Samen een cybercrisis doormaken om te leren



Charlie van Genuchten
ICT-dienstverlener bij SURF en coördinator van OZON

Vanuit het buitenland wordt jouw gehele organisatie aangevallen door hackers. Met dit scenario moesten de deelnemers van OZON afgelopen maart aan de slag. Deze grootschalige, landelijke cybercrisisoefening in opdracht van het ministerie van OCW, laat zien of instellingen zijn voorbereid op een cybercrisis.

Realistische cyberaanval

De OZON oefening is gericht op hogescholen, universiteiten, ziekenhuizen en andere onderzoeksinstellingen. Deze vindt elke twee jaar plaats en de 2021 editie kende ruim 1000 deelnemers. Charlie van Genuchten werkt bij ICT-dienstverlener SURF en coördineert OZON: “De deelnemers belandden in een realistische cyberaanval inclusief echte infecties in het instellingsnetwerk en (social)media-aandacht. Het is aan de deelnemers zoals IT'ers, bestuurders en communicatiemedewerkers om een oplossing te vinden. Weet iedereen onder tijdsdruk de juiste beslissingen te nemen en zijn draaiboeken up-to-date?”

Gebrek aan communicatie

Ondanks dat de deelnemers vaak de juiste beslissingen nemen, gaan er ook dingen verkeerd. Genuchten vertelt over de meest gemaakt fout: “Het grootste struikelblok is het gebrek aan interne communicatie. De verschillende medewerkers weten elkaar moeilijk te vinden. Welke bestuurder moet de IT-afdeling als eerste bellen? Dit ontdek je alleen maar als je samen zo’n crisis meemaakt. Na afloop maakt SURF een rapport met de belangrijkste aandachtspunten zodat de problemen die OZON naar boven brengt, kunnen worden opgepakt. Daarnaast ontdekken deelnemers specifieke IT-kwetsbaarheden bij hun organisatie en gaan daar vervolgens ook zelf mee aan de slag.”

Wetenschappelijk onderzoek

Ondanks dat de cyberoefeningen duidelijk effect hebben mist Van Genuchten de wetenschappelijke onderbouwing. “Ik zou graag zien dat de wetenschap het onderwerp cybercrisistraining oppakt. Naar mijn weten is er weinig onderzoek naar gedaan. Terwijl een wetenschappelijke onderbouwing met cijfers en conclusies ons verder zou helpen met het ontwikkelen van trainingen.”

Blijven oefenen

Volgens Van Genuchten zou iedereen regelmatig een cybercrisisoefeningen moeten inplannen: “En dat hoeft echt geen acht uur durende training met ingewikkelde scenario’s te zijn. Een gesprekje over een mogelijke crisis is al genoeg. ‘Wat als ons bedrijf nu wordt gehackt?’ Bedenk wie je dan nodig hebt en bel ze op. Reageert iedereen op tijd? Maar ook op papier de stappen doornemen bij een hack is al een goede training. Een vaak voorkomende valkuil bij het maken van crisisoefeningen is om ze heel complex te maken om zo de druk op te voeren. Dat is tot op zekere hoogte goed, want crises zijn stressvolle situaties waarin je snel met veel informatie om moet gaan. Tegelijk is alleen stress en verwarring opwekken niet het doel van de oefening. Toen ik mijn eerste oefeningen op Europees niveau organiseerde, maakte ik de oefening zo ingewikkeld dat de deelnemers niet begrepen wat er eigenlijk aan de hand was. Het was daardoor alleen een goede les in stressmanagement. Uiteindelijk blijkt dat je niet veel hoeft te doen om de druk te laten voelen. Richt je bij het maken van een oefening vooral op het leerdoel, dan volgt de stress vanzelf.”

Gebrek aan deskundigen

Door haar werk is Van Genuchten zich bewust van de digitale kwetsbaarheid van de huidige maatschappij. Toch maakt ze zich geen grote zorgen. “De eerste OZON-oefening was in 2016. Sindsdien zijn enorm veel stappen gemaakt en is de kennis op het gebied van cybersecurity alleen maar toegenomen. Er wordt geld voor vrijgemaakt en het is inmiddels een belangrijk thema geworden wat terecht veel aandacht krijgt. De Overheidsbrede Cyberoefening is hier een goed voorbeeld van. Als ik toch een kwetsbaar punt moet noemen is dat er een groot gebrek is aan security professionals. Nederland kan echt nog wel wat goed opgeleide deskundigen gebruiken.”