Interview
Kim Loohuis
Tekst:
Kim Loohuis
Verwachte leestijd: 7 min

CISO Den Haag: ‘Een cybercrisis is veel grilliger dan een ‘analoge’ crisis’

Een cybercrisis vergt een enorme flexibiliteit, omdat de situatie iedere minuut volledig kan veranderen. “Veel oefenen om crisisplannen te verfijnen is het devies”, zegt Jeroen Schipper, Chief Information Security Officer (CISO) bij de gemeente Den Haag.

In de rol van CISO is Jeroen verantwoordelijk voor het digitaal weerbaar houden van de gemeente. Dat betekent enerzijds zorgen voor maatregelen om cyberaanvallen en datalekken te voorkomen en anderzijds zorgen dat, op het moment dat er toch iets gebeurt, de gemeente daar snel van kan herstellen.

De Citrix-crisis van eind 2019 maakte duidelijk dat er op digitaal crisisgebied zaken verbeterd konden worden bij de gemeente Den Haag. “Er was een IT-calamiteitenplan dat we tijdens die crisis hebben ingezet en dat ging allemaal best goed, maar we zagen wel in dat het beter kon. Dus zijn we als cybersecurity-afdeling binnen de gemeente een digitaal crisisplan gaan schrijven dat aansluit op de processen van de bestaande crisisorganisatie.”

De cybersecurity-afdeling heeft een crisisplan geschreven dat aansluit op de bestaande crisisorganisatie

Wat Jeroen en zijn team van twintig securityspecialisten direct merkten is dat cybercrisismanagement nog geen volwassen onderwerp is. “Als je kijkt naar hoe de crisisorganisatie binnen de gemeente werkt, samenwerkt met andere organisaties zoals de Veiligheidsregio en hoe crises uitentreuren worden geoefend, kunnen we daar op het vlak van cyber nog veel van leren, met name op praktisch gebied. Bovendien moeten de huidige crisisorganisaties heel erg wennen aan het feit dat een cybercrisis geheel anders is dan een reguliere, zeg maar analoge, crisis”, zegt Schipper.

Waarin zit het belangrijkste verschil tussen een ‘analoge’ en een cybercrisis?
“Het gaat met name om de tijdigheid waarop er van alles kan gebeuren. Bij een analoge crisis heb je vaak draaiboeken op basis waarvan je kunt handelen. Dat geeft houvast. Maar bij een cybercrisis weet je eigenlijk nooit zeker wat er nou precies aan de hand is. Als gemeente Den Haag hebben we vorig jaar meegedaan aan de nationale ISIDOOR-oefening.

Daar hebben we enorm veel van geleerd, omdat we op het laatste moment volledig op het verkeerde been werden gezet. Zo dachten we te maken te hebben met een ransomware-aanval en waren we bezig daarnaar te handelen. Maar zo’n twee uur voor het einde van de oefening kregen we te horen dat de aanvaller al twee maanden op het netwerk aanwezig was en inmiddels allerlei data had weggesluisd. Van het ene op het andere moment verandert dan je hele scenario en moet je gaan bedenken: ‘wat nu?’.”

Wat zou een crisisorganisatie van cyber moeten begrijpen of weten?
“Hoe snel incidenten zich kunnen voordoen. Vorig jaar hebben we ook een oefening gedaan op bestuurlijk niveau. Daarin zagen we dat het incidententeam binnen de gemeente echt moest wennen aan het feit dat er tijdens de eerste besprekingen, waarbij gekeken werd wat er aan de hand was, nog zaken veranderden die enorme impact hadden. Zo begon de vergadering met de mededeling dat we zo’n anderhalve dag nodig zouden hebben om de back-ups te herstellen, maar werd er niet veel later in de vergadering ingebroken met het bericht dat ook de back-ups verloren waren gegaan.”

Wanneer komt een digitale crisis op jouw bord als CISO?
“Wanneer er kwade wil in het spel is. Vorig jaar hebben we als gemeente een echt incident meegemaakt waarbij bepaalde systemen uitvielen en de continuïteit van de dienstverlening van de gemeente in het gedrang kwam. Dat bleek het gevolg van een foute handeling in plaats van een hack en daarmee konden we direct de cybercomponent afschalen. Dan ligt het op het bord van de Chief Information Officer (CIO) en de manager van de afdeling Automatisering. Zij moeten ervoor zorgen dat de systemen weer worden hersteld.

'We checken eerst of er kwade opzet in het spel is'

Dit incident heeft er wel voor gezorgd dat we ons digitale crisisplan verder hebben verfijnd. De eerste check die we nu doen is of er kwade opzet in het spel is. Als dat niet het geval is, pakken we het IT-calamiteitenplan erbij. Als er wel kwade opzet is, dan pakken wij onze cyberdraaiboeken uit de la en werken we op twee fronten. Enerzijds de IT-afdeling die de systemen weer op orde moet krijgen en anderzijds de security-organisatie die onder meer moet zorgen voor forensisch onderzoek, het type encryptie moet achterhalen in geval van ransomware, moet uitzoeken hoe je in contact komt met de afpersers, maar ook het bestuur van advies moet voorzien over bijvoorbeeld al dan niet betalen van losgeld.”

Wat zijn de belangrijkste elementen in zo’n cybercrisisplan?
“Het is eigenlijk een incident responseplan dat aangeeft hoe te handelen bij een cybercrisis. Het belangrijkste daarbij is dat je heel duidelijk hebt wie welke rol heeft binnen de crisis en ook afspraken maakt over wie wat doet. Het plan dat we nu hebben, is steeds verder verfijnd door allerlei oefeningen, maar ook door concrete incidenten.

De gemeente Den Haag heeft haar plannen steeds verder verfijnd

Afgelopen december hadden we bijvoorbeeld te maken met een DDoS-aanval, waarbij kwaadwillenden probeerden om onze servers te overbelasten. Toen hebben we twee dagen lang veel moeite gehad om onze diensten als gemeente te kunnen leveren. Wat mooi was aan dit incident is dat het een maand na een cyberoefening plaatsvond. Dus twintig minuten na de melding zaten we al met een negenkoppig crisisteam aan tafel en gingen we als vanzelf door waar we een maand eerder waren gebleven. We hoefden niet na te denken over wie welke rol had, het ging heel organisch. We hebben alleen wel even moeten roepen dat dit echt was en geen oefening, haha.”

Dat kwam mooi uit, maar waarom is het oefenen van cybercrises nog meer zo belangrijk?
“Onze gemeente staat erom bekend dat we ernaar streven de boel op orde te hebben. Ik merk dat veel organisaties cybersecurity een spannend onderwerp vinden en het lastig vinden om hiermee te beginnen. Maar ook wij zijn ooit gewoon begonnen met een simpel A4’tje met namen en telefoonnummers waarop we aangeven wanneer we naar wie escaleren.

'Wij zijn ook ooit begonnen met een simpel A4'tje'

Inmiddels hebben we een cybercrisisplan, Hâck The Hague en oefenen we geregeld om te leren hoe je moet acteren in een cybercrisissituatie. Om andere gemeenten en organisaties op weg te helpen met het vergroten van hun digitale weerbaarheid, hebben we vorig jaar samen met het Haagse cybersecuritybedrijf Cybersprint een gratis e-guide ‘Zó hack je een stad’ uitgebracht.”

Hoe oefen je een cybercrisis?
“Veel organisaties, waaronder de VNG, maar ook binnen de Rijksoverheid, hebben allerlei scenario’s liggen die je eenvoudig kunt downloaden of opvragen, zelfs inclusief video’s met acteurs. Je kunt ook oefeningen inkopen. Zo hebben wij een paar jaar geleden een table top gedaan met de top van de gemeentelijke organisatie, dat is meer een wedstrijd tussen teams. Het gaat erom te leren hoe je reageert op bepaalde veranderingen in scenario’s. Dat hoeft echt niet veel tijd of geld te kosten. Wat wel heel belangrijk is, is dat je aan de top van je organisatie iemand hebt die als sponsor of ambassadeur kan dienen, in ons geval wethouder Bruines. Oefenen heeft bovendien ook met je organisatiecultuur te maken. Ik kom van origine uit de Defensie-organisatie en daar is oefenen vanzelfsprekend. Die mindset moet bij veel organisaties nog beter tussen de oren komen.”

Hoe belangrijk is het evalueren van een cybercrisis?
“Enorm. Het is een heel eenvoudige manier om je crisisplan nog beter te maken. Na de DDoS-crisis van afgelopen december hebben we al na een week een extern bureau uitgenodigd om met ons te evalueren. Dat kun je ook intern doen, maar wij kozen bewust voor een externe partij omdat die hier veel ervaring mee heeft. Zij kunnen direct de juiste vragen stellen waarmee wij onze plannen kunnen verfijnen. Op dit gebied kunnen veel organisaties, wijzelf incluis, nog wat stappen zetten. Evalueren van oefeningen en crises wordt regelmatig onderschat.”

Kun je nog wat meer vertellen over die hackers die de gemeente Den Haag helpen bij de cyberweerbaarheid?
“Dat is ‘Hâck The Hague’, een project dat in 2017 is gestart naar aanleiding van een onderzoek van de Algemene Rekenkamer naar digitale veiligheid. Het idee erachter is dat hackers vaak als een grote bedreiging worden gezien, dus een van de wethouders bedacht dat we ethische hackers zouden kunnen uitnodigen om onze systemen te testen. Dat is vrij klein begonnen met zo’n dertig, veertig hackers die in een paar uur tijd drie kwetsbaarheden vonden in ons netwerk. Dat is voor ons als gemeente heel waardevol, omdat we die kwetsbaarheden kunnen oplossen voordat criminelen er hun voordeel mee doen.

'Hâck The Hague is uitgegroeid tot een enorm evenement'

Inmiddels is Hâck The Hague uitgegroeid tot een enorm evenement van een hele dag waarbij de laatste keer, toen was het virtueel, meer dan tweehonderd hackers uit de hele wereld meehielpen. Toen werden er 125 kwetsbaarheden gevonden. Het is heel interessant om te zien wat deze hackers allemaal vinden. Niet alleen bij ons, maar ook bij onze leveranciers. Soms komen daar zelfs zaken uit die op nationaal niveau geëscaleerd moeten worden. Het inzetten van de hacker community om onze eigen digitale weerbaarheid te vergroten, biedt enorme toegevoegde waarde. We krijgen zo veel informatie over kwetsbaarheden, maar worden ook gewaarschuwd over bedreigingen die spelen. Eind vorig jaar waren er verschillende kwetsbaarheden met grote impact, zoals Log4J en Kaseya, waarover wij in een vroeg stadium al door de hacker-community werden gewaarschuwd.”

Hoe kunnen organisaties de aanpak van cybercrises naar een hoger niveau tillen?
“Begin gewoon en zie er niet tegenop. Of je nu een CISO bent of iemand met een dubbelrol bij een kleinere organisatie, begin gewoon eens op een A4’tje op te schrijven wie wie belt wanneer er iets gebeurt. Ook wanneer je je IT hebt ondergebracht bij een externe partij kun je dit soort afspraken met die leverancier maken. Wie doet wat?

'Er wordt steeds meer gefaciliteerd'

Ik zie bovendien dat er vanuit de overheid ook steeds meer gefaciliteerd wordt op dit gebied. Zo schreef staatssecretaris Alexandra van Huffelen in een brief aan de Tweede Kamer dat ‘red teaming’, het door ethische hackers laten testen van de veiligheid van systemen, standaard moet worden bij de rijksoverheid. Dat helpt enorm. Ook zaken als de jaarlijkse Nationale Cyberoefening, Alert Online, de ONE Conference en Hâck the Hague zijn allerlei initiatieven die steeds meer naar elkaar toe trekken om zaken af te stemmen. Op die manier bereik je een breder publiek en kun je laten zien wat je nu eigenlijk moet doen bij een cybercrisis. Wanneer ons cybercrisisplan intern is goedgekeurd, gaan we dan ook zeker delen met andere organisaties.”

Bij een ‘analoge’ crisis werken veel partijen met elkaar samen. Hoe zit dat bij een cybercrisis?
“Daar is het nog niet zo gewoon. Veel organisaties hebben wel afspraken met een cybersecurityleverancier zodat ze binnen een paar uur over mensen kunnen beschikken die komen helpen. Toch proberen we als gemeente Den Haag actief de samenwerking op te zoeken. Ik weet zeker dat wanneer we geraakt worden, onze buurgemeenten, de VNG, maar ook het NCSC of zelfs Defensie, ons willen helpen. Eerder hebben we in Den Haag de ransomware-aanval op ROC Mondriaan gehad. Het is dan niet meer dan logisch om contact op te nemen met de vraag of we konden helpen.

Het ROC Mondriaan is ooit getroffen door een ransomware-aanval. De gemeente Den Haag vindt het dan niet meer dan logisch om hulp aan te bieden

Vaak is dat al heel fijn voor de getroffen partij; dat je je betrokkenheid laat zien. Zodat zij weten dat ze er niet alleen voor staan. Dat is in mijn optiek de manier waarop we binnen Nederland met cybercrises moeten omgaan. Niet vanuit eilandjes, maar vanuit een gezamenlijkheid die je ook ziet bij analoge crises. In dit licht is communicatie ook cruciaal. Waar organisaties eerder hun lippen stijf op elkaar hielden bij een cyberincident, zie je steeds meer dat er open en transparant gecommuniceerd wordt. Op het moment dat je dat doet, kun je het eigenlijk al niet meer fout doen naar de buitenwereld. Want je geeft aan wat er is gebeurd, dat je de situatie nu naar beste eer en geweten managet en met het doel dat anderen daarvan kunnen leren. Neem de incidenten bij Hof van Twente en Universiteit Maastricht. Dat zijn cases waar wij als gemeente ook naar kijken en weer van leren.”

Wat is belangrijk voor een crisismanager als het gaat om cyber?
“Een crisismanager moet alle soorten crises kunnen managen, wat betekent dat hij allround moet zijn. Belangrijk is dat zo iemand zich realiseert hoe anders een cybercrisis is en dat daar dus een heel andere focus nodig is. Zo moet hij niet alleen de crisis managen, maar ook in staat zijn om het team aan te sturen dat met de cybersecuritykant bezig is en ervoor zorgen dat er aangifte gedaan kan worden. Dus dat er forensisch onderzoek gedaan wordt en de beheerder aansturen om de juiste informatie boven tafel te krijgen. Maar het belangrijkste is misschien wel dat zo iemand enorm flexibel moet zijn, want een cybercrisis kan binnen een minuut volledig veranderen.”

Zijn er nog andere tips die je kunt delen?
“Het samenspel in de driehoek IT, security en BCM, Business Continuity Management, is belangrijk. Tijdens een cybercrisis heeft security een aparte rol. De IT-afdeling is bezig om systemen te herstellen. Daarnaast moet de business zo snel mogelijk weer doorgaan, maar moeten daar ook plannen en scenario’s liggen om bijvoorbeeld enige tijd zonder IT-systemen te kunnen werken.

'Het is een samenspel tussen IT, security en BCM'

Security is vooral bezig met het onderzoeken en veiligstellen van digitale sporen, maar ook de advisering van de IT-organisatie en het bestuur over bijvoorbeeld betalen van losgeld. Veel mensen hebben daar een mening over, maar dat is altijd een bestuurlijke afweging waarbij, net als bij analoge crises, de veiligheid van mensen voorop staat. Zo kun je vastbesloten zijn om niet te betalen, maar wat als er door ransomware een bepaalde sluis openstaat waardoor er mensenlevens in gevaar komen? Je kunt dit soort zaken pas besluiten op het moment dat je in die crisis zit. Wat je vooraf wél kunt en moet doen, is je voorbereiden, door na te denken over dit soort dilemma’s.”

15 april 2022