Grootste OZON-cyberoefening ooit: ‘Elke organisatie oefent zijn eigen leerdoelen’

Op 23 en 24 maart was het zo ver: 72 onderwijs- en onderzoeksinstellingen deden mee aan de grootste OZON-cybercrisisoefening ooit. Weten zij zich staande te houden, terwijl een hackersgroep elke 20 minuten een nieuwe kwetsbaarheid publiceert? We gingen langs voor een reportage.

In een grote zaal in het SURF-kantoor in Utrecht zitten de oefenleiders van de 72 onderwijs- en onderzoeksinstellingen bij elkaar. “We zijn vanochtend om 9.30 uur van start gegaan”, vertelt Remco Poortinga -Van Wijnen, teamleider security en techniek bij SURF. “We hebben twee hoofdscenario’s. Op basis daarvan hebben alle instellingen een eigen scenario geschreven dat aansluit bij de leerdoelen van hun eigen organisatie.”

Scenario
Het eerste hoofdscenario is dat alle deelnemers te maken krijgen met de hackersgroep Vulnerability Liberators. Deze groep is gefrustreerd omdat veel instellingen hun meldingen over serieuze kwetsbaarheden niet oppakken. De hackers roepen deze dag uit tot de Dag van de Piñata, waarbij ze iedere 20 minuten een nieuwe kwetsbaarheid publiceren.

Daarnaast krijgen de deelnemers te maken met vreemde meldingen van inschrijf- en inlogplatforms. Bij willekeurige instellingen vertonen de verbindingen met het internet kuren en de wachtwoorden die toegang geven tot beveiligde cloud-omgevingen worden gepubliceerd. Dit is het werk van medewerkers die aangestuurd worden door de ontevreden cryptomiljonair Elaine Geurtjes. Zij vindt dat het onderwijs gefaald heeft in het bieden van onderwijs voor iedereen en ze wil dat de instellingen daarvoor boeten.

Beeldvorming
“Het zal voor de deelnemers vooral een uitdaging zijn om zich niet mee te laten slepen door de verschillende incidenten”, zegt Remco. “Er gebeurt zoveel, dat je de neiging krijgt om al die incidenten zo snel mogelijk te fixen. Het is belangrijk om op tijd een stap terug te doen en te kijken naar de beeldvorming. Dus: wat zou de oorzaak kunnen zijn van al die incidenten? En wanneer gaan we escaleren? Veel instellingen hebben crisisplannen en handboeken. Maar tijdens zo’n dag is er veel hectiek en daardoor voelt het echt aan. Zijn zij in staat om hun crisisplannen te volgen?”

Remco vertelt dat de oefening vrij soft begint met kleine kwetsbaarheden. “Om 11.00 uur gaat het helemaal los. Er komen zwaardere kwetsbaarheden aan het licht. De instellingen die op alle niveaus meespelen, moeten dan gaan escaleren naar hun Raad van Bestuur.”

Hij verwacht dat het lastig zal zijn om de oorzaak van de incidenten te achterhalen. “Deelnemers hebben vaak de neiging om de oorzaak van de problemen te zoeken in de techniek. Maar deze keer is het geen technisch probleem. Het zijn de eigen medewerkers die, onder leiding van cryptomiljonair Elaine Geurtjes, de boel vernachelen.”

MBO Raad
Een van de deelnemende organisaties is de MBO Raad. “Er doen vandaag 22 mbo-instellingen mee en wij zijn natuurlijk heel benieuwd hoe ze samenwerken in zo’n crisissituatie”, vertelt Martijn Bijleveld, programmamanager Cyberveiligheid mbo. “Ook binnen de MBO Raad zelf spelen diverse mensen mee, zoals onze woordvoerder.

Wij zien deze oefening als een 0-meting. Sommige MBO-instellingen hebben al een hoog volwassenheidsniveau als het gaat om cybersecurity. Zij hebben soms al twee OZON-cyberoefeningen meegedraaid. Bij sommige andere instellingen staat het onderwerp minder hoog op de agenda en wordt de oefening vooral gebruikt om awareness te kweken. Wij gebruiken deze oefening om te kijken waar de verschillende instellingen staan en wat zij nodig hebben om hun cybersecurity naar een hoger niveau te tillen.”

Zijn collega Jordan Vasseur ziet dat de deelnemers al flink met de meldingen aan de slag zijn gegaan. “Ik ga nu enkele niet-relevante berichten plaatsen om nog wat extra chaos te creëren.”

MBO Utrecht
Naast hen zit Marjolein Rombouts van het MBO Utrecht. Zij doet nu voor de tweede keer mee en ze heeft ook al twee keer een NOZON-cyberoefening, de korte tabletop-variant van OZON, meegemaakt. “Dus dit is mijn vierde oefening van SURF”, vertelt ze. “We hebben verschillende doelen vandaag. We willen kijken hoe de communicatie verloopt, bijvoorbeeld tussen het ICT-team en het crisisteam. Ook speelt er een externe partij mee, die ook informatie vanuit SURF ontvangt. We willen kijken hoe onze communicatie met hen verloopt. Ons tweede doel is om te kijken hoe goed wij in staat zijn om incidenten op te lossen.”

Marjolein ziet dat de deelnemers het nu al beter doen, dan tijdens de vorige oefeningen. “Bij eerdere oefeningen schaalden zij al snel op naar de crisisorganisatie. Dat is begrijpelijk, want ze weten natuurlijk dat het om een crisisoefening gaat. Nu gaat het langzamer. Om 12 uur komt het crisisteam voor het eerst bij elkaar. Dat komt meer overeen met de realiteit.”

Radboud Universiteit
Een tafel achter haar zit Tom de Lange van de Radboud Universiteit. “Wij hebben de oefening dit jaar vrij basic gehouden”, vertelt hij. “Dat komt omdat we de crisisorganisatie hebben herzien. We hebben nu een strak vergaderschema en de crisisoverleggen mogen niet langer dan een kwartier duren. We hebben hier al mee getraind, maar we hebben er nog niet mee geoefend. Dus ik ben benieuwd hoe het gaat.”

Tom maakt onder andere dankbaar gebruik van de media-simulator. “We hebben in het verleden gezien dat communicatiedeskundigen soms te veel berichten als waarheid aannemen, omdat zij geen ICT-achtergrond hebben. We hebben er nu voor gezorgd dat meer mensen met een ICT-achtergrond meekijken met de afdeling communicatie. We verwachten dat zij daardoor beter in staat zijn om de berichten te filteren.”

KEMBIT
Bart van Bavel van KEMBIT vertelt dat er van zijn organisatie veel mensen mee-oefenen die normaal gesproken geen rol hebben binnen de crisisorganisatie. “We hebben een keer een ransomware-aanval meegemaakt”, vertelt hij. “De leden van het crisisteam maakten toen erg lange dagen en dat ging dagenlang door. Daardoor raakten mensen oververmoeid en enkele van hen vielen uit. Daarom hebben we besloten om dit keer ook het rouleren van medewerkers mee te nemen in de oefening.” Bart geeft aan dat er enkele checklists in het incidentresponseplan zijn opgenomen. “Ik zie nu dat zij die niet altijd gebruiken. Dat komt waarschijnlijk door de chaos. Ik ga hen even een berichtje sturen om hen hierop te wijzen.”

Koning Willem 1 College
Ook Gerry van der Schoot van het Koning Willem 1 College heeft vandaag veel mensen in zijn team die dit jaar voor het eerst meedoen. “We zitten midden in een fusie met een ROC, dus we hebben het de afgelopen maanden hartstikke druk gehad met het overzetten van systemen. Deze oefening is dus het perfecte moment voor een 0-meting.” Hij heeft de oefening vrij basic gehouden en hij is positief verrast over de manier waarop zijn collega’s te werk gaan. “Ik zie dat ze al een crisisteam hebben samengesteld en dat ze de juiste mensen hebben gevraagd om aan te schuiven. Dus dat gaat goed.”

Gerry wil tijdens deze oefening onder andere testen of mensen op het juiste moment en naar de juiste personen escaleren. “Een crisis is natuurlijk altijd onverwachts. Het komt voor dat de juiste mensen dan ziek zijn of op vakantie. We oefenen vandaag dat ik op vakantie ben tijdens deze crisis. Mijn vervanger neemt mijn taken van mij over. Daarnaast zijn enkele mensen net voor de crisis ziek geworden die dus plotseling niet meer meedoen. Ik ben benieuwd hoe hun vervangers dit gaan oppakken.”

Insider threat-scenario
Net na de lunch spreek ik Charlie van Genuchten, projectleider OZON bij SURF. Ik vraag haar waarom ze voor dit scenario heeft gekozen. “We houden al sinds 2016 om de twee jaar deze sectorbrede OZON-oefening. We wilden graag een thema oefenen dat we nog niet eerder hadden gehad. De vorige keren hadden we een scenario met ransomware, ethical hackers en een statelijke actor. We hadden nog nooit een insider threat-scenario gehad waarbij medewerkers uit de eigen organisaties voor een criminele partij werken. We zien in de praktijk dat dit steeds vaker voorkomt en dat het dus belangrijk is om dit te oefenen.

Bovendien wilden we een scenario dat al onze leden raakt. Dat was de allergrootste puzzel. We werken voor universiteiten, hogescholen en mbo’s. Zij hebben veel overeenkomsten met elkaar. Zij hebben bijvoorbeeld allemaal te maken met studenten. Maar we werken bijvoorbeeld ook voor onderzoeksinstituten, bibliotheken en umc’s. We moesten een scenario bedenken dat al die sectoren raakt.

Daarnaast vonden we het belangrijk om een scenario te kiezen waarmee we de leerpunten uit de vorige oefening konden testen. De vorige keer hadden we bijvoorbeeld gemerkt dat de landelijke samenwerking beter kon. We merkten dat het moeilijk was om op landelijk niveau een goede analyse van de crisis te maken. Daarom hebben we nu voor een complex scenario gekozen, zodat het opnieuw een uitdaging is om een goede landelijke analyse te maken. Maar we hebben er ook voor gekozen om de deelnemers beter te helpen. Dus halverwege de oefening geven we meer informatie, zodat er meer duidelijkheid komt.”

SURFcert
Tot slot spreek ik met Wim Biemolt, de voorzitter van SURFcert, het computer emergency response team van de sector onderwijs en onderzoek. Hij heeft vandaag een dubbelrol. Aan de ene kant is hij – samen met zijn collega’s – een oefenbegeleider. Aan de andere kant heeft SURFcert ook een rol tijdens deze crisis. We helpen de deelnemers af en toe, zodat zij (weer) op het juiste spoor gezet worden. “Tijdens een echte crisis helpen wij organisaties natuurlijk ook”, vertelt hij. “Dus deze rol komt overeen met onze rol tijdens een crisis. Bovendien doen er nu veel verschillende instellingen mee. De ene instelling heeft een hoog volwassenheidsniveau, de ander is beginnend. Ook dat is iets dat we in een echte crisis meemaken.”

Toch ziet hij OZON niet als de ultieme oefening voor SURFcert zelf. “Wij zijn er vandaag voor de deelnemende organisaties. Dus we kennen het scenario en weten hoe we hen het beste kunnen helpen. Wij oefenen zelf aan het einde van het jaar tijdens de landelijke ISIDOOR-oefening van het Nationaal Cyber Security Centrum (NCSC).”