Tekst Machteld Scholten
Foto Wiebe Kiestra (headerfoto), Bas Kijzers
Na een lange voorbereiding was het 1 juni zover: de grootste cybercrisisoefening die ons land ooit heeft gekend ging los. De vierdaagse oefening, georganiseerd door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum (NCSC), had tot doel om het Nationaal Crisisplan Digitaal (NCP-Digitaal) te oefenen.
Isidoor 2021
Het doel van Isidoor is het oefenen van diverse crisisprocedures tijdens een digitale crisis. Hieronder vallen het NCP-Digitaal, de crisishandboeken en het Nationaal Handboek Crisisbesluitvorming (NHC). De focus ligt op het oefenen met informatie-uitwisseling in crisisomstandigheden en met de nationale opschalingsstructuur en het versterken van de onderlinge samenwerking tussen alle betrokken organisaties. Isidoor is onderdeel van het nationale oefen- en testprogramma in het kader van de Nederlandse Cybersecurity Agenda (NCSA). De NCTV en het NCSC organiseerden deze grote cyberoefening voor de derde keer.
1 juni 2021. Nederland wordt getroffen door meerdere cyberaanvallen. Er komt geen of vervuild water uit de kraan, energie valt uit, digitaal betalingsverkeer is onmogelijk, er zijn problemen op Schiphol en in de havens en ziekenhuizen kunnen geen patiënten meer registreren. De chaos is groot. Bij het zoeken naar oplossingen blijkt al snel dat een kwaadwillende partij gevoelige data van de getroffen organisaties buitmaakt.
Uniek
Dat was in het kort het hoofdscenario van de mega-oefening die begin juni werd gehouden en dat per deelnemende organisatie op maat was uitgewerkt. Meer dan 1.500 personen deden eraan mee, afkomstig uit vitale sectoren zoals energie, drinkwatervoorziening, infrastructuur en het bankwezen. Ook overheden zoals ministeries, veiligheidsregio’s, politie en het OM waren vertegenwoordigd. Het grote aantal deelnemende organisaties uit verschillende sectoren – 96 in totaal – maakte de oefening uniek en de grootste ooit in Nederland gehouden.
Voorbereiding
Deelproject- en oefenleider Vera Voogd (NCTV): “De voorbereiding op de oefening duurde zo’n anderhalf jaar. Behalve dat de deelnemende organisaties in die periode zijn opgeleid voor de oefening, werden partijen als het ware gedwongen met elkaar in gesprek te gaan en uit te pluizen hoe de samenwerking en informatie-uitwisseling in een crisissituatie eruit zou moeten zien. Daarmee was dit ‘opwerktraject’ op z’n minst even belangrijk als de oefening zelf.”
Injects
Ook Francien Machielse, coördinator communicatie bij de Eenheid Communicatie van NCTV, was vanaf het begin al bij de voorbereidingen betrokken: “Dan moet je denken aan het mede vormgeven van het scenario voor het communicatiedeel van de oefening, het inrichten van de mediaresponsecel, de mediatool waarin je precies kunt zien wat alle deelnemers naar de buitenwereld communiceren en het bedenken van zogenoemde injects – interventies – die we tijdens de oefening zouden kunnen inzetten om deze voor alle deelnemers zo waardevol mogelijk te laten verlopen. Ook de nationale opschaling en de bijbehorende crisisoverleggen hebben we tijdens de voorbereidingen al uitgewerkt.”
Realistische setting
Vera: “Er waren speciaal voor de oefening afgeschermde digitale omgevingen gecreëerd waar veilig kon worden geoefend. In het operationele deel van de oefening gingen de technische teams van de deelnemende organisaties in een realistische setting aan de slag met gesimuleerde phishing mails, malwaresamples en allerlei technische problemen met computersystemen waardoor bijvoorbeeld klantenservices en websites niet meer werkten. De organisaties schaalden op via hun eigen crisisprocedure en konden zo oefenen met hun eigen procedure én met de aansluiting daarvan op de het NCP-Digitaal.”
Maatschappelijke ontwrichting
‘’Het operationele deel van de oefening werd gaandeweg uitgebreid met aandacht van de media en achter de schermen pasten we het scenario ter plekke aan met nog meer calamiteiten en ontwikkelingen”, gaat Vera verder. “De maatschappelijke ontwrichting was inmiddels groot en mondde uit in een nationale crisis waarbij bestuurlijk werd opgeschaald naar een Interdepartementale Commissie Crisisbeheersing (ICCb). Ook minister Grapperhaus – in de eerst fase van de oefening ‘speelde’ ik voor minister – sloot op 2 juni zelf aan bij de briefing. Kortom, alle niveaus waren aangehaakt.”
Nationaal Kernteam Crisiscommunicatie
Francien: “Op het moment dat de media-aandacht groot wordt, de onrust toeneemt en de crisis meerdere departementen beslaat, wordt het noodzakelijk de communicatie te coördineren. Dat is het moment dat wordt opgeschaald en het Nationaal Kernteam Crisiscommunicatie (NKC) wordt geformeerd. Kort gezegd houdt het NKC zich vooral bezig met het coördineren van alle publiekscommunicatie van de betrokken departementen en de overige deelnemers, zodat je als één overheid naar buiten treedt.”
Schaken op verschillende borden
Omdat Francien zo bij die voorbereiding was betrokken kon zij tijdens de oefening zelf niet als deelnemer meedoen. Dit deden andere collega’s van de Eenheid Communicatie van de NCTV en het Team Communicatie van het NCSC. “Ik zat in de oefenleiding en had een rol in de mediaresponsecel. Niet alleen hielden we daar in de gaten wat alle deelnemers communiceerden naar de buitenwereld, we stuurden daar met onze eigen tweets, berichten, mediavragen, et cetera ook op bij. We regisseerden de oefening als het ware en maakten het de deelnemers soms knap lastig.
Als Eenheid Communicatie van de NCTV schaakten we op verschillende borden. Allereerst zorgden we er als oefenleiding vanuit de mediaresponsecel voor dat de deelnemers een goede oefening konden draaien. Daarnaast bereidden we de nationale opschaling voor en waren we tegelijkertijd met het NKC ook echte deelnemers aan de oefening.”
Leerpunten
Vera: “Het evaluatierapport van de oefening wordt eind augustus verwacht. Maar ik kan nu al zeggen dat Isidoor 2021 leerpunten heeft opgeleverd. We hebben bijvoorbeeld gezien hoe belangrijk het is om elkaar de juiste vragen te stellen. Als je het hebt over data-exfiltratie weet niet iedereen dat je bedoelt dat gevoelige informatie – in het scenario waren dat gegevens uit de systemen van meerdere organisaties – op straat kan komen te liggen. Dat heeft natuurlijk grote gevolgen voor de betrouwbaarheid en dienstverlening van deze organisaties. Het is, met andere woorden, belangrijk dat je dezelfde taal spreekt. Daar zijn we ons door deze oefening nog eens extra bewust van geworden.”
Intern
Ook Francien kan vanuit haar rol nu al wat leerpunten en uitdagingen benoemen. “Zo waren we tijdens de oefening zo gericht op de buitenwereld en onze adviesrol voor de nationale overleggen, dat we te weinig aandacht hadden voor de interne communicatie. Je eigen collega’s op de hoogte houden van wat er speelt, daar hebben wij tijdens de oefening te weinig aandacht voor gehad. Verder hadden we natuurlijk te maken met de coronamaatregelen. Tijdens zo’n oefening zit je het liefst met alle spelers in het NKC bij elkaar. Onder normale omstandigheden zou het dan echt een epicentrum zijn geweest, die dynamiek misten we nu. Dat we onder deze omstandigheden toch goed hebben kunnen oefenen, komt denk ik door diezelfde coronacrisis: we zitten al vijftien maanden in een crisissituatie waarin we als NKC veel ervaring hebben opgedaan, ook met hybride werken. Mooi resultaat is verder dat we met de leerpunten uit de oefening de koepelnotitie Communicatie bij Digitale Incidenten, die hoort bij het NCP-Digitaal, verder kunnen aanscherpen. Deze kunnen niet alleen wij, maar ook onze risico- en crisiscommunicatiepartners in de toekomst vast goed gebruiken.”
Afhankelijk
Vera en Francien kijken terug op een goed verlopen en waardevolle oefening, die zeker voor herhaling vatbaar is. Vera: “We zijn als maatschappij steeds afhankelijker van digitale processen. Zo liet de problematiek rondom Citrix in 2020 zien hoe groot de maatschappelijke gevolgen van een cyberincident kunnen zijn. Denk maar eens terug aan de files die ontstonden doordat thuiswerken niet meer mogelijk was. Daarom zijn oefeningen als deze zo belangrijk: hoe wisselen we informatie uit? Hoe werken we met elkaar samen en hoe coördineren we die samenwerking?” Francien vult aan: “Natuurlijk ziet een mogelijk toekomstig ‘echt’ cyberincident er vast anders uit dan de situatie die we nu hebben geoefend. Maar de ervaring die we hebben opgedaan met de manier van werken tijdens zo’n crisis, de informatielijnen, de verantwoordelijkheden en structuren zijn voor elk toekomstig digitaal incident waardevol.”