Cyberoefening waterschap Noorderzijlvest: ‘We kijken terug op een mooi resultaat’
Weet je als crisisteam hoe je moet handelen bij een cyberaanval? Sluit je je organisatie dan preventief af van het internet, om te voorkomen dat de hacker meer systemen raakt? En hoe blijf je met elkaar communiceren? Waterschap Noorderzijlvest oefende deze maand een cyberaanval en kwam voor uitdagende dilemma’s te staan.
Het is 's morgensvroeg als er verschillende meldingen binnenkomen bij de beveiligingsdesk van het waterschap Noorderzijlvest in Groningen. De medewerkers kunnen het gebouw niet meer in en het systeem dat de waterzuiveringen aanstuurt ligt eruit. Het waterschapsactiecentrum (WAT) besluit om bij elkaar te komen. Wat is de impact van deze storing? En hoelang verwachten we dat dit gaat duren? In dit eerste crisisoverleg blijkt dat er nog veel onduidelijk is. De voorzitter geeft het crisisteam de opdracht om meer informatie te verzamelen, zodat de ICO een goed beeld kan vormen in het LCMS. Direct na het overleg blijkt dat veel mensen niet meer kunnen inloggen in het LCMS. Dat komt er ook nog eens bij.
Afdeling I&A
De afdeling Informatisering & Automatisering (I&A) is natuurlijk opgeschaald bij deze crisis. Zij gaan eerst uitzoeken of er een relatie is tussen de twee systemen die er nu uitliggen. Al vrij snel ontvangen zij een videoboodschap van een hacker. Hij eist 450.000 euro en dreigt meer systemen plat te leggen, als er niet betaald wordt.
Dit geeft meteen discussie in het I&A-team. Moeten zij de voorzitter van het crisisteam meteen inlichten, zodat hij snel kan schakelen? Of is het beter om te wachten tot het volgende crisisoverleg? In technische zin is er eigenlijk niets veranderd. Het gaat nog steeds om twee systemen die eruit liggen.
Dilemma’s
Tijdens het tweede crisisoverleg liggen er meteen meer en grotere issues op tafel. De afdeling I&A geeft aan dat het wellicht verstandig is om de organisatie af te sluiten van het internet. Daardoor is de kans minder groot dat de hacker ook andere systemen platlegt. Het nadeel is dat het dan moeilijker wordt om de reguliere bedrijfsprocessen door te laten gaan. Ook heeft de afdeling een capaciteitstekort. De afdeling communicatie geeft aan dat er inmiddels een behoorlijke groep stakeholders is die geïnformeerd moet worden. Wie gaat dat doen? Zijn dit acties voor het WAT? Of moeten de acties en besluiten daarover doorgeschoven worden naar het waterschap operationeel team (WOT)?
Dan wordt de vergadering onderbroken door de ICO van het WOT. Het duurt hen allemaal te lang. Ze willen informatie om door te kunnen pakken. Ook wil ze graag een vergadercyclus afspreken. De WAT-vergadering wordt snel afgerond, zodat de voorzitter en de ICO mee kunnen lopen naar het WOT. Daar wordt de crisisaanpak voortgezet.
Overzicht houden
Deze cyclus wordt een paar keer herhaald. De processen in het WAT worden nauwlettend gevolgd door waarnemer Harmen Krul van het adviesbureau Scherp in Veiligheid. Op een gegeven moment neemt hij het woord. “Kunnen jullie me nu vertellen wie wat doet?” vraagt hij aan de groep. “Dus waar zijn jullie mee bezig en welke acties worden door het WOT opgepakt?”
'Het is verleidelijk om met ICT bezig te zijn'
Na de vergadering vertelt hij dat het belangrijk is om overzicht te houden. “Anders gaan de actiepunten door elkaar heen lopen.” Ook let hij erop dat de teamleden niet te veel met ICT bezig zijn. “Het is verleidelijk om je bij een cybercrisis met ICT bezig te houden. Maar het is je taak om je te richten op de gevolgen die de hack heeft op de bedrijfscontinuïteit. En natuurlijk is het van belang om een strakke vergaderstructuur aan te houden. Ik zie dat de mensen in dit team elkaar helpen, als de vergaderstructuur dreigt te verwateren. Ze vragen dan aan elkaar: zitten we al bij de acties? Of is dit nog de oordeelsvorming?”
Waterschapsbeleidsteam
In deze cyberoefening wordt er op 3 niveaus geoefend: op operationeel niveau (in het WAT), op tactisch niveau (in het WOT) en op strategisch niveau (in het Waterschapsbeleidsteam, WBT). Dus na de vergadering in het WAT volgen er ook vergaderingen in het WOT en in het WBT.
In het WBT luistert de dijkgraaf eerst naar het beeld dat hem geschetst wordt. Vervolgens wil hij weten welke vragen hem gesteld worden, en wat precies de dilemma’s daarbij zijn. Enkele belangrijke vragen zijn: gaan we wel of niet betalen? Hoe gaan we over deze crisis communiceren? En gaan we de organisatie wel of niet van het internet afkoppelen?
Hij besluit om de organisatie af te sluiten van het internet, om alle partners te informeren en om één woordvoerder aan te wijzen die de woordvoering gaat doen. Hij weet nog niet of het verstandig is om te betalen. Daarvoor wil hij een spoedadvies van de NCSC vragen.
Tijdsdruk
Later in de nabespreking vertelt de dijkgraaf dat hij veel rust en structuur heeft ervaren in het WBT. “Maar ik voelde de druk wel”, zegt hij. “Ik had het gevoel dat we snel moesten handelen omdat het probleem anders nog groter zou worden.”
'Ik ervaarde rust en structuur'
Dit gevoel klopt ook wel, als ik tijdens de WBT-vergadering de ruimte van het WAT binnenloop. “Ook het systeem van de landmeters is nu geraakt”, zegt iemand. “We wachten nog op het besluit van het WBT over het afsluiten van het internet. Hoe sneller de systemen afgekoppeld worden, hoe beter het is.” Later in de oefening wordt ook de dwangsom nog verhoogd van 450.000 naar 900.000 euro.
Ervaring
Na de oefening spreek ik Frank Stuiver. Hij is sinds deze maand adviseur crisisbeheersing bij het waterschap en hij heeft deze oefening vooral gebruikt om alles te observeren. “Ik heb een goed beeld gekregen van het geheel”, zegt hij. “Het waterschap is voor mijn gevoel goed voorbereid. Iedereen is uitstekend in staat om een crisis tot een goed einde te brengen. Tegelijkertijd heb ik ook gezien waar de verbeterpunten zitten en hoe we de puntjes op de i kunnen zetten. Over het algemeen heeft dat vooral met ervaring te maken. Er zijn mensen die al veel vlieguren hebben gemaakt en die zich al heel senang voelen in hun rol. Er zijn ook mensen die nog wat zoekende zijn. Het vergt oefening om hun vaardigheden verder te verfijnen.”
Cybercrisis
Hij vindt het bovendien goed dat het waterschap een cybercrisis oefent. “Organisaties zijn vaak goed voorbereid op traditionele crises, zoals een dijkdoorbraak of hoogwater. Deze procedures zijn ingesleten en daardoor weet iedereen wat hen te doen staat. Cyber is een vrij nieuw scenario waarmee je mensen uit hun comfort zone kunt halen. Je oefent hiermee hoe je moet handelen bij een crisis waar je minder bekend mee bent. Bij een cybercrisis heb je bovendien met een ander netwerk te maken. Nu werd er bijvoorbeeld geschakeld met het NCSC en het CERT-WM. Het is belangrijk om dat netwerk te kennen en te weten wat zij voor je kunnen betekenen.”
'Met dit scenario haal je mensen uit hun comfort zone'
Ook oefenleider Bernd Jager van Scherp in Veiligheid vindt het waardevol dat het waterschap dit scenario geoefend heeft. “Vitale organisaties worden dagelijks belaagd met cyberaanvallen. Deze aanvallen worden vrijwel altijd afgewend. Maar het kan een keer misgaan. Weet je dan als organisatie wat je te doen staat?”
Verschillen
Hij vertelt dat je bij een cybercrisis vaak met veel elementen te maken krijgt die bij een traditionele crisis niet of nauwelijks spelen. “Bij een cybercrisis wordt vaak ook je eigen infrastructuur geraakt en daar kun je als crisisorganisatie last van krijgen. Dat zag je nu ook gebeuren. Mensen konden het gebouw niet meer in. Je leert om door te gaan, ook als een deel van je infrastructuur niet meer beschikbaar is. Ook krijg je bij een cybercrisis vaak met ethische vraagstukken te maken, bijvoorbeeld: ga je wel of niet betalen? Bovendien zie je vaak dat ICT’ers een andere taal spreken dan de mensen die in een calamiteitenorganisatie werken. Daardoor begrijpen ze elkaar verkeerd. Ik zag dat dat nu niet speelde, maar het is zeker geen vanzelfsprekendheid dat dat altijd goed gaat.”
Bernd is ook enthousiast over de gekozen opzet, waarbij de hele crisisorganisatie mee oefende op operationeel, tactisch en strategisch niveau. “Het is daarnaast ook belangrijk om kleinschalig te oefenen, bijvoorbeeld met table top-oefeningen. Ik vind dat veel organisaties dat nog te weinig doen. Kleine oefeningen zijn goed planbaar en kosten weinig tijd. Het voordeel is dat je hiermee één specifiek onderdeel goed kunt uitdiepen.”
Mooi resultaat
De oefening wordt afgesloten met een lunch en een plenaire terugblik. Bernd vertelt de groep dat het WBT in haar laatste overleg nog besloten heeft om sim-kaarten aan te schaffen zodat mensen buiten het reguliere systeem konden communiceren. Frank geeft zijn nieuwe collega’s nog een compliment over de creativiteit die zij tijdens de oefening hebben laten zien. “Het LCMS werkte niet en jullie lieten je daardoor niet uit het veld slaan. De bladen van de flip-overs werden van het ene crisisoverleg meegenomen naar het andere. Zo wisten jullie je staande te houden. Cyber is altijd een lastig onderwerp. Ik vind dat we terug kunnen kijken op een mooi resultaat.”