Analyseren en duiden van de crisis bleek de grootste uitdaging.
Bestuurlijke borging bevordert cybersecurity
Op 18 maart namen 65 onderwijs-, onderzoeks- en zorginstellingen en SURF deel aan de 3e - en dit keer grotendeels online - editie van de grootschalige cybercrisisoefening OZON. Specifiek voor bestuurders van instellingen zijn aanbevelingen geformuleerd om de aanpak van een cybercrisis binnen hun instelling naar weer een hoger plan te tillen.
De afgelopen jaren vonden er steeds meer en complexere securityincidenten plaats binnen onderwijs en onderzoek. Het onderwerp staat daarom steeds hoger op de (bestuurlijke) agenda. Ook is er steeds meer aandacht voor dit onderwerp vanuit de media en de politiek. Om als sector te groeien in het omgaan met de complexiteit van technische uitdagingen, de groeiende externe aandacht en bestuurlijke en politieke vraagstukken, oefent de sector elke twee jaar een cybercrisis. Dit past binnen het bredere kader van integrale veiligheid en cyberveiligheid in het bijzonder, en is onderdeel van de afspraken die de sector met de minister en met elkaar heeft gemaakt.
Met deze OZON-oefening wordt de weerbaarheid van (hoger)onderwijs-, onderzoeks- en zorginstellingen en SURF vergroot. Instellingen ervaren hoe ze onderling samenwerken in het geval van een landelijke cybercrisis. Deelnemende instellingen konden ook nog eigen organisatiespecifieke doelen aan de oefening toevoegen.
Fictieve dreiging – de opzet van de oefening
Tijdens OZON werden deelnemers op de niveaus Goud en Zilver (zie kader) geconfronteerd met een aanval van Guilder, een fictief landje aan de rand van Europa. Deze dwergstaat, met een dictatoriaal regime dat EU-lidmaatschap nastreeft, kent twee grote IT-spelers. Dit betreft een grote clouddienstverlener en een van ’s werelds grootste producenten van netwerkhardware. Diensten en producten waar Nederlandse onderwijs- en onderzoeksinstellingen in grote getalen gebruik van maken. De verhoudingen tussen Nederland en Guilder zijn om politieke redenen al enkele jaren gespannen. De oefening startte om 9.00 uur toen bij alle colleges van bestuur een memo van BZK binnenkwam over de toenemende dreiging vanuit Guilder. BZK adviseerde dan ook om hardware uit dat land te ontkoppelen en voor software uit Guilder het exit-scenario te starten.
Succesfactoren en leerpunten
Al snel na de start van de oefening bleek de onderlinge samenwerking via bestaande kanalen goed te verlopen. Daarbuiten werd minder snel of geen contact gelegd. Deelnemende instellingen waren bijvoorbeeld redelijk actief op de SCIRT- en SCIPR-lijsten, de mailinglijsten van beveiligingscommunity’s van operationele respectievelijk beleidsmatige medewerkers die zich bezighouden met security en privacy. Om te komen tot een gezamenlijk beeld van de crisis, activeerden onderwijskoepels op hun beurt (sneller en meer dan in vorige oefeningen) de nodige gremia (integrale veiligheid, Functionaris Gegevensbeheer-overleggen, Coördinerend SURF Contactpersonen (CSC), bestuurlijk overleg en app-groepen van woordvoerders). Ook verstuurden zij enkele gezamenlijke persberichten. Hoewel op bepaalde niveaus dus zeker sprake was van gezamenlijke coördinatie, probeerden deelnemers in het begin van de crisis, toen nog veel onduidelijk was, eerst een eigen beeld te vormen. Pas daarna namen ze dan contact op met collega-instellingen.
Inge Grimm, voorzitter van het college van bestuur van Hogeschool Windesheim, over haar leerpunten tijdens de OZON-oefening.
Analyse van de crisis blijkt grootste uitdaging
Het analyseren van de crisis bleek al snel de grootste uitdaging vanwege de enorme hoeveelheid informatie en omdat de impact van de crisis per instelling verschilde. Daardoor hadden deelnemers moeite te achterhalen wat er precies aan de hand was binnen hun eigen instelling en dat naast de impact op sectorniveau te leggen. Doordat bij de oefening – net als bij een echte crisis – de impact van de aanval niet bij alle instellingen tegelijk duidelijk werd, werd veel uitvraag gedaan naar casussen bij collega-instellingen. Als vervolgens de beeldvorming en oordeelsvorming van deelnemers binnen de afzonderlijke instellingen niet gedegen verliepen, leidde dit in sommige gevallen tot verkeerde beslissingen en gebrekkige interne coördinatie.
Sinds de eerste OZON-oefening stelden al veel meer instellingen officiële crisisprocedures voor een cybercrisis op. En dat heeft effect, zo bleek uit de oefening.
Vaker crisisprocedure paraat
Een positief punt uit de evaluatie is dat sinds de eerste OZON-oefening al veel meer instellingen officiële crisisprocedures voor een cybercrisis opstelden. Dat heeft effect, zo bleek ook tijdens de oefening. Wel bleken relevante medewerkers niet altijd bekend met deze procedures, waardoor ze tijdens de oefening improviseerden in plaats van te checken wat de procedure voorschreef. Een laatste uitkomst betrof het gebrek aan mankracht op technisch vlak, waardoor verschillende instellingen moeite hadden deze kant van de oefening op te lossen. Om te komen tot een hoger veiligheidsniveau – 100% veilig bestaat niet! – is samenhang tussen alle elementen essentieel.
Hans Louwhoff, COO van SURF, vertelt over zijn ervaring met de OZON-oefening 2021.
Enthousiaste reacties
Al met al beoordeelden de spelers de oefening met een 8 (zeer goed) en gaf 95% van de deelnemers aan nogmaals mee te doen aan de oefening en deze aan te bevelen aan collega’s. Met name de uitgebreide ‘worldbuilding’ (knipselkranten en vier websites om de fictieve onderdelen van het scenario tot leven te brengen) kon rekenen op enthousiasme bij de deelnemers. Ook de oefenvoorbereiders van de deelnemende instellingen zijn positief over de oefening: zij melden dat ze bijna alle van tevoren gestelde oefendoelen behaalden. De meeste instellingen die ook in 2016 en/of 2018 meededen aan OZON, zagen bovendien veel verbeteringen in hun interne crisismanagement ten opzichte van die eerdere oefeningen.
Instellingen die eerdere jaren ook meededen, zagen veel verbeteringen in hun interne crisismanagement.
4 aanbevelingen voor bestuurders
Op basis van de evaluatie zijn specifiek voor bestuurders van instellingen 4 aanbevelingen geformuleerd om – in samenwerking met SURF – de aanpak van een cybercrisis binnen hun instelling naar een hoger plan te tillen.
1. Maak afspraken over rolverdeling en kennisdeling binnen de sector
Als incidenten en crises meerdere instellingen raken, is er op operationeel niveau al een duidelijke rol weggelegd voor SURFcert als het gaat om coördinatie en kennisdeling. Ook op strategisch en tactisch niveau werd per sector vaak goed samengewerkt. Maar om een grote crisis op landelijk niveau goed te coördineren is het nodig de verantwoordelijkheden van de koepelorganisaties, het ministerie van OCW en SURF nog explicieter te maken. Mensen die binnen deze organisaties normaal een verbindende rol hebben, bleken nu – begrijpelijkerwijs – te veel in beslag te worden genomen door de crisis bij hun eigen organisatie om ook een grotere coördinerende rol op te pakken. De rollen en taken van deze partijen in dit soort crises bleken nog niet helemaal helder.
2. Organiseer crisismanagementtrainingen
Goede beeldvorming, oordeelsvorming en besluitvorming (de BOB-procedure) is in elke crisis een grote uitdaging. Dat geldt in een cybercrisis in nog sterkere mate, omdat lange tijd onzichtbaar en ongrijpbaar kan zijn wat er precies speelt. Dus is voldoende kennis binnen het centrale crisismanagementteam en op operationeel niveau vereist om de situatie te duiden. Daarnaast is het van belang de BOB-structuur te blijven oefenen en toepassen. Gezamenlijke sessies en trainingen voor deze onderwerpen kan SURF organiseren, zoals we ook deden na de OZON-oefening in 2018. Maar specifieke trainingen voor de eigen crisisstructuur zullen instellingen zelf moeten organiseren.
3. Deel (best) practices rond cybercrisismanagement
Veel instellingen nemen inmiddels ook cybercrises mee in hun centrale crisismanagementprocedures. Er bestaat echter nog veel behoefte aan materiaal om procedures en hulpmiddelen te verbeteren. Het uitwisselen van best practices is dus een belangrijke aanbeveling. SURF kan hierin voorzien door samen met de community’s SCIRT en SCIPR meer kennisdeling te faciliteren.
4. Blijf oefenen
Twee uitkomsten onderstrepen het belang van blijven oefenen. Allereerst dat relevante medewerkers bestaande procedures vaak niet kennen en daardoor niet volgen, en ten tweede hoe moeilijk het is om een crisis goed te analyseren. Oefeningen op grote schaal, zoals OZON, helpen het bewustzijn te vergroten en het hele crisisproces te doorleven. Kleinere oefeningen tussendoor, zoals tabletop-oefeningen als NOZON en operationele oefeningen als de Capture the Flag van SURFcert, blijven eveneens essentieel. SURF en SURFcert blijven deze oefeningen organiseren.
Samenvattend kunnen we concluderen: cybercrisismanagement kent geen quick fixes en vraagt om structurele (bestuurlijke) aandacht.
Tekst: Wilma Schreiber
Video: Dyzlo
OZON in vogelvlucht
OZON, de tweejaarlijkse sectorbrede cybercrisisoefening, is uitgegroeid tot een exercitie met zo’n 1.000 deelnemers uit 40 onderwijs-/onderzoeksinstellingen op Goud- of Zilver-niveau en nog eens 22 op Brons-niveau. Een groot verschil met eerdere edities was dat veel mensen vanwege de coronarestricties dit keer vanuit huis deelnamen. Verder is de Brons-oefening wel organisatorisch geëvalueerd, maar dat leverde vanwege de kleinschalige opzet geen leerpunten over inhoudelijk crisismanagement op. Vandaar dat de evaluatie uitsluitend betrekking had op de Goud- en Zilver-niveaus van OZON 2021. Meer informatie op www.surf.nl/ozon2021.
‘Bestuurlijke borging bevordert cybersecurity’ is een artikel van SURF Magazine.
Vragen naar aanleiding van dit artikel? Mail naar magazine@surf.nl.