Tekst BKB
Foto Bas Kijzers

Een valkuil in cybersecurity is om alles perfect geregeld te hebben op papier, maar serieuze steken te laten vallen als het erop aankomt in de praktijk. Het is daarom belangrijk systemen en processen te testen zoals deze op de werkvloer en in het veld draaien. Om te zien hoe de organisatie reageert als er sprake is van een verstoring. Oftewel: oefenen, oefenen, oefenen.

Oefenen is geen eenmalige activiteit. Door regelmatig te oefenen kunnen organisaties de digitale weerbaarheid op een relatief eenvoudige manier verhogen. Het verbetert de interne én externe samenwerking, en helpt organisaties om beter voorbereid te zijn op potentiële ontwrichting bij cyberincidenten. Oefenen kan op verschillende manieren, van een simpele tabletop tot een uitgebreide threat-based red teaming oefening. In dit artikel ter inspiratie drie handvatten aan vitale én niet-vitale organisaties, waarmee u zelf aan de slag kan.

ISIDOOR 2021_oefensessie
Opperste concentratie tijdens ISIDOOR 2021.

Handvat 1 - Grootschalig oefenen met ISIDOOR

ISIDOOR is een tweejaarlijkse grootschalige cyberoefening, met 1500 deelnemers van bijna 90 organisaties, georganiseerd door het NCSC in samenwerking met de NCTV. Wie deelneemt aan ISIDOOR oefent aan de hand van een crisisscenario afspraken, structuren en processen uit het Nationaal Crisisplan Digitaal. Daarbij gaat het voornamelijk om de Rijksoverheid en organisaties in de vitale infrastructuur. Maar ook veiligheidsregio’s en diverse spelers uit het Landelijk Dekkend Stelsel nemen vaak deel aan ISIDOOR. 

Het doel is om de diverse crisisprocedures te oefenen, waarbij de focus ligt op de informatie-uitwisseling in crisisomstandigheden, het oefenen van de nationale opschalingsstructuur als gevolg van een cybercrisis en het versterken van de onderlinge samenwerking tussen vitale en Rijksoverheid organisaties. Door te oefenen kan tijdens een echte digitale crisis sneller en adequater gehandeld worden. Interesse in deelname aan een volgende editie? Mail dan naar isidoor@ncsc.nl.

Geleerde lessen

De evaluatie van ISIDOOR 2021 van afgelopen juni is op het moment van schrijven nog in volle gang. Maar in zijn algemeenheid valt één ding op: dat het geen vanzelfsprekendheid is dat binnen organisaties de crisisbeheersingsafdelingen in nauw contact staan met de IT-afdelingen. En dat is cruciaal in zowel de koude als warme fase van een cyberincident. Want om het probleem binnen de organisatie goed te kunnen duiden, is het belangrijk dat beide werelden nauw met elkaar samenwerken. Een aandachtspunt is daarom óók binnen een organisatie gezamenlijk te oefenen en te zorgen dat iedereen dezelfde taal spreekt.

“Elke crisis vraagt veerkracht, gecoördineerd kunnen improviseren, vakbekwaamheid en taakvolwassenheid ermee om te kunnen gaan. Een oefening als ISIDOOR draagt daar aan bij. Het blijkt bijvoorbeeld lang niet vanzelfsprekend dat binnen organisaties de personen die over cybersecurity gaan aangesloten zijn op de personen die over crisisbeheersing gaan. Het is mooi om te zien hoe ISIDOOR helpt om daarmee na de oefening aan de slag te gaan.” – Kees Verkade, Senior adviseur crisisbeheersing NCSC.

Begin juni 2021.
Nederland wordt getroffen door meerdere cyberaanvallen.
Met grote gevolgen voor de samenleving.
Geen of vervuild water uit de kraan...
uitval van energie...
en uitval van digitaal betaalverkeer.
Er ontstaan problemen in de transportsector...
op Schiphol en in de havens.
Een ziekenhuis heeft een patiëntenstop...
omdat ze geen nieuwe patiënten meer kunnen registreren.
Bij het zoeken naar oplossingen blijkt een kwaadwillende partij...
gevoelige data van een groot aantal getroffen vitale organisaties buit te maken.
Maar met welk doel?
En nog erger...
dit blijkt al maanden aan de gang.
Dit was het scenario van ISIDOOR 2021.
De grootste nationale cyberoefening van een digitaal incident met fysieke gevolgen.
Informatiedelen, samenwerken en opschalen...
volgens het Nationaal Crisisplan Digitaal stonden hierin centraal.
Meer dan 90 organisaties en 1500 mensen oefenden mee...
zodat we snel kunnen herstellen wanneer het onverhoopt echt misgaat.
Om hierbij te helpen stelden we ons die ene vraag...
“welke rol speel jij?”.

Handvat 2 – Nationaal Crisisplan Digitaal

Er zijn tal van digitale scenario’s mogelijk met doorwerking in het fysieke domein die een crisisaanpak vereisen. Het Nationaal Crisisplan Digitaal helpt organisaties om de vertaalslag te maken van de crisisaanpak op nationaal niveau, naar operationeel uitgewerkte plannen en draaiboeken voor de eigen organisatie. Hiervoor biedt het zes bouwstenen waarmee je een eigen specifiek crisisscenario kunt samenstellen. Vervolgens is het mogelijk te bekijken welke dynamiek dat met zich meebrengt en welke consequenties daaraan moeten worden gekoppeld.

Het Nationaal Crisisplan Digitaal leent zich daardoor ook goed voor oefeningen. Het bevat een stappenplan om in een daadwerkelijke crisissituatie, bij de voorbereiding daarop of tijdens de oefening drie hoofdvragen te beantwoorden:

  1. Wat zijn de belangrijkste mogelijke (in)directe gevolgen en effecten?
  2. Welke mitigerende maatregelen zijn nodig om de gevolgen en effecten te voorkomen of te beheersen?
  3. Welke partijen zijn betrokken c.q. nodig voor een adequate aanpak?

Zelf aan de slag? Het Nationaal Crisisplan Digitaal vindt u op de website van de NCTV. Bij het plan is ook een Koepelnotitie Communicatie bij digitale incidenten verschenen. De uitdagingen voor communicatieprofessionals zijn immers groot als een digitaal incident zich voordoet. Een goede voorbereiding is noodzakelijk; de koepelnotitie helpt daarbij.

ISIDOOR 2021_3
Oefenen, oefenen, oefenen.

Handvat 3 – Handreiking Cyberoefeningen

Wat voor de ene organisatie een incident is, is voor de andere organisatie een securitycrisis van formaat. Door te oefenen kom je erachter wat de gevolgen zijn van digitale incidenten voor de organisatie, hoe de organisatie reageert op digitale incidenten en welke lessen kunnen worden getrokken voor de toekomst. In dergelijke situaties heeft effectief handelen grote voordelen, en met oefenen krijgt jouw organisatie dat beter onder de knie.

Om organisaties daarbij te helpen heeft de Cybersecurity Alliantie een handreiking cyberoefeningen ontwikkeld, die binnenkort te vinden is via de website Cybersecurity Alliantie. Met de handreiking zijn kleine of grote incidenten en zelfs omvangrijke crises binnen de eigen organisatie te oefenen. Voor organisaties die al ervaring hebben met het opzetten van oefeningen, biedt de handreiking tips en een handleiding die gebruikt kan worden als een checklist. Organisaties die voor het eerst een oefening opzetten worden door de handleiding aan de hand genomen.

Cyberoefening BZK

Op 1 november 2021 houdt het ministerie van Binnenlandse Zaken en Koninkrijksrelaties een overheidsbrede cyberoefening. Ook bieden ze in aanloop van de oefening verschillende webinars aan.

Registreer je direct op de website weerbaredigitaleoverheid.nl.