OZON: oefen hoe je bij een cybercrisis reageert

OZON is een grootschalige, landelijke cybercrisisoefening die elke 2 jaar plaatsvindt. Tijdens OZON oefen je hoe je moet reageren bij een cybercrisis en kom je erachter of je als instelling al goed bent voorbereid op een cybercrisis. 

Logo OZON2021

Cybercrisisoefening OZON2021: wie stopt de hackers uit Guilder?

Studenten kunnen van het ene moment op het andere nergens meer inloggen. Netwerken van onderwijs- en onderzoeksinstellingen liggen plat. En er worden vertrouwelijke gegevens van studenten op internet te koop aangeboden. Wat is hier aan de hand? Cybercrisisoefening OZON2021 is gestart! Lees het verslag van deze oefendag.

1.000 deelnemers oefenen een cybercrisis

Donderdagochtend 18 maart, 9.00 uur precies. Er wordt hardop afgeteld en dan gaat de startmail naar alle deelnemers van OZON2021. Daarmee is de grootste cybercrisisoefening van het Nederlandse onderwijs en onderzoek begonnen. 1.000 deelnemers bij in totaal 65 instellingen maken zich op voor een leerzame dag vol spanning en stress, waarop ze een grote, nog onbekende cybercrisis het hoofd moeten bieden. Belangrijkste doel is dat instellingen te weten komen hoe ze reageren op zo’n crisis, of ze goed voorbereid zijn en hoe de samenwerking binnen de sector verloopt. En daarvan vervolgens leren.

Centrale oefenleiding OZON starten de dag

Centrale oefenleiding OZON in de war room op het SURF-kantoor

Het startsein geeft weinig reuring in de war room bij SURF, in tegenstelling tot de vorige edities, in 2016 en 2018. Vanwege corona zijn er alleen medewerkers van SURF op het SURF-kantoor aanwezig, de deelnemers (in totaal 1.000 mensen) zitten thuis of bij hun instelling. Charlie van Genuchten, projectleider van OZON: “Voor ons als organisatie is het totaal anders dan andere jaren: we zijn hier nu met 20 mensen, normaal zijn hier ook circa 70 vertegenwoordigers van instellingen aanwezig en is het echt een heksenketel. Nu is het wel wat stil.”

9.30 uur - De reuring online is er niet minder om. Een centraal onderdeel van de oefening is de mediasimulator. Daarin beginnen gefingeerde tweets en nieuwsberichten te verschijnen die verband houden met de oefening. Studenten en medewerkers van verschillende instellingen twitteren dat de mail het niet doet, of dat ze niet kunnen inloggen op de elektronische leeromgeving. Wat is er aan de hand?

Oefenleider OZON Charlie van Genuchten

Oefenleider Charlie van Genuchten

Charlie van Genuchten: “We hebben een mooi scenario in elkaar gezet voor de deelnemers. Een fictieve statelijke actor, Guilder, gaat vandaag het Nederlandse onderwijs en onderzoek aanvallen”. Wat is er precies gaande?

Guilder neemt wraak op Nederlands onderwijs en onderzoek

Guilder is een klein land aan de rand van Europa. Het wordt met strakke hand geleid door een dictatoriaal regime, maar vist wel naar een EU-lidmaatschap. Het land herbergt twee grote IT-spelers: een grote clouddienstverlener en een van ’s werelds grootste netwerkhardware-producenten. Nederlandse onderwijs- en onderzoeksinstellingen gebruiken en masse deze diensten en producten uit Guilder.

Al een aantal jaar zijn de verhoudingen tussen Nederland en Guilder gespannen, om politieke redenen. Met als hoogtepunt het onderzoeksrapport van de Universiteit van Harderwijk over vermeende mensenrechtenschendingen in Guilder. Daar is het regime van Guilder niet blij mee en het zint op wraak: het wil op 18 maart, drie dagen na het verschijnen van het rapport, het Nederlandse onderwijs en onderzoek platleggen, te beginnen met de Universiteit van Harderwijk. Maar dat weten de deelnemers op deze ochtend uiteraard nog niet.

Wel is er vanochtend een vertrouwelijke memo van de AIVD naar bestuurders van instellingen gestuurd vanwege de gespannen situatie met Guilder. In de memo staat het advies om alle hardware en clouddiensten afkomstig uit Guilder als dreiging te zien, en deze zo snel mogelijk buiten dienst te stellen. Op bestuurlijk niveau zijn bij de instellingen de alarmbellen dus afgegaan.

Universiteit van Harderwijk gehackt

10.00 uur - Studenten blijven zich via social media melden met inlogproblemen, helpdesks reageren dat ze de problemen aan het onderzoeken zijn. Op de mailinglijst van SCIRT, de community van securityspecialisten bij onderwijsinstellingen, vragen mensen hulp aan elkaar en aan SURF: hebben anderen dezelfde issues? Weet SURF al meer over de oorzaak van de problemen?

Fictief hackerscollectief Hidden Dragon van OZON2021

Hackerscollectief Hidden Dragon

Hackerscollectief Hidden Dragon

Niet alleen de Universiteit van Harderwijk is gehackt, maar ook andere instellingen zijn getroffen. Er wordt malware verspreid via de cloudapplicaties en er wordt besmette firmware geïnstalleerd op routers uit Guilder. Via beide wegen kunnen hackers zich toegang verschaffen tot netwerken van de instellingen, met als doel systemen te vernietigen. Die hackers, een collectief dat zich Hidden Dragon noemt, zijn direct gelieerd aan het regime van Guilder. Maar die informatie ligt natuurlijk niet voor het oprapen, de deelnemers moeten daar zelf achter komen.

10.30 uur - Simon Kort, lid van het technische team van OZON is tevreden: “Het gaat goed. Deelnemers willen informatie met elkaar delen, maar weten niet precies welke kanalen ze moeten gebruiken. En ze zoeken naarstig naar de waarheid. Er gaat juiste informatie rond, maar ook onjuiste. Wat is waar? Klopt het bijvoorbeeld dat het regime van Guilder achter al deze aanvallen zit, zoals in de pers gesuggereerd wordt? Ze zijn lekker bezig.” Technisch loopt het ook naar wens: “We zien nu dat instellingen de IP-range van het land Guilder willen blokkeren, omdat daar de hack vandaan lijkt te komen. Maar de hackers zitten daar niet, dus dat gaat niet werken!”

Acteurjournalisten bellen woordvoerders deelnemende instellingen

De 'journalisten', in werkeliijkheid medewerkers van SURF

Journalisten maken het woordvoerders moeilijk

11.00 uur - De ‘journalisten’, in werkelijkheid medewerkers van SURF, zijn inmiddels ook aan de slag gegaan. Zij zijn ‘ingehuurd’ om te bellen naar woordvoerders bij instellingen om opheldering te vragen over de situatie. Hebben jullie ook software uit Guilder? Hoe groot is de impact? Kunnen studenten wel tentamen doen? En die journalisten bijten door, die laten niet meteen los bij de eerste de beste afwimpeling. William van Santen speelt een van de journalisten: “We krijgen natuurlijk verschillende reacties. De ene woordvoerder beantwoordt mijn vragen direct, de andere is afwerender. Het is dan de kunst om door te vragen tot je toch de info hebt die je wilt hebben. Het is voor ons naast leuk ook leerzaam om te doen.” Zijn collega Alexander Wisse vult aan: “Ik werd als NOS-journalist daarnet professioneel te woord gestaan maar kreeg geen antwoorden; de woordvoerder die ik aan de lijn had, zou terugbellen. Ik ben benieuwd of ze dat ook echt doet.”’

Nog steeds onrust

14.00 uur - Er heerst nog steeds grote onrust onder studenten en medewerkers van onderwijs- en onderzoeksinstellingen. Die kunnen niet meer inloggen in online werkomgevingen, maar ook blijken er gebruikersnamen en -wachtwoorden te worden aangeboden op internet, en krijgen mensen salaris gestort van instellingen waar ze helemaal niet werken.

15.00 uur - De vertrouwelijke memo van de AIVD aan de bestuurders is gelekt naar de pers, er worden kamervragen aan de minister van OCW gesteld: men vraagt onder andere waarom instellingen nog steeds gebruikmaken van producten uit Guilder, terwijl die afhankelijkheid al jaren als zorgwekkend wordt gezien. De deelnemers op strategisch niveau worden dus ook flink aan het werk gezet. Charlie van Genuchten: “Met die kamervragen willen we onder andere testen of het ministerie van OCW en de onderwijskoepels en -instellingen elkaar goed weten te vinden. En dat blijkt het geval: op de mediasimulator verscheen om 13.30 uur al een gezamenlijk statement.”

15.15 uur - Paul Melis, ook een van de ‘journalisten’, merkt dat de persvoorlichters beter in hun rol komen. “Vanochtend waren de meesten nog verrast als we belden, en reageerden ze onwennig. Maar vanmiddag zijn ze rustiger, en reageren ze een stuk zelfverzekerder op mijn telefoontjes. Het is leuk om zo’n ontwikkeling te zien.”

Interview met Jeffeny Hoogervorst

15.30 - Jeffeny Hoogervorst, lid van het technisch team van OZON, legt uit dat de deelnemers de crisis technisch gezien steeds beter onder controle krijgen. ”Bijna allemaal hebben ze de malware ontdekt die verspreid is en zijn ze die aan het onderzoeken. Ook hun routers zijn ze aan het onderzoeken, die komen immers ook uit Guilder. En ze zijn aan het werk met de indicators of compromise (IoC’s) die gedeeld zijn door SURFcert, het computer emergency response team (CERT) van SURF. Dus de deelnemers zijn lekker aan de slag! Indicators of compromise? Dat zijn IP-adressen, bestanden of andere kenmerken die erop kunnen wijzen dat een systeem besmet is.”

Interessant en leerzaam

17.00 uur - De oefening wordt afgesloten. Alle spelers hebben keihard gewerkt en het is tijd voor een welverdiende versnapering en een drankje. Charlie van Genuchten heeft al een paar eerste observaties. “We hebben positieve reacties gekregen van de deelnemende instellingen. Er gebeurde veel op de mediasimulator, technisch zat het goed in elkaar, en werd enthousiast gewerkt door alle deelnemers en SURF-collega’s. Natuurlijk gaan we de dag uitgebreid evalueren om de lessons learned vast te stellen, maar ik kan nu al wel zeggen dat het weer een interessante en leerzame oefening was. Op naar OZON2023!”

OZON: deelnemen op 3 niveaus

Instellingen kunnen op drie niveaus meedoen aan OZON. Goud-deelnemers doen op operationeel, tactisch en strategisch niveau mee. Zilver-deelnemers volgen ook dit scenario, maar oefenen alleen de tactische en operationele aspecten. Tenslotte is er het Brons-niveau. Deze instellingen volgen een ander, kleinschaliger scenario, waarbij alleen het operationele niveau van de instelling betrokken is.

Logo OZON2021