Veiligheidsregio Kennemerland: ‘Bij een cyberaanval richten wij ons op de gevolgbestrijding’

Wat moet je als veiligheidsregio met het thema cybersecurity? De veiligheidsregio’s Kennemerland, Amsterdam-Amstelland, Noord-Holland Noord en Zaanstreek-Waterland hebben samen het Crisis Advies Team – Cyber opgezet. Hiermee kunnen zij in eerste instantie de veiligheidsregio’s in Noordwest 4-verband (NW4) ondersteunen. Hoe werkt dit? En hoe zien zij de rol van het CAT-C in de toekomst?

Net als veel andere veiligheidsregio’s worstelde ook de veiligheidsregio Kennemerland de afgelopen jaren met het thema cybersecurity. “We wisten dat we er iets mee moesten”, vertelt Casper de Boer, medewerker crisisbeheersing bij Crisisbeheersing Kennemerland van de veiligheidsregio Kennemerland. “Maar het was nog een breed en abstract begrip. We vroegen ons vooral af: wat kunnen we hiermee? En: waar zijn we van, als het om cybersecurity gaat?”

Hoe hebben jullie dit opgepakt?
Daniel Rios Loogman, hoofd van Crisisbeheersing Kennemerland: “We zijn samen met het NIPV en een aantal veiligheidsregio’s een werkgroep gestart. Daar is de whitepaper ‘Digitale ontwrichting en cyber’ uitgekomen. In deze whitepaper is het cyberkwadrant van de veiligheidsregio IJsselland opgenomen. Dit kwadrant maakt een onderscheid tussen ‘intern’ en ‘extern’. Intern wil zeggen dat je je eigen bedrijfscontinuïteit op orde hebt. Extern betekent dat je de digitaal risicovolle bedrijven in je regio in beeld hebt en je rol pakt in de cybervervolgbestrijding.”

Hoe zijn jullie daar vervolgens mee aan de slag gegaan?
“We hebben ons eerst gefocust op ‘intern’. Dus we hebben onze processen op orde gebracht, waarmee nauw samen gewerkt is met de CISO. Vervolgens hebben we met het NIPV de whitepaper ‘Cyberscenario’s voor veiligheidsregio’s’ uitgebracht. Deze cyberscenario’s kunnen bijvoorbeeld worden gebruikt voor het opzetten van oefeningen.

Ook hebben we samen met andere veiligheidsregio’s planvorming ontwikkeld waarmee we onze crisisfunctionarissen handelingsperspectief geven. En we hebben nagedacht over onze eigen rol. We zijn als veiligheidsregio niet in staat om een hack te verhelpen. We zijn geen ‘digitale brandweer’. We kunnen wel ondersteunen, adviseren over crisisbeheersing en doorverwijzen naar de juiste instanties in het netwerk.”

En jullie hebben een gehackte organisatie ondersteund. Hoe is dat gegaan?
Casper: “Dat klopt. De uitvoeringsorganisatie ‘IJmond werkt’ van de gemeente is gehackt geweest. Wij hebben toen maatwerk geleverd door een informatiemanager en een operationeel leider ter beschikking te stellen die kennis hebben van crisisbeheersing. We hadden vooraf natuurlijk al over veel verschillende scenario’s nagedacht. Daardoor waren we tijdens deze crisis in staat om mee te denken in de gevolgbestrijding.”

Zouden jullie vaker willen ondersteunen?
Daniel: “Jazeker. We hebben inmiddels het Crisis Advies Team – Cyber (CAT-C) samengesteld. Dit team bestaat uit 2 operationeel leiders, 2 informatiemanagers en 2 crisiscommunicatieadviseurs. Zij kunnen ondersteunen en advies geven na een cyberincident in de veiligheidsregio’s van NW4.”

Jullie hebben nu de nodige ervaring opgedaan. Waarin merken jullie dat een cybersecurity-crisis anders is dan een normale crisis?
Casper: “Een cybersecurity-crisis gaat sneller. Je ziet hem niet aankomen en hij houdt zich niet aan de gemeentegrenzen. Ook het netwerk waar je je in bevindt is anders. Je hebt andere partners nodig om de crisis te bezweren.”

Daniel: “Bovendien ben je bij een cybercrisis erg afhankelijk van de ICT-afdeling. Zij hebben veel kennis over de technische kant van de verstoring. Maar zij weten vaak niet wat die verstoring betekent voor de effecten in de fysieke wereld. Het is aan het crisisteam om samen met de CISO/ICT-experts die vertaalslag te maken. De CISO’s van de veiligheidsregio’s zijn verenigd in een VRISAC. Zij kunnen helpen bij het duiden van een cyberincident."

Hoe zien jullie de rol van het CAT-C in de toekomst?
Casper: “Het CAT-C zit nu in de startfase. We gaan hiermee oefenen. Zo kunnen we zien of het werkt en of we nog iets over het hoofd hebben gezien. We hopen dat we het team vervolgens kunnen inzetten bij verschillende cyberincidenten in NW4.”

Daniel: “Het zou mooi zijn als we een dergelijk team straks ook kunnen opzetten op andere thema’s in NW4-verband. Het team heet nu Crisis Advies Team – Cyber. Maar ik kan me voorstellen dat er ook behoefte is aan teams die op andere onderwerpen kunnen ondersteunen bij regio overstijgende thema’s, zoals droogte. Het zou mooi zijn om het op die manier uit te bouwen.”

Tot slot, ik kan me voorstellen dat er meer veiligheidsregio’s zijn die meer met cyber willen gaan doen. Wat zou je tegen hen willen zeggen?
“In de eerste plaats: kom naar de landelijke werkgroep digitale ontwrichting. Daar hoor je wat er speelt en delen we onze ervaringen. We komen eens in de 6 tot 8 weken samen. Zo leren we van elkaar.

En in de tweede plaats: zorg voor bestuurlijke commitment en verdiep je in de structuur. Wij hebben het CAT-C heel gestructureerd opgebouwd. Het opstellen van planvorming is daar helpend in geweest. Ik denk dat het ook voor anderen goed is om het op deze manier aan te pakken. Dus: ga het gesprek aan met de crisispartners in je regio en werk aan de bewustwording. Wat doen zij zelf? En wat kunnen ze van jou verwachten? Dat gesprek helpt bij het opzetten het geheel.”