We weten allemaal dat het helemaal voorkomen van cyberincidenten niet mogelijk is. En zeker niet nu organisaties steeds afhankelijker worden van (digitale) ketenpartners. De groeiende dreiging van cyberaanvallen, vooral gericht op toeleveringsketens, vraagt om concrete actie van organisaties. Vele van de recente cyberaanvallen hadden een oorsprong bij een toeleverancier, met grote gevolgen voor getroffen organisaties en hun partners.
Neem bijvoorbeeld het beruchte SolarWinds incident waarbij een grote internationale softwareleverancier werd getroffen door een ransomware aanval, wat resulteerde in gecompromitteerde systemen bij duizenden klanten. Dergelijke voorvallen onderstrepen de kwetsbaarheid van organisaties in de keten en benadrukken de noodzaak van een gezamenlijke aanpak om cyberweerbaarheid te versterken.
Regelmatig oefenen kan het verschil maken
Op basis van mijn persoonlijke ervaring en ook vanuit evaluaties van cybercrises, blijkt dat het regelmatig oefenen van crisissituaties een belangrijke rol speelt in het vergroten van de veerkracht van organisaties tegen cyberdreigingen. Onderzoek en richtlijnen van cybersecurity-instanties, zoals het Cybersecurity and Infrastructure Security Agency (CISA), benadrukken eveneens dat organisaties die regelmatig oefenen met hun incident response plannen beter in staat zijn om met cyberaanvallen om te gaan en de impact ervan te minimaliseren.
Opstellen van oefendoelen voor meerdere jaren
Afhankelijk van de mate van volwassenheid van een organisatie op het gebied van crisismanagement, zou elke organisatie een cybercrisis response oefenplan moeten opstellen dat de ontwikkeling van de organisatie over meerdere jaren beschrijft. Langetermijnplanning is hierbij essentieel omdat het de organisatie in staat stelt om zich gestructureerd en doelgericht te verbeteren op het gebied van crisismanagement.
In het oefenplan worden de oefendoelen vastgesteld, waarbij per oefening duidelijk wordt welke specifieke doelen bereikt moeten worden. Deze oefendoelen vormen de basis voor de verdere uitwerking van de oefeningen. Als de oefendoelen bijvoorbeeld gericht zijn op het besluitvormingsmodel, moeten de oefeningen zo worden ontworpen dat het crisisteam wordt geconfronteerd met lastige dilemma’s waar geen goed of fout antwoord voor is. Hoe komt het crisisteam dan tot een gedragen besluit? Een voorbeeld van zo’n dilemma is het ontkoppelen van computersystemen die nog niet getroffen zijn door de cyberaanval. Besluit het team om bewust productieverstoring te creëren met het ontkoppelen of wordt besloten om het aan te kijken? Een dilemma waar tijdens een crisis niet veel tijd voor is om over te discussiëren. Oefenen van besluitvorming helpt de effectiviteit van het crisisteam fors te verhogen.
Het lange termijn oefenplanning is dus een soort routekaart voor een organisatie om te komen tot het gewenste volwassenheidsniveau op gebied van cyber crisismanagement. Door het oefenplan regelmatig bij te stellen op basis van nieuwe inzichten en ontwikkelingen, helpt het de organisatie altijd met relevante oefeningen bezig te zijn. Zo is bijvoorbeeld recentelijk waargenomen dat gerichte aanvallen op OT (Operationele Technologie) omgevingen is toegenomen. Als deze ontwikkeling voor jouw organisatie relevant is, dan is het vanuit een crisismanagement perspectief goed om ook wat scenario’s te oefenen die hieraan zijn gerelateerd.
Uitvoering van het oefenplan
In het meerjarenplan zijn de verschillende trainingen en oefeningen beschreven die uitgevoerd moeten worden. Voor een crisisoefening zijn er verschillende oefenvormen beschikbaar. Hieronder zijn de drie meest voorkomende oefenvormen voor een crisis response oefening weergegeven. Elke organisatie die voor het eerst start met crisis oefenen zal starten met de ‘papieren table top’ terwijl een ervaren organisatie een volwaardige crisissimulatie zal uitvoeren.
- Papieren tabletop: Deze oefenvorm is vooral erg waardevol als een organisatie haar crisisproces grondig heeft aangepast of als de organisatie een crisisproces heeft opgezet. Met deze oefenvorm wordt een beschreven crisisproces aan de hand van een fictief scenario doorlopen en geoefend met het crisisteam.
- Tabletop: Deze oefenvorm wordt vooral ingezet wanneer de procedures en het crisisproces al bekend zijn. De oefening start typisch zonder enige voorkennis van de deelnemers (leden van het crisisteam). Die krijgen dan in een aantal rondes informatie over het crisisscenario wat ze moeten managen.
- Crisissimulatie: Een crisissimulatie is de uitgebreidste vorm van een oefening die zo dicht mogelijk zit bij een echte crisiservaring. Het crisisteam moet zonder enige voorkennis bij elkaar komen en mag aan de slag gaan. Hierbij wordt de crisissimulatie ook daadwerkelijk een crisissituatie: telefoons die blijven rinkelen, steeds nieuwe informatie die wordt gepresenteerd, en media en stakeholders die worden betrokken.
De voorbereiding en uitvoering van de oefening is natuurlijk sterk afhankelijk van de gekozen oefenvorm.
Oefenhandboek
Het Cyber Chain Resilience Consortium (CCRC) heeft een handboek gemaakt om te helpen bij het uitvoeren van crisisoefeningen waarbij eerst wordt stilgestaan bij het opzetten van een meerjarenplan. In het boek Cyber Crisis? Geen Paniek! We hebben immers geoefend besteedt het CCRC aandacht aan hoe een goede analyse van het bedrijf te maken en op basis daarvan een oefenplan op te zetten. Met concrete tips en tools op basis van expertise van experts die al jaren in het veld meedraaien om te oefenen, kan iedere organisatie, ongeacht grootte of volwassenheid op gebied van crisismanagement, beginnen met oefenen of het oefenen van cyberincidenten een stap verder nemen. Het doel van dit boek is om oefenen toegankelijker te maken voor alle organisaties en zo samen Nederland cyberweerbaarder te maken.
Mocht je meer willen weten over het opzetten en uitvoeren van een oefenplan, raadpleeg dan het handboek Cybercrisis? Geen Paniek! van stichting CCRC voor concrete handvaten om vandaag nog te beginnen met oefenen. Op https://ccrc.nl/geenpaniek/ kun je de pdf-versie van het boek gratis downloaden.