Expertblogs

ISIDOOR 2021: een persoonlijke reflectie

Twee maanden geleden vond ISIDOOR 2021 plaats. Zoals meerdere keren gezegd, Nederlands grootste nationale cyber-crisisoefening. Tijdens ISIDOOR 2021 werd het Nationaal Crisisplan Digitaal geoefend. Uiteindelijk deden 96 organisaties en ruim 1.500 personen mee aan deze oefening. Op dit moment loopt het evaluatieproces bij de verschillende betrokken organisaties en worden de lessen met elkaar gedeeld. In deze blog alvast een kleine spoiler om, vooruitlopend op het evaluatierapport, te reflecteren op ISIDOOR 2021.

Wat gebeurde er nu eigenlijk?

ISIDOOR 2021 richtte zich op de kantoorautomatiseringssystemen. Begin juni blijkt er een kwetsbaarheid in een veel gebruikt besturingssysteem te zitten. Maatregelen om de kwetsbaarheid te verhelpen of patches zijn op dat moment nog niet beschikbaar. Meestal zie je, dat wanneer een dergelijke kwetsbaarheid bekend wordt, er meerdere kwaadwillende partijen misbruik proberen te maken van de situatie. Zo ook tijdens ISIDOOR, met vooral veel overlast en kleine verstoringen tot gevolg. Dit zorgde voor een rookgordijn wat de aandacht afleidde van een veel groter en complexer probleem. Een statelijke actor had via de kwetsbaarheid al twee maanden toegang tot de systemen van de Rijksoverheid en vitale diensten in Nederland. Allerlei gevoelige data werd ingezien en buitgemaakt. Deze data betrof bijvoorbeeld informatie over gevoelige strafzaken, aanbestedingsprocedures, toegangsgegevens tot cruciale systemen in de procesautomatisering, gevoelige dossiers, beveiligingsinformatie, etc. Dit leidde zowel op organisatie als op nationaal niveau tot allerlei vragen:

  • Welke data is er weg en hoe gevoelig is dit?
  • Moeten we systemen gaan afschakelen en wat zijn de gevolgen hiervan?
  • Hoe gaan we om met een statelijke actor die ons als land aanvalt?
  • Hoe verdelen we de forensische capaciteit?
  • Kunnen vitale en Rijksoverheidsdiensten nog wel veilig worden aangeboden?

Reden genoeg tot zorgen, zowel op organisatieniveau, als op nationaal niveau. Het ISIDOOR-scenario leidde dan ook binnen alle betrokken organisaties tot opschaling, bij 75% van de organisaties tot opschaling naar het strategische niveau én tot het activeren van de nationale crisisstructuur.

De oefening in cijfers

  • 96 deelnemende organisaties en gremia (grootste sector energie met 14 deelnemende organisaties)
  • Meer dan 1500 deelnemers. Acht organisaties hadden ieder meer dan 40 deelnemers
  • Eén organisatie deed met 10 teams mee aan de oefening
  • Driekwart van de organisaties heeft opgeschaald naar strategisch niveau
  • 40% van de organisaties heeft aangifte gedaan
  • Er is tijdens de oefening meer dan 170 keer contact opgenomen met het NCSC
  • 60% van de deelnemende organisaties heeft in een samenwerkingsverband sectoraal afgestemd
  • Door 15 organisaties werd namens hun sector een teamlid afgevaardigd naar de ICT Response Board (IRB)
  • 70% van de organisaties heeft niet overwogen om een WBNI-melding te doen

Bron: Concept leerevaluatie ISIDOOR 2021, COT 2021

Wat zien we op hoofdlijnen terug?

ISIDOOR heeft een hoop leerpunten opgeleverd. Overkoepelend springen er voor mij als projectleider en adviseur crisisbeheersing bij het NCSC een aantal dingen uit:

1. Cybercrisis is een onzekerheidscrisis

Als eerste blijkt maar weer dat een cybercrisis, meer nog dan andere crises, een onzekerheidscrisis is. De snelheid waarmee een cyberincident zich ontwikkelt en de behoefte aan duidelijkheid en handelingsperspectieven van de buitenwereld matcht hierin niet met de gevraagde zorgvuldigheid in de respons, het technisch helder krijgen en het duiden van de consequenties. Doordat organisaties doorgaans pas actie ondernemen of informatie delen wanneer er een zekere mate van duidelijkheid is loop je daarmee bijna per definitie achter de feiten aan.

2. Verbindingen tussen werelden is cruciaal

Binnen een cybercrisis is het belangrijk dat de verschillende betrokken ‘werelden’ elkaar vinden en elkaar begrijpen. Zo is een cybercrisis meer dan alleen een technisch probleem voor alleen de cyber-experts. Het betekent vaak iets voor de continuïteit van de diensten die de organisatie verleent en de positie die de organisatie in zijn netwerk inneemt. Dit betekent dat ook de crisisorganisatie, de communicatieafdeling, de bedrijfscontinuïteitsmanagers en de legal afdeling er iets mee moeten. Cybersecurity moet zowel tijdens een cybercrisis als buiten een cybercrisis besproken worden aan de bestuurstafel. Op deze manier kunnen eventuele problemen snel en goed geduid worden op het juiste niveau en kunnen integrale maatregelen genomen worden.

3. Elkaar vinden is niet per definitie elkaar begrijpen

De cijfers ondersteunen dat steeds meer organisaties elkaar weten te vinden. In ISIDOOR hebben veel organisaties aangifte gedaan, contact opgenomen met het NCSC of een WBNI- of AP-melding gedaan. Dat is erg positief en hierin zien we dat het harde werk van de afgelopen jaren in het elkaar leren kennen en elkaar vinden zijn vruchten afwerpt. Er is nog wel winst te behalen in het elkaar begrijpen. Dit zit vooral in het helder voor ogen hebben met welk doel informatie met elkaar gedeeld wordt. Dit geldt enerzijds binnen organisaties: cyberexperts moeten het probleem goed kunnen overbrengen naar crisisexperts. Anderzijds geld dit ook binnen het cyberstelsel. Van het NCSC wordt bijvoorbeeld een bepaalde duiding van de gebeurtenis verwacht. Deze duiding kan alleen gegeven worden wanneer organisaties meer aanleveren dan alleen de melding dat ze getroffen zijn door een probleem.  

Hoe nu verder?

De komende periode rondt het COT Instituut voor Veiligheids- en Crisismanagement het evaluatierapport van ISIDOOR 2021 verder af. Vervolgens is het belangrijk om deze lessen zo breed mogelijk te verspreiden én daar natuurlijk iets mee te doen. Persoonlijk ben ik ervan overtuigd dat de uitkomsten van deze oefening, in combinatie met de uitkomsten van de recente incidenten er toe gaan leiden dat we weer stappen kunnen zetten naar een digitaal veiliger Nederland. Op korte termijn worden de lessen bijvoorbeeld meegenomen in de herziening en doorontwikkeling van het NCP-digitaal en organisatie specifieke plannen. Daarnaast worden de lessen geïmplementeerd in opleidingen, trainingen en oefeningen. Op langere termijn zullen we aan de hand van deze uitkomsten samen met de betrokken spelers moeten blijven werken aan thema’s als samenwerken, informatiedelen en coördineren tijdens crisis.

Uiteindelijk hopen we natuurlijk ook op een volgende ISIDOOR en ook hierin zullen we proberen om ISIDOOR meer te laten zijn dan alleen een oefening. Dat wil zeggen: veel aandacht voor samen leren in de voorbereiding, samen oefenen om verder te komen en samen aan de slag met de lessen.

Tot slot

Persoonlijk kijk ik terug op een zeer geslaagde oefening. Het was een intensief traject naar ISIDOOR toe waarin we samen met vertegenwoordigers van NCSC, NCTV, COT en FOX-IT de oefening hebben vormgegeven en, samen met vertegenwoordigers van de betrokken organisaties hebben uitgewerkt. Uiteindelijk hebben we de oefening met een team van 100 personen, bestaande uit vertegenwoordigers van de betrokken sectoren en organisaties aangestuurd en tot een goed einde gebracht.

De beleving en betrokkenheid van al deze mensen was gigantisch en zonder hen had ISIDOOR 2021 niet het succes geweest wat het nu is. Het maakt me dan ook trots en dankbaar dat ik hier samen met al deze mensen een rol in heb mogen spelen!

Kees Verkade

Projectleider ISIDOOR 2021

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

Er zijn nu geen reacties gepubliceerd.