Cyberoefening OZON: ‘Het spelelement maakt het extra memorabel’

Hoe zet je een goede, grootschalige cybersecurity-oefening op? Deze vraag legde ik voor aan Charlie van Genuchten, productmanager bij SURF. SURF houdt elke twee jaar voor zo’n 60 onderwijsinstellingen de cybersecurity-oefening OZON. “Het is maar goed dat we vooraf niet wisten hoeveel werk het zou zijn”, zegt ze. “Anders waren we er waarschijnlijk nooit aan begonnen. Nu weten we dat het de tijdsinvestering meer dan waard is.”

“Het begon in 2016 met een proefballonnetje”, vertelt Charlie. “We hadden meegedaan met de overheidsbrede cyber-oefening ISIDOOR. We wilden kijken of we zo’n soort oefening ook voor onze eigen sector konden organiseren. Ons uitgangspunt was om de hele escalatie te oefenen, op elk niveau en intersectoraal. Veel onderwijsinstellingen werken namelijk met vergelijkbare systemen. Dus bij een cyberaanval zijn we erbij gebaat om snel kennis te delen. Ook wilden we leren hoe we elkaar tijdens een cyberaanval kunnen helpen.”

“Toen we het idee lanceerden, werden we overspoeld met inschrijvingen”, vertelt Charlie. “We hebben besloten om de inschrijvingen te sluiten, toen 12 instellingen zich hadden opgegeven. We waren bang dat het anders te groot zou worden. Dat eerste jaar hebben zo’n 800 mensen meegespeeld.” SURF heeft besloten om de OZON-oefening elke 2 jaar te herhalen. In 2018 stelde SURF geen maximum meer aan het aantal inschrijvingen. Toen deden 60 onderwijsinstellingen mee, waarvan er 45 meespeelden. In 2021 ging de oefening in aangepaste vorm door, vanwege corona. SURF hoopt na de coronacrisis het oude ritme weer op te pakken.

Wat is kenmerkend voor de oefeningen zoals jullie die tot nu toe hebben gedaan?
“Dat we het echt samen met de onderwijsinstellingen hebben opgezet. Wij hebben een centraal scenario geschreven. Elke organisatie heeft zelf een eigen scenario geschreven dat daarop aansluit. Zij hebben dus zelf gekeken wat hun kroonjuwelen zijn, wie wat doet tijdens een cyberaanval en wat ze wilden bereiken. Op basis daarvan hebben alle instellingen een eigen scenario uitgewerkt en geoefend.

Dit leverde een leuke, realistische oefening op. Maar we kwamen er ook achter dat het voor de deelnemende instellingen een grote tijdsinvestering vraagt om dit goed voor te bereiden. De onderwijsinstellingen waren zo’n 8 maanden bezig met de voorbereidingen, en per instelling waren er zo’n 2 mensen veel tijd aan kwijt. We hebben uitgerekend dat de oefening per deelnemende instelling zo’n 300 uur aan voorbereidingstijd vraagt.”

Ondanks de grote tijdsinvestering, is het wel een terugkerende oefening geworden. Hoe is deze oefening door de jaren heen veranderd?
“De oefening is door de jaren heen realistischer geworden. We hebben altijd op drie niveaus geoefend, namelijk operationeel, tactisch en strategisch. In het scenario van 2016 werden er bijvoorbeeld Kamervragen gesteld over de cyberaanval. We vonden dat toen hilarisch. Inmiddels is dit een realistisch scenario geworden.

Ook zijn de onderwijskoepels na 2016 mee gaan oefenen. Daardoor zijn er nieuwe vraagstukken bijgekomen, zoals: welke gezamenlijke uitingen brengen we naar buiten? Welke rol hebben de koepels daarin? En waar ligt de grens?

Jullie zijn natuurlijk zelf ook een overkoepelde organisatie. Welke lessen hebben jullie uit de oefening geleerd?
“Dat klopt. We hebben een CERT voor 188 onderwijsinstellingen. Tijdens een cyberaanval beschikken wij over veel technische gegevens. Die gegevens mogen we natuurlijk niet zo maar delen. Maar de onderwijsinstellingen willen vaak wel communiceren wat er aan de hand is. De cyberoefeningen hebben ervoor gezorgd dat we meer zijn gaan nadenken over vragen als: welke informatie kunnen we wél veilig delen? En wie zou de aangewezen partij zijn om dat te doen?”

Je hebt nu verschillende grootschalige cyber-oefeningen gecoördineerd. Welke lessons learned heb je daar voor jezelf uitgehaald?
“Ik heb in de eerste plaats geleerd om los te laten. Bij zo’n grote oefening kun je niet overal bovenop zitten.

Ook heb ik geleerd dat het goed is om humor in de oefening te stoppen. Een speels element zorgt ervoor dat de deelnemers meer gevoel bij de oefening krijgen. Het zorgt ervoor dat ze meer ín het spel zitten.

Dit laatste heb ik vooral geleerd tijdens de organisatie van een cyberoefening voor een Europees congres. Dit is een internationale oefening waar veel verschillende landen aan meewerken. Daarom is het niet wenselijk om voor een scenario te kiezen dat aan één land gelinkt is. We hebben dit opgelost door het fictieve land Guilder te creëren. Hier hebben we een wereld omheen gebouwd. Het land heeft bijvoorbeeld een geschiedenis en een kantoor met toeristeninformatie.

Dit fictieve land heeft weinig met de oefening te maken. Maar het geeft de oefening wel een bepaalde beleving. Het zorgt ervoor dat de oefening memorabel is. Tijdens de volgende OZON-oefening willen we meer van dat soort elementen toevoegen.”

De laatste OZON-oefening was in 2021. Dit betekent dat de volgende oefening gepland staat voor 2023. Wat doen jullie in het tussenliggende jaar?
“In het tussenliggende jaar ondersteunen we onderwijsinstellingen bij het organiseren van een tabletop-oefening, genaamd NOZON. Een OZON-oefening levert namelijk altijd veel leerpunten op, waar de instellingen mee aan de slag gaan. Tijdens de NOZON-oefening kunnen ze leerpunten oefenen. Wij ondersteunen hen daarbij. We hebben bijvoorbeeld handleidingen over hoe je een tabletop-oefening het beste kunt opzetten en we reiken voorbeeldcases aan.

Deze oefeningen worden in maart gehouden. Daarna organiseren we een terugkomsessie, waarin onderwijsinstellingen onderling ervaringen kunnen uitwisselen.”

Wat zijn tips waarmee je een NOZON-oefening tot een succes kunt maken?
“Zorg voor duidelijke doelen. Dit klinkt misschien als een open deur. Toch wordt het soms vergeten. Een doel kan zijn: oefen de samenwerking. Of: oefen het werken met de nieuwe processen. Het kan voorkomen dat een organisatie nieuwe processen heeft ingericht. Tijdens een oefening kun je zien of deze processen stand houden tijdens een crisis of dat er omheen gewerkt wordt.

Ook is het goed om de eerste oefening als een 0-meting te zien. Daar komen altijd voldoende leerpunten uit. Door de oefening nog een keer te doen, zie je wat er verbeterd is.

En tot slot: probeer niet te veel te doen. Sommige organisatoren hebben de neiging om erg in te zetten op stress. Zij overladen het crisisteam met informatie en testen daarmee of zij in staat zijn om onder hoge druk de juiste beslissingen te nemen. Ze houden het crisisteam continu bezig. Toch zien we dat het vaak ook goed werkt om de teams minder te overladen met informatie en te kijken wat er gebeurt. Zo laat je hen meer spartelen en geef je hen de kans om het juiste pad te kiezen en tot de juiste conclusies te komen.”

Wat zijn de verschillen tussen een cyberoefening en een normale crisisoefening?
“Bij een cybercrisis is het vraagstuk vaak complexer. Bij andere crises is het meestal sneller duidelijk waar de crisis over gaat. Neem als voorbeeld een schietincident op een school. Ook bij zo’n crisis is er in het begin vaak veel onduidelijk. Je weet bijvoorbeeld niet meteen wie het gedaan heeft en of er nog schutters op de campus aanwezig zijn. Maar je weet wel dát er geschoten is en naar welke informatie je op zoek bent.

Een cybercrisis is vaak lang heel diffuus. Bij een ransomware-aanval weet je in het begin meestal niet waar het allemaal zit, hoeveel data er versleuteld is, of de criminelen van plan zijn om gevoelige informatie te gaan lekken, welke back-ups er beschikbaar zijn en of ook deze geïnfecteerd zijn. Door die onduidelijkheid is het moeilijker om het beeld scherp te krijgen. Dat maakt ook de oordeelsvorming en de besluitvorming lastiger.”

Waar ben je het meest trots op, als je terugkijkt op het geheel?
“Dat zoveel onderwijsinstellingen elke keer weer meedoen. Zij zijn er erg veel tijd mee kwijt. Toch blijven zij enthousiast. Ze zijn ervan overtuigd dat het belangrijk is om mee te doen. We horen vaak terug dat ze liever 1 keer per jaar goed oefenen en geen uitgewerkt crisisplan hebben, dan andersom. Want je hebt niks aan een prachtig plan, als je dat nooit oefent. Het is mooi dat het – ook voor hen – de investering waard is.”