Cyberoefening ISIDOOR 2023: “cybercrisis leek ver van mijn bed”
Digitale dreigingen nemen toe, terwijl onze weerbaarheid achterblijft. Daarom is het goed om mogelijke cyberscenario’s te oefenen en daar lessen uit te trekken. Ruim 120 organisaties uit de publieke en private sector, meer dan 3000 personen, deden mee aan de cyberoefening ISIDOOR 2023. Deelnemers kwamen uit 12 verschillende sectoren zoals bijvoorbeeld drinkwater, telecom, energie, financiën en transport. Ook hebben ministeries, veiligheidsregio’s en politie meegedaan aan de oefening.
Cyberaanvallen hebben een steeds grotere impact op systemen, organisaties en de maatschappij. Corine Schipper–Derkse, waarnemend directeur NCSC: “ISIDOOR laat ons zien hoe snel een kwetsbaarheid in IT systemen, door ketenafhankelijkheid, kan leiden tot maatschappelijke ontwrichting. Weten met wie je in zo’n situatie moet samenwerken, waar je betrouwbare informatie vandaan haalt en snel (kunnen) reageren is dan cruciaal om erger te voorkomen. Daarom is het zo van belang dat we onze crisisplannen en afspraken met elkaar oefenen.”
Naast dat het uniek is om met zo een groot aantal deelnemers uit al die verschillende sectoren een cybercrisis te oefenen, is het vooral het oefenen belangrijk. Cyberaanvallen zijn vrij onzichtbaar, houden zich niet aan grenzen en de effecten verspreiden zich in hoog tempo. Een cybercrisis 100% voorkomen lukt niet, wel is het mogelijk om de impact te verkleinen. Door je goed voor te bereiden, kunnen we elkaar beter beschermen.
Geleerde lessen
Overduidelijk is dat ISIDOOR bijdraagt aan brede bewustwording. Voor veel sectoren voelt cyber een beetje als ver van hun bed. Door ISIDOOR is het heel duidelijk geworden dat een cybercrisis in een zeer korte tijd een fysiek effect kan hebben. ISIDOOR helpt om elkaar beter te leren kennen. Op die manier kunnen we tijdens een echte crisis snel acteren. Verder zien deelnemers het Nationaal Cyber Security Centrum (NCSC) als dé organisatie waar ze naar kijken voor gevalideerde informatie tijdens een cyber crisis. Ook werd duidelijk dat de opschaling naar de landelijke crisis structuur voor deelnemende organisaties soms nog nieuw en onbekend is. Er zijn vragen over wat de nationale opschaling voor de rollen en verantwoordelijkheden betekent. Ook is niet altijd bekend hoe de informatielijnen lopen. Tot slot zien we dat het Landelijk Crisisplan Digitaal nog niet bij iedereen bekend is.
De oefening was verspreid over vier dagen en werd georganiseerd door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum (NCSC), ondersteund door het COT en FOX-IT. Het doel was om de informatie-uitwisseling, samenwerking en nationale opschaling bij een cybercrisis te beoefenen.
Het begon klein en eindigde in een actieve Nationale crisisstructuur
Het scenario van ISIDOOR IV draait om een fictieve softwareleverancier, Sysmetrics, die monitoringssoftware levert. Deze software, genaamd Availomon, wordt door alle aan ISIDOOR deelnemende organisaties gebruikt om interne systemen in de gaten te houden en is dus wijdverspreid binnen de vitale en digitale infrastructuur van Nederland. Een fictieve statelijke actor is binnengedrongen bij Sysmetrics en heeft toegang (een zogenaamde backdoor) in Availomon gebouwd. Doordat de actor deze toegang actief misbruikt en er een fout in een software update van Availomon is geslopen, ontstaan er bij verschillende organisaties verstoringen in de dienstverlening en gaan er alarmbellen af. De verstoringen beginnen klein maar gedurende de oefening krijgen er steeds meer ‘mensen’ last van, waardoor uiteindelijk de nationale crisisstructuur geactiveerd moet worden.
Hoe nu verder?
Zodra de evaluatie helemaal is afgerond wordt deze aangeboden aan de Tweede Kamer. De evaluatie van ISIDOOR kan relevante bevindingen en aanbevelingen opleveren voor het Landelijk Crisisplan Digitaal. Jaarlijks wordt bekeken of een actualisering van het LCP Digitaal nodig is. De lessen van ISIDOOR kunnen onder andere in het plan worden verwerkt. In 2024 gaan we aan de slag met het voorbereiden van een volgende oefening om de weerbaarheid tegen cyber te blijven vergroten.
Wacht niet tot de volgende oefening om je verder voor te bereiden
ISIDOOR staat niet op zichzelf. Het is een van de manieren waarmee organisaties in Nederland zich kunnen voorbereiden op een cybercrisis. Cybersecurity zou bij de topprioriteiten voor bedrijven en overheden moeten horen, maar dat is het nog vaak niet het geval. Zonder af te doen aan de grote inspanningen van veel partijen, hebben we cybersecurity te lang als bijzaak gezien. Dat leidt tot grote risico’s en kan zelfs maatschappelijke ontwrichting veroorzaken. Nieuwe regels binnen Europa (NIS2) gaan daar een groot aantal organisaties wel toe dwingen. Bestuurders worden aansprakelijk gesteld en er kunnen boetes volgen. Of je nu wel of niet onder die regels valt: organisaties kunnen door cyberaanvallen out-of-business gaan. Dat heeft deze oefening wederom duidelijk gemaakt. We moeten daarom allemaal nú aan de slag om onze cybersecurity op orde te brengen!
Zie ook:
- LCP digitaal: Landelijk Crisisplan Digitaal (LCP) | Publicatie | Nationaal Coördinator Terrorismebestrijding en Veiligheid (nctv.nl)
- Koepelnotitie crisiscommunicatie digitaal domein: Koepelnotitie crisiscommunicatie digitaal domein | Publicatie | Nationaal Coördinator Terrorismebestrijding en Veiligheid (nctv.nl)
- Tijdens ISIDOOR is een podcastserie van 5 afleveringen opgenomen. De eerste aflevering is vanaf 18 december hier te beluisteren: De nieuwe podcastserie van het NCSC: Enter! | Nationaal Cyber Security Centrum