Aan ons (Marijke en Richard) werd gevraagd om de oefening te organiseren, en dit te doen voor de UvA en HvA gezamenlijk, omdat de instellingen een gemeenschappelijke ICT dienst en één CISO hebben. Daar voelden wij wel wat voor. We gingen aan de slag.
Nu, ruim een half jaar later, is de oefening net een week afgerond en zijn we weer een beetje bijgekomen. Tijd voor reflectie. Wat hebben wij als oefenleiders geleerd van OZON 2023? Dit zijn onze vijf belangrijkste bevindingen.
1. Die obligate doelstellingen aan het begin zijn ook daadwerkelijk heel nuttig
Formuleer oefendoelstellingen. Met dit -niet bijster originele- advies start elke handleiding voor het organiseren van cybercrisisoefeningen. Het was ook de eerste opdracht die wij en de oefenleiders van de andere instellingen van SURF meekregen. Origineel of niet, het is een zeer goed advies. De oefendoelstellingen die we aan de start opstelden, kwamen gedurende het hele traject van pas. Ze gaven focus bij het opstellen van het scenario, ze hielpen bij het samenstellen van het team van deelnemers en nu, bij het opstellen van het evaluatierapport, helpen ze de vraag beantwoorden hoe succesvol de oefening is geweest.
Onze doelstellingen? Kortgezegd wilden de UvA en HvA de taakverdeling tussen partijen in de operationele crisisorganisatie testen en het op- en afschalen van de crisisstructuur oefenen.
2. Het is heerlijk om te duiken in een scenario, maar pas op voor afdwalen
Om een crisissituatie na te bootsen, heb je een scenario nodig. De oefenvoorbereiders van SURF hadden een schitterend basisscenario ontwikkeld, met als ingrediënten een gefrustreerde cryptomiljonair die een aantal insiders bij SURF had omgekocht om haar masterplan tot uitvoer te brengen plus een hackercollectief dat piñatas van meerdere 0-day kwetsbaarheden over de wereld zou uitstorten.
Aan ons individuele instellingen de taak om hier ook een instellingsspecifieke draai aan te geven. Wij deden dit door enerzijds een achtergrondverhaal op te stellen -hoe heeft de cybercrisis kunnen plaatsvinden- en anderzijds door uit te werken hoe dit verhaal de deelnemers bereikt.
Het bouwen van het scenario was een ontzettend leuke, maar ook tijdrovende klus. Twee security architecten en een expert op het getroffen systeem hielpen ons hierbij. We overlegden verder met een academisch onderzoeker, een bestuursondersteuner, een servicemanager en een communicatieadviseur.
We werkten de verhaallijnen stap voor stap uit. ‘Er komt een melding binnen bij de Servicedesk. Wat gaat de servicedesk-medewerker doen? Eerst zelf onderzoek uitvoeren? Wat voor onderzoek? Hoe kunnen we dit nabootsen? En met wie neemt diegene vervolgens contact op?’ We controleerden per stap of de verhaallijn waarheidsgetrouw was. Check check check. Alles werd uitgewerkt in een groot scenarioschema. Een ontzettend leuke en leerzame exercitie. Maar in elk nieuw scenariogesprek ontstonden nieuwe haakjes die we het liefst ook een plek wilden geven. Zullen we de directeur van de onderzoeksschool er ook bij betrekken? Zou het niet logisch zijn dat SAP ook wordt geraakt? Misschien leuk als we zorgen dat er contact ontstaat tussen de Functionaris Gegevensbescherming en de onderzoekers over de impactbepaling van het datalek? Wij moesten oppassen dat we niet afdwaalden en er onnodig veel gingen bijhalen, met als risico dat het een megalomaan en onbeheersbaar project zou worden. De oefendoelstellingen hielpen ons om te focussen.
3. Ook een plompe imitatie van de communicatiemiddelen volstaat
Om een realistische oefening te kunnen houden, wilden we bestaande communicatiemiddelen van de deelnemers simuleren. Een inventarisatie leerde ons dat dat er flink wat waren, waaronder meerdere Signal groepen voor onderling contact en met interne stakeholders, een webpagina met informatie over storingen, intranetpagina’s voor medewerkers en voor studenten en een maillijst voor decanen en bedrijfsvoeringsdirecteuren.
Hoe gingen we die nabootsen? We kozen ervoor om het onszelf niet al te moeilijk te maken en een combinatie van Teams-kanalen en gesimuleerde Signal groepen in te zetten. Elke bestaande Signal groep kreeg een OZON-imitatieversie (we wilden per se niet dat de deelnemers gingen communiceren in de echte Signal groep, dat zou alleen maar voor verwarring kunnen zorgen) en elk ander communicatiemiddel kreeg een eigen Teams kanaal. De spelers konden berichten plaatsen in de ‘posts’ sectie van het betreffende kanaal. Een weinig verfijnde, maar wel pragmatische en doeltreffende aanpak. De kanalen behoeften vooraf weinig uitleg en tijdens de oefening werd er volop gebruik van gemaakt.
4. De oefendagen: omarm de chaos
Op 23 maart 9:30 startte de oefening. De deelnemers waren gebriefd, de lunch geregeld, zalen geboekt. De responscel -een club collega’s die als doel had om alle rollen van de buitenwereld te simuleren- was geïnstrueerd en zat klaar om berichten (ook wel injects genoemd) te plaatsen. We hadden het scenarioschema uitgeprint op groot formaat. De waarnemers stonden gereed met notitieblok in de hand. Alles onder controle. Dachten we.
Zodra het startschot luidde kwam er een grote stroom berichten op gang, die ook niet meer ophield. Vanwege het sectorale karakter van de oefening hadden we hier slechts beperkt invloed op en de snelle opschaling van het centrale crisisteam droeg hier ook aan bij. Wij – de responscel en oefenleiders- hadden onderling een globale taakverdeling afgesproken en reageerden zo goed mogelijk op wat er gebeurde en probeerden tegelijkertijd te anticiperen op wat er zou komen. Dat lukte aardig goed, maar het was veel. Talloze mediaberichten. Een stortvloed aan kwetsbaarheden en een ijverige respons van de deelnemers. Continue correspondentie via de door SURF gesimuleerde SCIPR- en SCIRT-kanalen. We zagen enkele berichten over het hoofd, hebben een inject naar deelnemers wel eens ongelukkig geformuleerd en we werkten ook een keer tegelijkertijd aan een reactie op een vraag van een deelnemer. Maar gelukkig lukte het ons aardig goed om alles bij te houden, al was het wel aanpoten.
Op hetzelfde moment demonstreerden de UvA/HvA crisisteams (er speelde een operationeel en een bestuurlijk crisisteam mee) hun vaardigheden in het scheiden van hoofd- en bijzaken, het verdelen van taken en het bewaren van de rust. Daar konden wij als oefenteam geregeld nog een voorbeeld aan nemen.
5. Een crisis simuleren is een goed leerinstrument
Nu, vlak na de oefening, zijn we blij om te kunnen constateren dat deze oefening echt een goed leerinstrument was. Het scenario en de setting bleek de realiteit goed te benaderen. De deelnemers speelden gedurende de hele periode van de oefening, anderhalve dag, serieus mee. We hebben de oefendoelstellingen uitgebreid kunnen beoefenen. De waarnemers hebben goed kunnen observeren. Zij gaven bij de evaluatie, direct na de oefening, een terugkoppeling met waardevolle bevindingen. Op enkele kritiekpunten na, waren de deelnemers positief over de oefening.
De komende weken wordt de evaluatie uitgewerkt en dan is het zaak voor de UvA en HvA om de positieve punten verder te borgen in de organisatie en de leerpunten op te pakken ter verbetering.
Wijzelf zijn een leerervaring rijker en blij dat we kunnen bijdragen aan een meer cybercrisisbestendige organisatie.
- Marijke Stokkel, strategisch adviseur cybersecurity UvA en HvA / cybersecurity adviseur, BDO
- Richard Smit, afdelingshoofd security & identity management UvA en HvA
Foto afkomstig van Unsplash.com. Fotograaf: Tim Gouw
2 Praat mee