Natuurlijk is voorkomen beter dan genezen. Maar als het dan toch gebeurt, dan kun je maar beter goed geoefend hebben om te weten wat er op je afkomt. Dat geldt ook voor incidenten in de digitale wereld. Daarom wordt 31 oktober voor de vierde keer de Overheidsbrede Cyberoefening gehouden, waar dit keer heel veel overheden simultaan aan meedoen.
Suzie Kewal (BZK): “Doel is jaarlijks met de hele overheid te oefenen.”| Beeld: Arenda Oomen
De oefening op 31 oktober is onderdeel van het uitgebreide Overheidsbrede Cyberprogramma. Met webinars, een bestuurlijke special en de masterclass in de maanden juni, oktober en november delen overheden kennis om samen digitaal weerbaarder te worden. Het programma is een initiatief van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en wordt georganiseerd door ICTU. Suzie Kewal is coördinator van het team Informatieveiligheid bij BZK en bedenker van de Overheidsbrede Cyberoefening. “Het doel van de Overheidsbrede Cyberoefening is om jaarlijks met de gehele overheid te oefenen. Hackaanvallen worden geavanceerder en complexer, we kunnen dus nooit rustig achteroverleunen. We moeten van elkaar blijven leren en oefenen om weerbaar te blijven.”
Je kunt niet in een keer een perfect plan hebben.
Welke ontwikkelingen heeft ze gezien sinds 2019, het eerste jaar dat de Overheidsbrede Cyberoefening werd gehouden? “De belangstelling is toegenomen, we zijn gegroeid van 700 deelnemers aan de eerste oefening naar ruim 2.000 mensen die dit jaar deelnemen aan de oefening of aan onze webinars. Ook zien we steeds meer verschillende organisaties meedoen; naast overheden onder meer zorginstellingen en universiteiten. Het laat zien dat cyberveiligheid een actueel thema is.”
Zelf aan de slag
De voorgaande jaren werd de oefening gedaan door een gelegenheidsteam, geïnteresseerden konden meekijken. Dit jaar kunnen organisaties zelf aan de slag met de oefening. Projectleider Bill Kuipers van ICTU: “We bieden de mogelijkheid aan organisaties om simultaan mee te oefenen. Met hetzelfde scenario als het landelijke team.” Ruim zeventig overheidsorganisaties gaven zich ervoor op, vertelt hij: “Zoveel animo hadden we niet verwacht! Het is mooi om te zien dat onze doelgroep, mede door het programma van afgelopen jaren, klaar is om de volgende stap te zetten en zelf te gaan oefenen.”
Bill Kuipers (ICTU): “Organisaties kunnen simultaan mee oefenen.”| Beeld: Studio Oostrum
Het simultaan oefenen gebeurt binnen de eigen organisatie in een veilige omgeving, resultaten worden niet gedeeld. Wel heeft de organisatie tijdens de landelijke oefening contact met een of meer deelnemende organisaties om te horen welke besluiten zij hebben genomen. Kuipers: “Het wordt interessant om te zien hoe zich dat verhoudt tot het gelegenheidsteam.” Organisaties die niet zelf willen oefenen, kunnen net als vorig jaar de centrale cyberoefening als toeschouwer volgen.
Simultaan oefenen
Het is dit jaar voor het eerst mogelijk om simultaan mee te doen met de Overheidsbrede Cyberoefening. Ruim zeventig overheidsorganisaties gaven zich hiervoor op. Zij volgen op 31 oktober met hun eigen crisisteam, in hun eigen omgeving, hetzelfde scenario waarmee ook het landelijke team de uitdaging aangaat. Wat zijn hun redenen om dit te doen?
Remco Rekoert, chief information security officer gemeente Beverwijk: “Wij doen mee om voorbereid te zijn. Het is tegenwoordig niet ondenkbaar dat we daadwerkelijk bij een incident betrokken raken. Als dat gebeurt, dan wil je niet in discussies belanden wie je moet betrekken en wie wat moet doen. We hopen dat de oefening ons helpt om goed voorbereid te zijn op een cyberincident. Mijn tip aan collega-overheden: oefen en leer van organisaties die een incident meemaakten. Blijf transparant en eerlijk. En vooral: blijf denken en werk veilig!”
Ervaringen vanuit ons eigen crisisteam direct landelijk kunnen spiegelen heeft toegevoegde waarde.
Evelien Houweling-Castelein, chief information security officer Sociale Verzekeringsbank: “Wij oefenen minimaal eenmaal per jaar met ons organisatiebrede crisisteam, om zoveel mogelijk voorbereid te zijn op calamiteiten. Omdat het cyberrisico elke dag toeneemt, hebben wij ons de afgelopen periode gericht op de cybercrisis. Ervaringen vanuit ons eigen crisisteam direct landelijk kunnen spiegelen geeft ons een enorme toegevoegde waarde. Mijn tip aan collega-overheden: zorg dat je op het ergste bent voorbereid en maak afspraken met ketenpartners hoe in dat geval te handelen. Ga hier het gesprek met elkaar over aan. Daarmee verbeter je je eigen aanpak.”
Frank Vianen, chief information security officer gemeente Diemen, gemeente Uithoorn, gemeente Ouder-Amstel en Duo+: “Het is belangrijk om elkaar ook in crisissituaties te kennen. Het oefenen biedt een mooie kans om dit onderwerp centraal te zetten. Door te oefenen leer je om rustig te blijven, uit te gaan van de feiten, overzicht te houden en inzage te geven in elkaars handelswijze. Wij hopen dat we door te oefenen beter kunnen inspelen op elkaar. En dat we nieuwe inzichten krijgen om het cybercrisisplan nog verder te verbeteren. Als tip aan collega-overheden zou ik willen zeggen: maak een plan, zorg dat je de basis hebt geregeld, dat je collega’s elkaar kennen, dat iedereen rolvast blijft, wees positief kritisch en sta open voor verbeteringen. Je kunt niet in een keer een perfect plan hebben, door het onderwerp bespreekbaar te maken komen er nieuwe inzichten. Pas je plan hierop aan.”
Dit artikel is ook gepubliceerd in iBestuur Magazine #44 van oktober 2022