Hoe bereid je je voor op mogelijke digitale ontwrichting?

Als ergens brand uitbreekt of een rivier overstroomt, is bij overheidsorganisaties meestal wel duidelijk wie welke rol pakt en op welke wijze de hulpdiensten gecoördineerd worden. Maar is dat ook duidelijk als het om digitale incidenten gaat? Speciaal voor adviseurs crisisbeheersing van gemeenten ontwikkelde VNG een handreiking (voorbereiding op) digitale ontwrichting.

Gemeenten zijn sinds jaar en dag verantwoordelijk voor de openbare orde en veiligheid, bevolkingszorg en maatschappelijke continuïteit. Bij een crisis moeten bestuurders en ambtenaren weten wie wat doet en wanneer. Ook bij digitale crisissituaties.

In de net gepubliceerde handreiking ‘(voorbereiding op) digitale ontwrichting’ gaat het om situaties die gevolgen kunnen hebben voor de openbare orde en veiligheid en/of cascade- gevolgeffecten hebben in het fysieke domein. Bij cyberverstoringen in de gemeentelijke informatiesystemen, zonder maatschappelijke gevolgen buiten de gemeentelijke organisatie, verwijst de VNG naar de Informatiebeveiligingsdienst (IBD).

Koude, lauwe en warme fase

In de handreiking worden de drie bekende fases onderscheiden: een koude, een lauwe en een warme fase.

• In de koude fase koud is er nog niets aan de hand. Dan is het zaak ervoor te zorgen dat er voldoende kennis en kunde aanwezig is. Adviseurs crisisbeheersing kunnen zich dan focussen op het voorbereiden van de multidisciplinaire samenwerking, beleidsvorming en opleiding en training.
• In de lauwe fase is een organisatie bekend met de dreigingsinformatie of cyberaanval, maar zijn er nog geen fysieke gevolgen aantoonbaar.
• In de warme fase gaat het erom de crisis onder controle te krijgen. De situatie is nu acuut.

Voor iedere fase worden aandachtspunten geschetst. Het lijken soms ‘open deuren’, maar het moet uiteraard wel geregeld zijn als de nood aan de man is. Zo raadt de VNG aan in de koude en lauwe fase duidelijke afspraken te maken over  op- en afschalen van het calamiteitenteam naar het Gemeentelijke Beleidsteam. En ervoor te zorgen dat de relatie met de CISO op orde is; bespreek de onderlinge verwachtingen en de mogelijkheden om elkaar in het geval van een calamiteit te kunnen bereiken.

In de warme fase komt het erop aan goed overzicht te hebben, bijvoorbeeld van getroffen processen en diensten en de volgorde waarin deze weer dienen te worden hersteld. En te weten wanneer je moet escaleren richting de gemeentesecretaris en bestuurders. Bepaal ook de strategische dilemma’s en belangrijke besluiten die genomen moeten worden: wat te communiceren, hoe om te gaan met eventueel losgeld, met welke classificatie van het incident hebben we te maken en moeten externe experts ingehuurd worden?

Nazorg

Na de warme fase volgt een fase van herstel en evaluatie. De taken van de crisisorganisatie worden dan weer overgedragen aan de lijnorganisatie. Houd rekening met een lange herstelfase, hoge kosten en grote maatschappelijke impact na
digitale ontwrichting, waarschuwt de VNG. Het kan ook lastig zijn om te duiden wanneer het weer echt ‘veilig’ is.
Uiteraard is het van belang de aanpak van het crisismanagement tijdens de cybercrisis te evalueren. Wat ging er goed, wat kan beter? Identificeer de leerpunten en implementeer deze in de crisisplannen en/of continuïteitsplan.

Klik HIER om de handreiking te openen. In de handreiking zelf wordt weer verwezen naar tal van relevante documenten die bestuurders en adviseurs kunnen benutten bij hun werkzaamheden.

Lees ook:

• 6de Overheidsbrede Cyberoefening – iBestuur
• Het is geen keuze – beveilig die digitale ramen! – iBestuur
• De mate waarin organisaties zijn voorbereid op een cybercrisis loopt sterk uiteen – iBestuur