Mega-cyberoefening: ‘De snelheid en onzekerheid maakten het extra lastig’
Een cyberaanval kan Nederland platleggen. Daarom organiseerden de NCSC en de NCTV dit voorjaar de grootste cyberoefening ooit. Wat zijn de belangrijkste lessons learned? Samen met een deelnemer en de NCSC blikken we terug.
Zomer 2021. Nederland wordt getroffen door meerdere cyberaanvallen. De energie valt uit, digitaal betalingsverkeer is onmogelijk, er zijn problemen op Schiphol en in de havens, de kwaliteit van het drinkwater kan niet meer gegarandeerd worden en ziekenhuizen kunnen geen patiënten meer registreren. De chaos is groot. Bij het zoeken naar oplossingen blijkt al snel dat een kwaadwillende partij gevoelige data van de getroffen organisaties buitmaakt.
Dit is in het kort het hoofdscenario van de mega-cyberoefening ISIDOOR 2021 die begin juni werd gehouden en die per deelnemende organisatie op maat was uitgewerkt. Meer dan 1.500 personen namens 96 organisaties deden mee, afkomstig uit de vitale sectoren als energie, drinkwatervoorziening, infrastructuur en het bankwezen. Ook overheden als ministeries, veiligheidsregio’s, politie en het OM waren vertegenwoordigd.
Kwetsbaarheid
De vierdaagse oefening had tot doel het Nationaal Crisisplan Digitaal (NCP-Digitaal) te oefenen. Tijdens deze oefening werden verschillende soorten cyberincidenten gesimuleerd, zoals aanvallen door een ander land met ‘phishing mails’, ransomware-aanvallen en het binnendringen in systemen via een kwetsbaarheid in het softwareprogramma. Hierdoor konden er tijdens de simulatie bijvoorbeeld fictief gevoelige bedrijfsinformatie buit gemaakt worden en vitale processen worden verstoord.
Ontwrichting
“Een cyberaanval kan directe gevolgen hebben in het leven van mensen. Daarom is oefenen zo belangrijk. Dat draagt bij aan informatie-uitwisseling tussen partijen, versterkt de samenwerking en laat de noodzaak tot coördinatie zien. Driekwart van de organisaties is opgeschaald tot bestuurlijk niveau. Dat betekent ook dat we cyberveiligheid op de tafel van de bestuurders hebben gekregen. Gezien het belang hoort het onderwerp daar thuis.”, aldus Hester Somsen, plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid en directeur Cybersecurity, op de laatste dag van de oefening.
Lessen
”De lessen uit deze oefening worden meegenomen in de voorbereiding van betrokken organisaties op cyberincidenten en verwerkt in de plannen en procedures waaronder het Nationaal Crisisplan Digitaal. Aan de hand daarvan kunnen organisaties zich verder ontwikkelen en werken aan hun flexibiliteit, weerbaarheid en veerkracht. En dat is nodig. We weten immers één ding zeker, de cybercrisis van morgen is anders dan de cybercrisis die we gisteren hebben geoefend”, zegt Kees Verkade, senior-adviseur van het Nationaal Cyber Security Centrum (NCSC) en landelijk projectleider van ISIDOOR 2021. Met Kees Verkade blikken we terug op ISIDOOR 2021.
Heeft ISIDOOR 2021 bijgedragen aan het besef dat hier een urgent probleem is dat iedere organisatie kan treffen en enorme consequenties heeft?
“Ja, en het heeft de betrokken organisaties de kans gegeven zich voor te breiden op een grootschalig digitaal incident. Deze voorbereiding draagt bij aan onze weerbaarheid bij een digitale crisis. Het is daarom erg mooi dat zoveel mensen en organisaties mee hebben gedaan.
Mijn ervaring met oefenen is echter dat het meeste leerrendement niet op het oefenmoment zelf zit. Dit zit, mits je dit bewust aanpakt, in de voorbereiding en in het delen van de lessen over de oefening. Wat we daarom in ISIDOOR 2021 heel bewust hebben gedaan is in de voorbereiding al partijen bij elkaar brengen. De verschillende sectorale partijen zijn met elkaar het gesprek aangaan zodat ze samen nadachten over de kwetsbaarheden in het scenario en de impact ervan.
'We wilden het leren breder uitsmeren'
We zagen hierin dat organisaties voorafgaand aan de oefening hun plannen en procedures rondom cyber en crisismanagement al konden aanscherpen. Daarnaast hebben we ook bewust een aantal webinars, masterclasses en trainingen georganiseerd waar deelnemers op aan konden sluiten. Op deze manier hebben we geprobeerd het ‘leren’ over een veel breder tijdsvak uit te smeren dan alleen het oefenmoment begin juni. Ik ben ervan overtuigd dat dit bijgedragen heeft aan de ‘cyber-awareness’ van alle betrokken organisaties en deelnemers in ISIDOOR. Daarnaast denk ik ook dat het heel goed is dat we organisaties per sector bij elkaar hebben gezet. ISIDOOR triggerde een gezamenlijk leerproces.”
Wat was voor jullie de grootste ‘eyeopener’ in deze oefening?
“Dat zo'n cybercrisis een onzekerheidscrisis is. Mensen, organisaties en bestuurders vinden het van nature erg lastig om met onzekerheid om te gaan. Dat voelt ‘unheimisch’, dat willen mensen niet en dat maakt een cybercrisis lastiger. Ook de snelheid waarmee zo’n cybercrisis zich ontwikkelt matcht vaak niet met de gewenste zorgvuldigheid die de crisis vraagt in de aanpak. Dit leidt tot cruciale vragen als: Waar komt het nu vandaan? Welke ‘actor’ zit erachter? Wat gebeurt er als we het uitschakelen? Wat gebeurt er als we het aan laten staan? Die vragen zijn helaas vaak niet snel te beantwoorden.
'De snelheid matcht niet met de gewenste zorgvuldigheid'
Ondertussen vraagt de omgeving van de organisaties om te handelen, handelingsperspectieven te delen en om maatregelen te nemen. En je loopt het risico dat de situatie veel erger wordt als je niets doet. Dit zet extra (tijds)druk op het analytisch vermogen van de crisisorganisaties en de duiding die aan de situatie wordt gegeven. Een risico hierin is dat organisaties te lang blijven zoeken naar zekerheid voordat ze de volgende stap zetten in het nemen van maatregelen of het informeren van hun (keten)partners. Je ontkomt er echter in dit type crisis niet aan dat op basis van onzekerheid besluiten genomen moeten worden. Dat is heel erg lastig en vraagt specifieke aandacht in de voorbereiding daarop. Dat is een eerste leermoment.
'Cyberproblemen worden niet altijd goed geduid'
De tweede die er ook uitspringt is dat nog lang niet in alle organisaties de verschillende interne werelden met elkaar verbonden zijn. Ik bedoel daarmee dat de cyberproblemen nog niet altijd even goed worden geduid op het gebied van bedrijfscontinuïteit, communicatie, crisismanagement of op juridische zaken. Een gevolg hiervan is dat het cyberprobleem ook niet op de juiste manier op de bestuurstafel belandt. Het is veel meer dan alleen de technisch expert die de ‘phishing mail’ analyseert en die een computer opnieuw installeert. Daar wordt de bestuurder niet warm of koud van. Maar als duidelijk wordt dat het probleem misschien wel iets betekent voor de continuïteit van het bedrijfsproces wordt het spannender. Door het probleem integraal te benaderen zorg je ervoor dat het juiste strategische dilemma besproken wordt en de consequenties hiervan goed ingeschat kunnen worden. Dit zijn allemaal leermomenten die in zo’n cybercrisis naar voren komen.
'Er mag meer inzicht komen in de onderlinge verbondenheid'
Het derde punt is de groeiende ketenafhankelijkheid. De keten raakt verstoort doordat de verbondenheid en onderlinge afhankelijkheid steeds groter is geworden. Deze ketenafhankelijkheid zien we niet alleen in deze productieketen, maar in het hele Nederlandse digitale landschap. De storing bij KPN een aantal jaar geleden liet zien dat dit gevolgen had voor de communicatie van de hulpdiensten. In ISIDOOR oefenden we hier logischerwijs dus ook mee. We hebben nu gezien dat het inzicht in en besef van deze verbondenheid tussen de verschillende werelden steeds groter wordt, maar dat dit inzicht echt nog groter mag worden. Op het moment dat dit groter wordt lukt het namelijk ook om hier sneller over te informeren en om vervolgens sneller de impact op de keten en uiteindelijk op de BV Nederland in te schatten en hiernaar te handelen.”
Kernreactor
Een van de deelnemers aan ISIDOOR 2021 was NRG in Petten. NRG ontwikkelt, bestraalt en zorgt voor wereldwijde distributie van nucleaire medicijnen. Dagelijks zijn meer dan 30.000 patiënten wereldwijd voor hun behandeling afhankelijk van medische grondstoffen uit Petten. Een reactorcentrum met een kleine kernreactor zorgt voor de productie van radionucliden voor medisch gebruik. Bij NRG is cybercrime tot op het hoogste niveau topprioriteit. Joost Albers is verantwoordelijk voor de crisisorganisatie van NRG en nam deel aan ISIDOOR 2021.
Joost Albers: ”Wij oefenden op een dinsdagochtend en precies op dat moment kreeg de financieel directeur spam-mail binnen, niet vanuit de oefening maar gewoon vanuit het ‘echie’. Dan staat hij meteen op scherp. Vanuit NRG hebben wij een soort bewustwordingsprogramma opgestart: ‘jongens denk goed na, check je mail. Is er iets afwijkends, klopt het mailadres, is dit een reguliere procedure, noem maar op.’ We zitten er bovenop.
Bij ons is ook altijd de reactie van het publiek een enorme factor. De ransomeware-aanval komt in het nieuws en dan is de eerste reactie van het publiek: ‘De kerncentrale staat op ploffen’. Dat is het imago van NRG. Ten onrechte.
Wat we bij ISIDOOR goed opgepakt hebben, is dat je het feitelijke verhaal moet vertellen. Dat is in dit geval dat wij beveiligingsmaatregelen hebben getroffen die voorkomen dat de kerncentrale kan ontploffen. De reactor loopt helemaal geen gevaar, maar dat is wel het imagoprobleem waar je bij NRG snel mee te maken hebt en waarin je met name vanuit je crisisorganisatie en je communicatie direct in moet investeren. Dat zijn mooie dingen om te oefenen, ook omdat je in de ISIDOOR-oefening de reëel geënsceneerde reacties van het publiek zag. Dan kun je daar als crisisorganisatie goed op acteren.”
Wat waren die reacties?
“Er stond bijvoorbeeld een twitterbericht: ‘Ik hoor dat er allerlei problemen zijn met technische isolaties, is de reactor in Petten wel veilig?’. Dus je krijgt dan maatschappelijke onrust gebaseerd op aannames en onvolledige informatie. Er zit een zeker risico in alles wat rondgaat op de social media. Voor ons vanuit NRG is de rode draad in onze crisisbeheersing dat wij eerlijk en transparant communiceren. Dat klinkt natuurlijk heel erg clichématig, maar dat is in ons geval wel heel belangrijk.”
Gaat cybercrime door de jaren alleen maar een groter probleem worden in jouw optiek?
Joost Albers: “Ja, en ik denk dat wij nu nog maar het topje van de ijsberg zien. Er zijn verhalen over tienduizenden mensen die in Rusland in een gebouw zitten en allerlei ‘mol-activiteiten’ plegen. Ik denk dat dat ook bij de digitalisering van de maatschappij en de afhankelijkheid van je digitale proces een enorm probleem wordt. Ik zeg altijd: ‘Bij NRG werk ik op de veiligste plek in Noord-Holland, misschien wel van Nederland. Maar net als alle andere bedrijven denk ik dat cyberterreur of cyberaanvallen het grootste gevaar vormt de komende jaren. Daar zullen we ons met alle inzet tegen moeten wapenen.”