Waar ben je naar op zoek?

Verbeterde toegankelijkheid modus

SURF streeft naar een website die voor iedereen toegankelijk is. We werken aan een volledig toegankelijke modus.
Man in gele trui met CYBER erop achter de laptop
Magazine

Teambuilding voor cybercrises

Je ontkomt er niet aan: vroeg of laat word je aangevallen door hackers. Wat kun je als instelling, en als bestuurder, doen om je voor te bereiden op zo’n noodsituatie? We vroegen het aan drie CvB’ers: Pauline Satter (COG), Jos Vranken (Hotelschool The Hague) en Patrick Groothuis (TU/e).

Een cyberaanval is waarschijnlijk de zwaarste crisis die je als bestuurder kunt meemaken. En hij komt vaak voor. Afgelopen januari nog worstelde de TU/e een week lang met een hack. Die dwong de instelling om het netwerk acuut uit de lucht te halen; tienduizenden studenten en medewerkers werden hier dagenlang door getroffen. En dit ondanks een – ook volgens externe experts – snelle en effectieve aanpak van de crisis.

Communicatie

Wat voor uitdagingen brengt zo’n crisis met zich mee voor bestuurders? Dat kunnen we het beste vragen aan een ervaringsdeskundige. Patrick Groothuis was als vicevoorzitter van de TU/e ook voorzitter van het centrale crisisteam dat de cyberaanval in januari moest afslaan. 

Portret van de vicevoorzitter van het college van bestuur van de Technische Universiteit Eindhoven

Patrick Groothuis (TU/e)

“Het gaat niet alleen om de ict: op het moment dat het misgaat, wordt het ook een organisatieprobleem. Op dat moment moet je alles en iedereen in je organisatie kunnen inschakelen, van het CvB tot ict’ers, communicatie- en andere medewerkers. En die moeten goed samenwerken.”

Daar komt de communicatie om de hoek kijken. “Neem de mensen die als eerste te maken krijgen met de impact van een cyberaanval: als die niet goed communiceren met de CISO, het responsteam enzovoort, dan krijgt het centrale crisisteam ook een verkeerd beeld. Daar ga je dan ontzettend veel last van krijgen bij alles wat erna komt.”

Werk aan een veilige bedrijfscultuur

Een andere ervaringsdeskundige is Jos Vranken, bestuursvoorzitter van Hotelschool The Hague. Als toezichthouder bij de KNVB maakte hij mee dat de voetbalbond in 2023 gehackt werd.

Hij benadrukt dat effectieve communicatie ook een kwestie is van bedrijfscultuur. “Juist in een cybercrisis nemen de druk en de spanning toe. Mensen moeten zich veilig en vrij voelen om in zo’n situatie gevraagd, maar vooral ook ongevraagd hun deskundige advies te geven. En niet te wachten op instructies. In mijn beleving moet je dus permanent werken aan een cultuur waar dat normaal is.” 

Portret van Hotelschool The Hague bestuurder Jos Vranken

Jos Vranken (Hotelschool The Hague)

Ken je de relevante telefoonnummers?

En dan is er het meest fundamentele aspect van communicatie. Vranken: “Als het echt gebeurt en al je systemen plat gaan, ben je dan in staat om de relevante experts en betrokkenen op een andere manier te bereiken? Ken je hun telefoonnummers? Of staan die allemaal keurig in digitale bestanden waar je niet meer bij kunt?”

Dit was een heel reëel probleem toen de TU/e afgelopen januari alle schermen op zwart moest zetten, zo vertelt Groothuis. “Wij kwamen zelfs op het punt dat we niet meer wisten welke systemen nog integer en veilig te gebruiken waren. Was WhatsApp nog wel veilig?”

Gelukkig heeft de TU/e ook experts in cryptologie en cybersecurity. Volgens hen was Signal het enige echt veilige communicatiekanaal. “Zolang de gebruikers geen fouten maken”, lacht Groothuis, verwijzend naar de rel rond de Amerikaanse minister van Defensie, die abusievelijk een journalist toevoegde aan een vertrouwelijke Signalgroep. “Dus ging ik ter plekke als CvB-lid aan de slag op mijn telefoon om de juiste mensen in zo’n Signalgroep te krijgen. Want daarop waren we niet voorbereid.”

“De gevolgen van slechte communicatie zijn enorm. Het leidt tot verwarring, tot onrust, tot een stortvloed van telefoontjes en e-mails.”
Patrick Groothuis

Kijk wat je wél kunt controleren

Signal is echter geen optie als je dertienduizend studenten moet informeren. Groothuis: “En dat moet. De gevolgen van slechte communicatie zijn enorm. Het leidt tot verwarring, tot onrust, tot een stortvloed van telefoontjes en e-mails.”

“Daarom hebben we gekozen voor twee kanalen: onze website en de externe media. Maar ook daar hebben we pas tijdens de crisis over nagedacht. We hebben toen ook besloten elke dag op vaste momenten met mededelingen te komen. Want in een crisis werkt niets zo goed als een duidelijke structuur en een duidelijke aanpak. Daar varen mensen wel bij.”

Foto van gebouwen van de Technische Universiteit Eindhoven met studenten op het plein en een hand op de achtergrond

Foto: TU/e

Ook het crisisteam zelf moet focussen op zekerheden, voegt Vranken toe. “Je moet je niet gek laten maken door dingen die oncontroleerbaar zijn. Kijk liever wat je wél kunt controleren.”

Groothuis: “Achteraf weet je pas wat er allemaal gebeurde. Maar gaandeweg kun je steeds meer puzzelstukjes in elkaar passen. Feitelijk ben je bezig met onzekerheidsreductie, vooral in de eerste fase van zo’n crisis.”

Teamwork kun je leren

In een cybercrisis moet een organisatie – en haar bestuurders – onder enorme tijdsdruk en hoogst ongebruikelijke omstandigheden optimaal presteren. Kun je dat leren? Ja, door te oefenen. Bijvoorbeeld met OZON, de tweejaarlijkse sectorbrede cybercrisisoefening van de SURF-coöperatie. 

“Met een oefening als OZON kun je echt als crisisteam leren opereren.”
Jos Vranken

Vranken was net aangesteld bij Hotelschool The Hague toen hij in OZON 2025 aan de bak moest. Dat was voor hem een aangename verrassing. “Het is een kostbaar goed dat de sector gezamenlijk oefent met crisismanagement. Zo kunnen de individuele instellingen zich beter wapenen. Want als je bij aanvang van de crisis het wiel nog moet uitvinden, heb je een enorm probleem. En je kunt met OZON ook echt als een crisisteam leren werken.”

Groothuis bevestigt dat: “We hadden van onze OZON-deelnames al geleerd hoe zo’n crisis in elkaar zit. Hoe functioneert nou het centrale crisisteam ten opzichte van het crisisteam van de ict-organisatie? Je leert ook dat je vanuit de bestuurlijke kant de situatie langs twee lijnen moet benaderen: enerzijds wil je zicht op de impact van wat zich voordoet; en anderzijds op hoe je dat kan beïnvloeden of sturen, en op welke termijn. En de noodzaak van goede communicatie wordt bij OZON ook snel duidelijk.” 

Realisme mag nog wel wat hoger

Geen wonder dus dat er steeds meer belangstelling is voor OZON. In 2016 telde de eerste editie van de cybercrisisoefening 27 deelnemende instellingen en sectorpartners. Dat aantal is sindsdien gestaag gegroeid: bij de vijfde editie van afgelopen maart waren het er 90.

Portretfoto van COG-bestuurder Pauline Satter

Pauline Satter (COG)

De populariteit van OZON is te danken aan het realisme van de oefening, denkt Pauline Satter, CvB-lid bij de Christelijke Onderwijs Groep Vallei & Gelderland-Midden. “Het scenario komt dicht bij de werkelijkheid. Het had zomaar in je school kunnen gebeuren.”

Voor Groothuis – als oud-officier gewend aan militaire oefeningen – mag het realisme van OZON nog wel een tandje hoger. “De oefening heeft heel veel goede ingrediënten, maar wel tijdens kantooruren. Iedereen zit klaar, want de oefening start zo. Maar een echte cybercrisis zoals die van ons begint onverwacht, laat op een zaterdagavond. Zijn de mensen die je nodig hebt dan überhaupt wel te bereiken?”

Meer samenwerken

In één opzicht is OZON echter zwaarder dan de werkelijkheid: het scenario gaat uit van een landelijke crisis van de hele sector. Groothuis: “Gelukkig hebben we dat in de praktijk nog niet meegemaakt.”

Dat collectieve aspect zou volgens Satter nog verder uitgewerkt mogen worden. “Ik denk dat we die lessons learned misschien wat meer kunnen delen. Iedereen doet de oefening nu op zijn eigen manier: we evalueren elk ons eigen stukje. Maar waarom maken andere instellingen bepaalde keuzes? Dat bespreken we nu niet.”

Studenten van de hotelschool netjes gekleed in groepjes aan witte langwerpige tafels

Foto: Margriet Dingmans voor Hotelschool The Hague

Ook Vranken ziet graag meer samenwerking in cybersecurity. “We vissen allemaal in dezelfde vijver van professionals op het gebied van cyber, privacy, security. Daar moeten we als onderwijs bovendien nog concurreren met het grote geld. We kunnen dus maar beter samenwerken: in SURF- en VH-verband, maar ook onderling, bijvoorbeeld bilateraal in een stad of regio.”

Intersectorale afstemming

Hoe zit het met bestuurlijke samenwerking tijdens een crisis? Daar is inmiddels het multisectoraal bestuurlijk afstemmingsoverleg cybersecurity voor opgericht. Aan het eind van OZON 2025 was er voor het eerst ook een oefening speciaal voor de leden van dit overleg.

“Wie besluit om alle mbo-instellingen offline te halen als het echt crisis is in alle instellingen?”
Pauline Satter

Satter vertegenwoordigt het mbo in het overleg. Volgens haar was het een leerzame exercitie. “Al doende kwamen we tot keuzes en afspraken. Want in het begin gaat iedereen de crisis te lijf met zijn eigen methoden. Om een simpel voorbeeld te geven: de een schrijft op vellen op de muur, de ander heeft er een app voor, en de volgende een serie digitale borden. Als je dan in de crisismodus bij elkaar komt, wil iedereen het liefst met zijn eigen methode aan het werk. Want dat ben je gewend.”

“Dit was de eerste keer dat we een multisectorale bestuurlijke oefening deden, en het voelde heel goed om juist dit soort basale keuzes op te kunnen pakken. We hebben ook een Signalgroep gemaakt voor de leden van het overleg. Dus als het nodig is, is het team snel klaar voor actie.”

Lastiger is de kwestie van mandaat. “Wie besluit om alle mbo-instellingen offline te halen als het echt crisis is in alle instellingen? Je hebt feitelijk te maken met hele lange beslissingslijnen. Maar in een cybercrisis moet je juist heel snel kunnen handelen.”

 

Tekst: Aad van de Wijngaart

Ook oefenen? Doe mee aan NOZON 2026

In de jaren tussen de OZON-edities organiseert SURF een tabletop-oefening: NOZON. Instellingen kunnen zelf aan de slag met oefenmateriaal voor een cybercrisis. Zo ontdek je waar zwakke plekken zitten en hoe het beter kan. NOZON is in 2026.

In samenwerking met Z-CERT, MBO Digitaal en Kennisnet worden er ook trainingen georganiseerd over het opzetten, waarnemen en evalueren van cybercrisisoefeningen. 

Scenario van OZON 2025

Overheidsbeleid – bezuinigingen in het hoger onderwijs en de verplichte rekentoets in het mbo – leidt tot protesten van studenten en medewerkers. Deels zijn die protesten vreedzaam: de landelijke Eenheid Opstand Beweging (EOB) moedigt mensen aan om te protesteren op sociale media of fysiek. Ze kunnen de beweging onder meer steunen door een petitie te tekenen. Daarvoor moeten ze een browser-plugin installeren.

De beweging heeft echter ook een radicale splintercel: de Revolution Reckoners. Zij misbruiken de plug-in om DDoS-aanvallen op de ict-systemen van instellingen uit te voeren. Er zijn zelfs Reckoners die als instellingsmedewerker toegang hebben tot gevoelige data, zoals tentamens, onderzoeksgegevens en persoonlijke gegevens van studenten en medewerkers. Die data dreigen ze openbaar te maken op het dark web.

'Teambuilding voor cybercrises' is een artikel van SURF Magazine. 

Terug naar SURF Magazine

Vragen naar aanleiding van dit artikel? Mail naar magazine@surf.nl.

Charlie van Genuchten

Charlie van Genuchten

+31 6 10 10 43 26
charlie.vangenuchten@surf.nl

Gerelateerde onderwerpen: