Dat organisaties te maken krijgen met een hack of een datalek is helaas niet uit te sluiten. Sinds 2019 is er een oefenprogramma om overheidsorganisaties beter voor te bereiden op digitale dreigingen. Oefenen is één van de krachtigste instrumenten om tijdens en na een digitale aanval zo snel mogelijk terug te veren en de publieke dienstverlening weer op te pakken.
Margot van der Linden (links) en Suzie Kewal (rechts) | Beeld: hans Oostrum
Oktober is een goede maand voor de ambtenaar die geïnteresseerd is in digitale veiligheid en beveiliging. De uitsmijter is op 1 november, met de derde Overheidsbrede Cyberoefening voor bestuurders en professionals van de Rijksoverheid, provincies, gemeenten en waterschappen. Wie zich aanmeldt mag de chaos ervaren van een digitale dreiging en oefenen hoe daarmee om te gaan. Ook dit jaar is het een online evenement, voorafgegaan door tientallen webinars en presentaties. Deelname aan het programma van de Overheidsbrede Cyberoefening is gratis voor ambtenaren. Het programma is een initiatief van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en wordt georganiseerd door ICTU.
100% veilig bestaat niet
De focus ligt dit jaar niet op preventie, maar op continuïteit. Projectleider Margot van der Linden van ICTU heeft er zin in: “We werken met een scenario dat goed herkenbaar én herbruikbaar is voor Rijk, provincies, gemeenten en waterschappen. Door te oefenen met een fictieve cyberaanval ervaart de deelnemer in een veilige omgeving wat hij of zij moet doen wanneer de organisatie getroffen wordt door een cyberincident. Vaak zijn er in organisaties uitgebreide crisisplannen aanwezig, met daarin de processen van wat er moet gebeuren. Maar we weten ook dat het in de praktijk vaak anders gaat dan van tevoren is bedacht. Door te oefenen toets je de uitvoerbaarheid van het crisisplan en kun je het indien nodig aanpassen om beter voorbereid te zijn.”
“Ga er altijd vanuit dat het een keer misgaat.”
Na anderhalf jaar samenleven op anderhalve meter behoeft onze afhankelijkheid van digitalisering geen uitleg meer. Met recordbrekende hacks in binnen- en buitenland is het inmiddels ook duidelijk dat incidenten overal kunnen voorkomen en dat ook incidenten bij toeleveranciers een impact kunnen hebben op de eigen organisatie. “Organisaties kunnen alles op orde (denken) te hebben en helemaal aan de BIO (Baseline Informatieveiligheid Overheid) voldoen, toch bestaat er een kans dat ze worden getroffen door een cyberincident”, zegt Van der Linden. “Ga er altijd vanuit dat het een keer misgaat. Weet dus wat dan te doen en hoe ervoor te zorgen dat de schade beperkt blijft.”
Crisis oefenen
Suzie Kewal is coördinator van het team Informatieveiligheid bij BZK en bedenker van de Overheidsbrede Cyberoefening. Met haar team is zij verantwoordelijk voor het overheidsbrede beleid op het gebied van informatieveiligheid, onderdeel van de interbestuurlijke agenda NL DIGIbeter. Wat zijn in haar ervaring de aandachtsgebieden na een digitale aanval? “Een goede voorbereiding is essentieel om het proces na een aanval goed te laten verlopen. Denk aan het maken van goede back-ups zodat systemen sneller weer in de lucht zijn na bijvoorbeeld een ransomware-aanval. Vergeet hierbij niet het belang van een veilig back-upsysteem waar hackers daadwerkelijk niet terechtkunnen. In de praktijk komt het voor dat dit niet goed is geregeld, met desastreuze consequenties. Dit goed doen, vraagt om samenwerking van ICT en security en een scherpe blik op de inrichting en het testen van ICT-systemen.”
Maatschappelijke plicht
Kewal adviseert om elke aanval aan te grijpen als leermoment. “Wat ging goed, wat kan beter? Niet de schuldvraag moet centraal staan, maar het verbeterproces. Overheden kunnen vervolgens weer van elkaar leren als best practices onderling gedeeld worden, ook dat is voorbereiding.”
“Digitale veiligheid moet simpelweg een plek krijgen op de begroting van alle overheidsorganisaties.”
Organisaties die nu denken te besparen op digitale veiligheid zijn in het geval van een cyberincident waarschijnlijk het veelvoudige kwijt aan schade. Bovendien wordt het voor allerlei soorten cybercriminelen technisch steeds eenvoudiger om een aanval uit te voeren. Tel daarbij op dat overheden interessante doelwitten zijn omdat de continuïteit van de dienstverlening van groot belang is. De oproep van Kewal is: “Digitale veiligheid moet simpelweg een plek krijgen op de begroting van alle overheidsorganisaties om grote incidenten tegen te gaan. Daarnaast hebben overheden de maatschappelijke plicht om goed met gegevens van burgers om te gaan. Korten op digitale veiligheid betekent ook dat deze plicht, in het licht van de alsmaar toenemende digitale dreigingen, onvoldoende waargemaakt kan worden.”
Geen geld is geen optie
Tegen organisaties die onvoldoende tijd en geld kunnen vrijmaken voor digitale veiligheid is Kewal heel stellig. “ICT is onderdeel geworden van het primaire proces. Als organisaties onvoldoende tijd en geld kunnen vrijmaken voor de veiligheid van hun ICT, dan betekent dat in feite dat ze niet genoeg investeren in hun primaire proces. Ik adviseer in dat geval: wees creatief en zoek bijvoorbeeld de samenwerking op met partner- en/of brancheorganisaties die wel geld kunnen vrijmaken en ondersteunen. Ga over informatiebeveiliging het gesprek aan met de CISO of informatiebeveiligingsadviseur. Stel vragen als: ‘wat zijn de grootste risico’s?’, ‘wanneer zijn we als laatste getest?’ en ‘zijn onze back-ups bestand tegen hackers die binnen willen dringen?’ En voer als bestuurder geregeld het gesprek met adviseurs over informatiebeveiliging, want informatiebeveiliging is chefsache.”
