OZON laat je een cybercrisis 'met elkaar doorleven'
Zo’n zeventig onderwijs- en onderzoeksinstellingen werden afgelopen maart overvallen door een reeks van cyberaanvallen. Niet in de echte wereld, maar wel heel realistisch tijdens OZON, de tweejaarlijkse grote cybercrisisoefening voor de onderwijs- en onderzoekssector.
Deelnemers kregen bijvoorbeeld te maken met een aanval op het inschrijfsysteem of het inlogsysteem, bij andere instellingen viel het netwerk uit. Problemen die werden veroorzaakt door een eigen medewerker die ook voor een criminele organisatie bleek te werken, een insider threat. Daarnaast openbaarde een groep activisten op dezelfde dag elke twintig minuten een zero day vulnerability: een nieuwe kwetsbaarheid die nog niet gepatcht kan worden. ‘Een ongeluk komt immers nooit alleen’, stelt Charlie van Genuchten, projectleider OZON bij SURF.
Belang: je zeker voelen
Dit keer namen er zo’n zeventig onderwijs- en onderzoeksinstellingen, ketenpartners en koepelorganisaties deel aan de oefening. Het hoogste aantal sinds de eerste oefening in 2016. ‘Het gaat me echter niet om het aantal deelnemers’, benadrukt Van Genuchten. ‘Ik vind het belangrijk dat iedere organisatie de basis voor crisismanagement, inclusief cybercrisismanagement, heeft staan. En dat een instelling zich zeker voelt over de eigen crisisprocedures.’ Voorwaarden die je volgens haar creëert door te oefenen én te evalueren. Om te weten wat er op je afkomt tijdens een cybercrisis, moet je zo’n crisis in haar woorden ‘met elkaar doorleven’. ‘Zodat iedereen weet wat er van hem of haar wordt verwacht op het moment dat het misgaat. Goed voor de bewustwording en het versterkt de weerbaarheid.’
Wie doen er mee?
Gemiddeld nemen organisaties met zo’n dertig mensen deel aan de oefening, maar dat aantal kan oplopen tot wel honderd. Het belangrijkste is volgens Van Genuchten dat je met de hele keten ervaring opdoet. Op operationeel, strategisch en tactisch niveau. ‘Dat betekent dat organisaties niet alleen IT’ers en leden van het centraal Crisis Management Team mee laten doen, maar juist ook mensen van de afdeling communicatie en in het geval van onderwijsinstellingen de studentenadministratie bijvoorbeeld. Collega’s die bepaalde crisisprocedures waarschijnlijk niet zo vaak met elkaar bespreken’, legt ze uit.
"Deelnemers worden steeds fanatieker, ze willen de oefening te slim af zijn"
Charlie van Genuchten
Gezamenlijke afstemming steeds beter
Wat Van Genuchten tijdens de afgelopen OZON is opgevallen, is dat het delen van informatie tussen organisaties steeds beter gaat. Zo was er bijvoorbeeld een deelnemer die nog voor het einde van de oefening precies op een rijtje had gezet wat zij als organisatie allemaal hadden gedaan. Informatie die ze met alle deelnemers hebben gedeeld. ‘Superwaardevol, omdat er zo voor alle deelnemers een checklist ontstaat.’
‘Ook was er op operationeel en op strategisch niveau meer dan voorheen contact met bijvoorbeeld ketenpartners en koepelorganisaties’, geeft ze aan. ‘Met als concreet resultaat dat er een aantal gezamenlijke persberichten naar buiten is gebracht.’ ‘Het besef dat we bij een crisis móeten samenwerken, is voor iedereen duidelijk’, concludeert ze. ‘Dit hebben we niet alleen via OZON geleerd, maar het is recent ook gebleken in de echte wereld. Denk aan de uitbraak van de coronapandemie. Toen hebben we ook sámen bepaalde structuren moeten opbouwen.’
De crisiskoffer!?
Tot slot vond Van Genuchten het heel leuk dat OZON-deelnemers steeds fanatieker worden. ‘Ze willen de oefening te slim af zijn’, lacht ze. ‘Zo ontstaan er al in de aanloop naar OZON allerlei appgroepjes. Mensen bedenken dus van tevoren wie er in hun netwerk zit en wie ze denken nodig te hebben.’ ‘Dat is mooi, want het feit dat deelnemers hierover nadenken helpt hen ook in het geval van een echte crisis. Zoals dat ook geldt voor de naarstige zoektocht naar de crisiskoffer, waar in verschillende appgroepen over werd gesproken. Of de vraag of het crisishandboek ook ergens offline te vinden is …
