dat is tot op zekere hoogte goed, want crises zijn stressvolle situaties waarin je snel met veel informatie om moet gaan.
Tegelijk is alleen stress en verwarring opwekken niet het doel van de oefening. Toen ik mijn eerste oefeningen op Europees niveau organiseerde, maakte ik de oefening zo ingewikkeld dat de deelnemers niet begrepen wat er eigenlijk aan de hand was. Het was daardoor alleen een goede les in stressmanagement. Uiteindelijk blijkt dat je niet veel hoeft te doen om de druk te laten voelen. Richt je bij het maken van een oefening vooral op het leerdoel, dan volgt de stress vanzelf.”
“Nederland kan echt nog wel wat goed opgeleide deskundigen gebruiken.”
Gebrek aan deskundigen
Door haar werk is van Genuchten zich bewust van de digitale kwetsbaarheid van de huidige maatschappij. Toch maakt ze zich geen grote zorgen. “De eerste OZON-oefening was in 2016. Sindsdien zijn enorm veel stappen gemaakt en is de kennis op het gebied van cybersecurity alleen maar toegenomen. Er wordt geld voor vrijgemaakt en het is inmiddels een belangrijk thema geworden wat terecht veel aandacht krijgt. De Overheidsbrede Cyberoefening is hier een goed voorbeeld van. Als ik toch een kwetsbaar punt moet noemen is dat er een groot gebrek is aan securityprofessionals. Nederland kan echt nog wel wat goed opgeleide deskundigen gebruiken.”
Overheidsbrede Cyberoefening
Deelname aan de Overheidsbrede Cyberoefening op 1 november 2021 is gratis en bedoeld voor bestuurders en overheidsprofessionals die te maken hebben met (cyber)veiligheid, ICT en crisisbeheersing. Dit jaar kunnen deelnemers vanuit het bedrijfsleven ook aansluiten. De oefening is opgezet aan de hand van een fictief scenario en gericht op ‘business continuity’. Deelnemers thuis reageren op een aantal dilemma’s die aan de crisistafel worden besproken en geven sturing aan de afhandeling van de crisis. Het scenario is na afloop van de oefening beschikbaar.