ISIDOOR

Geleerde lessen

Overduidelijk is dat ISIDOOR bijdraagt aan brede bewustwording. Voor veel sectoren voelt cyber een beetje als ver van hun bed. Door ISIDOOR is het heel duidelijk geworden dat een cybercrisis in een zeer korte tijd een fysiek effect kan hebben. ISIDOOR helpt om elkaar beter te leren kennen. Op die manier kunnen we  tijdens een echte crisis snel acteren. Verder zien deelnemers het Nationaal Cyber Security Centrum (NCSC) als dé organisatie waar ze naar kijken voor gevalideerde informatie tijdens een cyber crisis. Ook werd duidelijk dat de opschaling naar de landelijke crisis structuur voor deelnemende organisaties soms nog nieuw en onbekend is. Er zijn vragen over wat de nationale opschaling voor de rollen en verantwoordelijkheden betekent. Ook is niet altijd bekend hoe de informatielijnen lopen. Tot slot zien we dat het Landelijk Crisisplan Digitaal nog niet bij iedereen bekend is.

De oefening was verspreid over vier dagen en werd georganiseerd door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum (NCSC), ondersteund door het COT en FOX-IT. Het doel was om de informatie-uitwisseling, samenwerking en nationale opschaling bij een cybercrisis te beoefenen. 

Het begon klein en eindigde in een actieve Nationale crisisstructuur

Het scenario van ISIDOOR IV draait om een fictieve softwareleverancier, Sysmetrics, die monitoringssoftware levert. Deze software, genaamd Availomon, wordt door alle aan ISIDOOR deelnemende organisaties gebruikt om interne systemen in de gaten te houden en is dus wijdverspreid binnen de vitale en digitale infrastructuur van Nederland. Een fictieve statelijke actor is binnengedrongen bij Sysmetrics en heeft toegang (een zogenaamde backdoor) in Availomon gebouwd. Doordat de actor deze toegang actief misbruikt en er een fout in een software update van Availomon is geslopen, ontstaan er bij verschillende organisaties verstoringen in de dienstverlening en gaan er alarmbellen af. De verstoringen beginnen klein maar gedurende de oefening krijgen er steeds meer ‘mensen’ last van, waardoor uiteindelijk de nationale crisisstructuur geactiveerd moet worden.  

Hoe nu verder?

Zodra de evaluatie helemaal is afgerond wordt deze aangeboden aan de Tweede Kamer. De evaluatie van ISIDOOR kan relevante bevindingen en aanbevelingen opleveren voor het Landelijk Crisisplan Digitaal. Jaarlijks wordt bekeken of een actualisering van het LCP Digitaal nodig is. De lessen van ISIDOOR kunnen onder andere in het plan worden verwerkt. In 2024 gaan we aan de slag met het voorbereiden van een volgende oefening om de weerbaarheid tegen cyber te blijven vergroten.

Begin juni 2021 vond ISIDOOR III plaats. De oefening bestond uit een operationeel/tactisch deel en een bestuurlijk deel. Het eerste deel van de oefening focuste zich op operationeel/tactisch samenwerken tussen het cyberdomein en andere organisaties, maar ook met partijen betrokken vanuit crisisbeheersing, zoals diverse Departementale Coördinatiecentra Crisisbeheersing (DCCs) en een aantal veiligheidsregio’s. De nationale crisisstructuur werd geactiveerd, waardoor ook het bestuurlijke deel van ISIDOOR geoefend kon worden in de vorm van een Interdepartementale Commissie Crisisbeheersing (ICCb). Hierin waren meerdere departementen vertegenwoordigd.