Gaat het netwerk plat?

Verslag van de tweede bijeenkomst van de mastercourse 'Cybersecurity voor management en bestuur'

Gemeentehuis Weert, woensdag 7 augustus 2012, directieteamvergadering, 11.30 uur. De deur gaat open, iemand van de ICT-afdeling. “Er is een virus actief in het netwerk. Er zijn twee besluiten nodig. Gaat het netwerk plat? En gaan we ermee naar buiten?”

Het directieteam wil weten wat het virus doet. Is niet bekend. Wel dat het een Trojaans paard is en Microsoft-gerelateerd, maar virusbestrijdingsbedrijven kennen het nog niet. Binnengekomen via een bijlage bij een e-mail. Mogelijk via uitgaande mail ook al extern verspreid. Om 11.45 uur wordt besloten om het netwerk plat te leggen omdat dat de enige manier was om verdere verspreiding van het virus te voorkomen. Alle applicaties worden gestopt, mail sturen en ontvangen kan niet meer. Weert gaat ermee naar buiten. Een goede tip van de burgemeester wordt direct opgevolgd: alles wordt gedocumenteerd in een logboek.

De Limburgse gemeente (48.000 inwoners, 350 medewerkers, van wie ca.10 ICT’ers) is getroffen door het Dorifelvirus. Later die woensdag zal blijken dat 60.000 bestanden en zes applicaties zijn geïnfecteerd. Computeruitwijk biedt geen soelaas. Want dinsdag aan het eind van de middag heeft Publiekszaken een paar kleine storingen gehad en met de kennis van woensdag moeten die al door het virus zijn veroorzaakt. Dan is de backup van vannacht dus ook onveilig. Het directieteam, aangevuld met een ICT’er en een communicatiemedewerker, opereert als kernteam voor de besluitvorming, informeert leidinggevenden, die informatie doorgeven aan hun medewerkers. De dienstverlening moet zo snel mogelijk weer doorgaan. Tot die tijd noodoplossingen voor uitkeringen (extern bureau) en stand-alonevoorzieningen voor paspoorten, geboorte- en overlijdensaangiften. Communicatie beoogt optimale transparantie over wat aan de hand is. De website (extern gehost, niet aangetast, evenals de telefonie) wordt om de paar uur geactualiseerd. Aanvullend worden er twitterberichten verzonden. Technisch wordt het virus bestreden met een systematische aanpak, gericht op een 100 procent veilige situatie. De ICT’er in het kernteam als ‘verbindingsofficier’ tussen techniek en beleid blijkt een verstandige keuze.

Myriam Meertens, directeur Ruimte van de gemeente Weert, vertelt op de tweede avond van de mastercourse over cybersecurity, over haar ervaringen met een virusaanval. Vanwege vakantie van de gemeentesecretaris was zij als locosecretaris ‘in charge’. Er moest worden gecommuniceerd via grote vellen op flipovers en attentiememo’s die aan wanden werden geplakt. En mondeling. Een afdelingshoofd, dat zijn vijfentwintig medewerkers bijpraat over de laatste ontwikkelingen. Het directe contact hierover werd door mensen op prijs gesteld. Zo konden ze hun vragen ook kwijt. Iedereen voelde zich maximaal betrokken en aangesproken op zijn, naar soms bleek onvermoede, talenten. Voor de sociaal-personele cohesie is zo’n virus een effectieve incentive.

Cameraploegen

Donderdag waren van vakantie teruggeroepen ICT’ers op hun post. Die dag ook een komen en gaan van cameraploegen. Een aantal met flair door de burgemeester te woord gestaan, maar ook door medewerkers die hun werk op een andere dan normale manier moesten uitvoeren. De virusaanval in Weert was onderwerp van het NOS- journaal en trending topic op Twitter. Besloten werd de backup van vrijdag 2 augustus terug te zetten. Tegen het zere been van de afdeling Financiën die maandag en dinsdag hadden gebuffeld om de begroting sluitend te krijgen, maar het uitgangspunt ‘100 procent zekerheid’ moest prevaleren. Een zorgvuldig karwei, dat terugzetten. Alles nog eens in een veilige omgeving door een virusscanner, dan applicaties testen en dan pas weer koppelen in het netwerk.

Zondag was het bijna geklaard, maar maandag bleek het besluit om te communiceren dat de dienstverlening weer normaal zou zijn, toch te voorbarig. Niet alles werkte probleemloos. Een extra rondje koffie en goede uitleg bij het publiek wisten Weerts ongenoegen aan de balies doeltreffend te temperen. Dinsdag kon worden afgeschaald en hernam het ambtelijk leven weer zijn gebruikelijke gang. Al kon extern mailen nog niet. Na intensief speuren naar de oorzaak intern bleek die buiten te liggen. Een provider had, op basis van informatie van een leverancier van antivirussoftware, Weert als maatregel tegen verdere verspreiding ‘afgesloten’. Dat onduidelijk is wanneer dit was gebeurd, dat de gemeente er niet over is geïnformeerd en het nog twee dagen duurde alvorens weer te worden aangesloten, is voor Weert aanleiding voor een gesprek met die provider. Nog een les: lees de kleine lettertjes in contracten met ICT-bedrijven, want als er niet in staat dat men op zondag wil opdraven, draaft men op zondag niet op. Misschien wel het belangrijkste leerpunt: werk een rampscenario ‘virus’ uit. “Er waren geen doden, er was geen schade aan gebouwen, er was geen milieuschade, in de rode map met rampscenario’s vond ik niets over een crisisorganisatie bij computervirussen,” aldus Myriam Meertens.

“Terugkijkend: Een leerzaam proces, een goede oefening in crisisbeheersing; ook een proces waarbij veel positieve energie uit de organisatie vrij kwam; mensen wilden graag bijdragen aan een oplossing.“ Het COT heeft op verzoek van Weert geëvalueerd hoe de crisis in Weert is aangepakt. Dit blijkt snel, slagvaardig en succesvol te zijn verlopen, de interne en externe communicatie was toereikend sterk. Aandachtspunten zijn met name op preventie gericht. Inmiddels zijn door Weert zelf en door het COT geformuleerde aandachtspunten opgepakt.

Master-van-dienst: Dennis de Hoog, COT, Instituut voor Veiligheids- en Crisismanagement

Aan de Weertse casus, gebracht met eenzelfde transparantie als gehanteerd bij de communicatie vorige zomer, ging het betoog van master Dennis de Hoog vooraf.
 
Dennis de Hoog is verbonden aan het COT Instituut voor Veiligheids- en Crisismanagement, dat – in lijn met de maatschappelijke en technologische ontwikkelingen – meer en meer te maken krijgt met vraagstukken rond cybercrises. Uit zijn verhaal kwam naar voren dat waar in de fysieke wereld alles veelal tot in detail is geregeld en vastgelegd (aanrijtijden van brandweer en ambulance, bevoegdheden van de politie om een woning te betreden, risicomaatregelen voor gifemissies en overstromingen), dit voor de virtuele wereld nog lang niet zover is. Ondanks die verschillen kan de mantra dat 80% van een crisis via voorspelbare patronen verloopt, ook prima op cybercrises worden toegepast.
 
Er is veel ervaring met cyber- en ICT-incidenten. Op incidenten zijn organisaties doorgaans voorbereid, waardoor de situatie beheersbaar blijft en binnen de ICT-discipline kan worden afgehandeld. Soms lukt het echter niet een incident te beteugelen en ontstaat een onbeheersbare en kritieke situatie. Voorbereiding is er mede op gericht om te voorkomen dat een incident een crisis wordt. En om ervoor te zorgen dat kritieke momenten (in opschaling, besluitvorming, communicatie e.d.) worden herkend.
 
Net zoals bij elke andere crisis, is het nuttig en belangrijk om de kenmerken van cybercrises te kennen en te gebruiken voor een proportionele en adequate aanpak. De specifieke kenmerken van cybercrises illustreerde De Hoog aan de hand van acht ‘O’s
 

  • Onzichtbaar en ontastbaar. Een cyberincident blijft vaak (lang) onzichtbaar en ontastbaar. Er zijn geen fysieke, zichtbare gevolgen (zoals slachtoffers). Hierdoor wordt de urgentie ervan, onterecht, minder snel gevoeld.
  • Omvangrijk. De ervaring leert dat de effecten van een cyberincident echter omvangrijk zijn en de haarvezels van een organisatie en van hele systemen raken. Juist door de aanzienlijke afhankelijkheid van ICT en data, zijn de gevolgen snel op grote schaal merkbaar. Zeker als er grote verwevenheid is tussen digitale systemen en primaire processen, zoals in de financiële sector.
  • Onduidelijk. Een cyberincident heeft doorgaans een ‘modern technologisch karakter’ met een geheel eigen vakjargon. Jargon dat niet direct geschikt is voor bestuurstafels en ook minder voor externe communicatie. Implicaties, interventies en tijdsduur worden daardoor ook lastig te overzien.
  • Opzettelijk. Moedwillig handelen door criminelen is bij een cyberincident nooit uit te sluiten. Bovendien kent menig incident een internationale, vaak slecht traceerbare bron.
  • Onbegrensd. Cyberincidenten zijn per definitie grensoverschrijdend. De effecten blijven vrijwel nooit beperkt tot één afdeling, één organisatie of zelfs één land. Wat als een lokaal issue begint, heeft al snel internationale gevolgen. De onbegrensde crisis dus.
  • Ongecontroleerd. Bij een cybercrisis is niet vanzelf duidelijk waar de regie ligt. Het primaat van de veiligheid is niet duidelijk belegd en ligt veel dichter bij het individu en individuele organisaties dan bij één regulerende of coördinerende partij.
  • Open. Steeds meer wordt van organisaties verwacht om tot op zekere hoogte open te zijn over cyberincidenten en –crisis. Openheid van zaken biedt de samenleving de mogelijkheid om zich te weer te stellen, maar maakt een organisatie ook kwetsbaar.
  • Onzeker. Elke crisissituatie kenmerkt zich door onzekerheid. Wat maakt cybercrises bijzonder? Er is nog nauwelijks referentiemateriaal en ervaringskennis. 
     
    In de kern, richtten de adviezen van Dennis de Hoog rond cybercrises zich op de noodzaak van een omvattende, organisatiebrede aanpak in plaats van louter technisch. De impact van de cybercrises strekt immers veel verder dan de techniek: veiligheid, continuïteit en reputatie staan op het spel. Om die reden vergen cybercrises ook nadrukkelijk bestuurlijke aandacht. Organisatie en samenleving zijn er meer en meer bij gebaat dat vraagstukken rondom digitalisering en virtualisering worden behandeld als strategische in plaats van ICT-vraagstukken.
     

tags: , ,

- - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.