Op 23 en 24 maart 2023 hebben 72 organisaties en ruim 2.000 mensen in onderwijs en onderzoek meegedaan aan de cybercrisisoefening OZON 2023 van SURF, waaronder ook de Universiteit Twente. Cyberdreigingen nemen wereldwijd toe, zo ook voor onderwijs en onderzoek. Het is één van de weinige sectoren die sinds 2016 over de volle breedte cybersimulaties doet om vaardig te leren reageren op realistische cybercrises. De tweejaarlijkse oefening bestaat dit keer uit een insider threat-scenario waarbij medewerkers uit de eigen organisatie ook voor een criminele partij werken. Eerdere edities van OZON bevatten scenario’s met ransomware, ethical hackers en een statelijke actor.
“Dit jaar heeft een recordaantal mensen meegespeeld en ook in deze editie zijn we behoorlijk op de proef gesteld met dit realistische scenario,” aldus Jet de Ranitz, CEO van SURF en voorzitter van de raad van bestuur. “De hele sector heeft weer kunnen ervaren dat het noodzakelijk is om samen te werken in het geval van een cybercrisis. Daarom blijft dit soort oefeningen van grote waarde.”
Opbouw
Op donderdag 23 maart start de crisisoefening om 9.30 uur. Van elke deelnemende organisatie is een paar mensen op de hoogte, de meeste medewerkers weten van niets. Het centrale scenario is door SURF vormgegeven, en instellingen kunnen hier op variëren om zo veel mogelijk aan te sluiten bij de eigen oefendoelen. Gedurende de dag neemt de druk op de deelnemers steeds verder toe, tot 16 uur wanneer de eerste dag eindigt. Op vrijdag 24 maart worden de criminele medewerkers ontmaskerd, bouwt de crisis af en is er ruimte voor reflectie. In de weken die volgen, evalueert SURF samen met deelnemers de oefening en verwerkt de opgedane ervaringen, leerpunten en feedback in een rapport.
Totstandkoming
Voor de vierde keer heeft SURF, de ict-coöperatie van het Nederlands onderwijs en onderzoek, deze sectorbrede crisisoefening voor zijn leden georganiseerd. Charlie van Genuchten, projectleider OZON bij SURF, is begin 2021 met de voorbereidingen gestart. In een brainstorm met professionals uit het onderwijs, onderzoek en de zorg is het insider threat-scenario tot stand gekomen. Vervolgens is het scenario op operationeel, tactisch en strategisch niveau uitgewerkt, rekening houdend met de stadia die een echte cybercrisis doorloopt. Bij de oefening is over de hele keten samengewerkt: partijen als het ministerie en de koepel- en brancheorganisaties deden ook mee aan de oefening.