De afgelopen dagen waren computers van Universiteit Twente versleuteld, vertrouwelijke gegevens waren gestolen en we werden gechanteerd. Tenminste: dat was het scenario van een crisisoefening waar we aan meededen. In werkelijkheid was er gelukkig niets aan de hand.
Zweten
We deden mee aan de oefening om na te gaan in hoeverre we zijn voorbereid als zich écht zo’n cybercrisis zou voordoen en om te oefenen hoe we het beste kunnen reageren. Het was zweten geblazen. Onze IT’ers moesten op zoek naar sporen van de hack en proberen de schade te herstellen of te beperken. Bestuurders kwamen onder tijdsdruk voor belangrijke keuzes te staan (bijvoorbeeld: betalen we de hackers om onze gegevens terug te krijgen?). En de communicatieafdeling moest alle getroffen medewerkers informeren en tegelijkertijd imagoschade in de pers zien te voorkomen. Om de oefening zo realistisch mogelijk te maken, werden er daadwerkelijk infecties van het netwerk gesimuleerd, net als (social) media-aandacht, contact met de hacker, vragen van medewerkers en berichten van dienstaanbieders.
Eerste indrukken
De oefening was een succes. Alle betrokken collega’s deden heel intensief en serieus mee, waardoor we goed konden zien hoe een echte crisis zou verlopen. Het calamiteitenplan werd goed uitgevoerd en de BOB (Beeldvorming, Oordeelvorming, Besluitvorming) methode toegepast en dat zorgde voor rust, er was geen paniek.
Tegelijkertijd werd ook duidelijk hoe zeer zulke oefeningen nodig zijn. Als je nadenkt over de gevolgen van zo’n hack, dan komen er altijd wel zaken naar voren die we moeten verbeteren in infrastructuur en processen. De komende tijd gaan we verder evalueren en verbeteringen doorvoeren.
Over de oefening
Aan brandveiligheid, EHBO en andere voorbereiding op noodsituaties besteden organisaties veel aandacht. Nu we steeds afhankelijker worden van digitale systemen, wordt het des te belangrijker om ook aandacht te hebben voor cyberveiligheid. Met dit soort oefeningen hopen we die te verbeteren. Deze cybercrisisoefening, genaamd OZON, werd georganiseerd door SURF, de ICT-samenwerkingsorganisatie voor onderwijs- en onderzoeksinstellingen. Zo’n 50 instellingen en 1200 personen door heel Nederland deden mee. Meer weten? Kijk op www.surf.nl/ozon.
