Cybersecurity-oefening zet Vitens op scherp
Om de twee jaar organiseert de overheid de grootschalige, nationale oefening ISIDOOR. Deze exercitie is gericht op het verhogen van de cyberveiligheid van de vitale infrastructuur. Ook Vitens moest zich stevig verdedigen. ‘Die rode knop is er niet voor niets.’
Bijna honderd publieke en private organisaties uit vitale sectoren deden afgelopen zomer mee aan de oefening. In samenwerking met verschillende overheden, zoals ministeries, veiligheidsregio’s, defensie en politie verdedigden zij zich drie dagen lang tegen een gesimuleerde cyberaanval. Vitens deed voor de derde keer op rij mee.
Wat deze editie extra bijzonder maakte was dat wij namens de drinkwatersector nauw betrokken waren bij het bedenken en evalueren van het oefenscenario. Al met al een traject van vele maanden. De oefening bracht bij Vitens zo’n vijfentwintig collega’s in actie, waaronder security officer Erwin van der Zwan en senior adviseur calamiteitenorganisatie Kees Schoon. Met hen blikken we terug op een paar intense dagen.
Cyberaanval gepaard met veel desinformatie
“Typerend voor ISIDOOR 2021”, aldus Erwin, “was dat de aanval met phishingmails en het besmetten van systemen gepaard ging met veel desinformatie - publiekelijk nepnieuws en ook nepberichten tussen organisaties. Zo’n rookgordijn geeft de aanvaller extra tijd om onder de radar te blijven en het doet een extra beroep op de deelnemers om adequaat te reageren.”
‘Vrijwel onze hele infrastructuur wordt op afstand bestuurd’
De oefening begon met een klein incident en pas gaandeweg werd duidelijk dat het ging om een gerichte cyberaanval door een buitenlandse vijand. Kees: “Wij zijn kwetsbaar voor zo’n aanval want tegenwoordig wordt vrijwel onze hele infrastructuur op afstand bestuurd met ict-systemen. De situatie waar je in zo’n oefening in terecht komt, is dat wij bijvoorbeeld op tijd systemen van elkaar moeten loskoppelen of dat we overgaan op ouderwetse handbediening.”
Heel radarwerk in beweging gezet
Het spel werd op alle niveaus gespeeld. De aanval op de drinkwatervoorziening zette een heel raderwerk in beweging, van het Nationaal Cyber Security Center, het Departmentaal Crisiscentrum, de veiligheidsregio’s en defensie, tot op het hoogste ambtelijke niveau.
Tijdens de oefening werd de samenwerking tussen de twee (virtuele) organisaties waar Erwin en Kees toe behoren, stevig op de proef gesteld. Erwin maakt deel uit van de security-organisatie, dat zijn de mensen die verantwoordelijk zijn voor de beveiliging van alle systemen en voorzieningen. Kees valt onder de calamiteiten-organisatie. Bij noodsituaties zoals een besmetting van het leidingnet, een overstroming of een serieuze cyberaanval, zorgt de calamiteiten-organisatie er voor dat iedereen, intern en extern, adequaat reageert op de ramp.
Lessons learned: cyberveiligheid moet organisatiebreed
Kees: “Een belangrijke les uit deze oefening is dat een ict-probleem alle systemen kan raken en daarmee de hele organisatie. Dat betekent dat je organisatie-breed moet sturen op cyberveiligheid. Een ander leerpunt is dat we soms sneller in actie moeten komen.”
‘Je moet protocollen wel durven toepassen’
Erwin haakt in: “Er liggen protocollen klaar met mooie namen als ‘de rode knop’ en de ‘rode envelop’, maar je moet ze wel durven toepassen en niet - uit een soort koudwatervrees - eerst het protocol kritisch doornemen. Dat kost tijd en dat denkwerk is al gedaan.”
Het rookgordijn bij deze oefening zorgde, zoals gezegd, voor een extra uitdaging. Erwin: “Wat we daarvan hebben geleerd is dat we meer dan ooit goed moeten communiceren: wederzijds checken of we elkaar begrijpen en nooit ‘aannames’ doen, want dat kan leiden tot onjuiste acties of tot het verlies aan samenhang tussen acties.”
‘Je kan voor deze oefening niet zakken’
Wat Kees ook opviel tijdens de oefening was “de enorme inzet van de medewerkers en de volledige bereidheid om ervan te leren”. Erwin: “Daar gaat het ook om, dat je ervan leert. Je kan voor deze oefening niet zakken, er zijn geen rapportcijfers.” Dat laatste neemt niet weg dat er ruimte is voor schouderklopjes: “Onze mensen”, aldus Erwin, “hebben heel serieus tegengas gegeven aan de vijand. Ik was onder de indruk van hun bekwaamheid.” Hij kan het weten, want Erwin was degene die het oefenscenario mede heeft uitgedacht en betrokken was bij de algehele evaluatie.
Altijd goed voorbereid
Parallel aan ISIDOOR 2021 hebben de overheid en de drinkwaterbedrijven een serious game ontwikkeld waarmee de medewerkers diverse scenario’s kunnen oefenen. Daarnaast hebben Kees en Erwin, naar aanleiding van de ervaren knelpunten, diverse deeltrainingen en vervolgoefeningen bij Vitens ingezet. Een belangrijk leerdoel daarbij is dat de mensen van de security- en van de calamiteiten-organisatie elkaars werkveld en procedures nóg beter leren kennen.
Over hoe vaak zij nu in het echt op die rode knop drukken? Erwin: “Daar doen we liever geen uitspraken over. Het gaat erom dat áls dat gebeurt, we goed zijn voorbereid.”