SURF heeft dit jaar met 26 instellingen een grote crisisoefening georganiseerd, om te onderzoeken in hoeverre het hoger onderwijs weerbaar is tegen cybercrises. De uitkomsten en lessen van deze oefening worden tijdens deze sessie gedeeld. Hoe zou uw instelling het doen in een crisissituatie? Waar zou uw instelling van kunnen leren? En welke valkuilen kunt u bij uw instelling toetsen? Kom naar deze sessie om meer te weten te komen!
4. Het scenario
• Dilemma’s creëren die niet door
strategisch niveau van tafel kunnen
worden geveegd
• Zowel een ethische als
criminele component
• Eerste verhaallijn:
hackerscollectief Robbing Good
• Tweede verhaallijn:
Ozon Onion
• Overzicht met injects per
kwartier/half uur gemaakt
• Daarna: uitgewerkt per organisatie
5. De oefening
• 4 oktober 8.15 van start
• Met 21 man in het zenuwcentrum
• Eerst Robbing Good, toen Onion (13.00)
• Journalisten gesimuleerd
• Mediasimulator: 530 twitterberichten
• voorbereid, krantenberichten van
NRC, Trouw,Telegraaf, AD en NU.nl
• Iedereen gelijk heel hard aan
de slag: in totaal 1600 mails gecc’d
7. Ervaringen Erasmus Universiteit
Oefendoel
•Paraatheid testen op strategisch en tactisch niveau
•Spelers: college van bestuur, crisisorganisatie,
persvoorlichting, juridische zaken, CIO/CISO,
onderwijsondersteuning…
•ICT specialisten oefenen niet mee.
8. Ervaringen Erasmus Universiteit
Leerpunten en aanbevelingen
• “Zeer leerzaam!” “Te realistisch!”
• Waarnemers op de werkvloer met concrete leerdoelen voor ogen.
• Uitgebreid evalueren. Hot wash debrief. Centrale evaluaties bij
SURF. Evaluaties in de teams. Evaluatie met bestuur.
• Vervolgacties belegd hoog in de organisatie.
• Oefenen baart kunst… herhalen!
10. Uitkomsten
•Succesvolle eerste oefening
•Zeer leerzaam: iedereen ging
naar huis met leerpunten
•Werd ervaren als realistisch
•Voorbereiding heeft heel veel
tijd gekost
•Strategisch gedeelte was het
moeilijkst om op het spoor te
zetten: koppeling tussen strategisch en technisch bij
voorbereiding nodig
•Het is een gap bridging exercise geweest: zowel intern als
tussen instellingen
12. Aanbevelingen
• Maak cybersecurity een integraal onderdeel van het crisismanagement
• Deel meer informatie tussen instellingen, en doe dat al eerder in het crisisproces.
• Onderzoek naar welke vorm van landelijke coördinatie bij een
sectoroverstijgende cyberdreiging het meest geschikt is. Daarbij moet de
autonomie van de instellingen en het mandaat om dergelijke acties uit te voeren,
goed afgebakend zijn.
• Houd vaker groot- en kleinschalige oefeningen gericht op de sector of op een
bepaald onderwerp om bewustzijn, draagvlak en weerbaarheid te vergroten. Pak
de voorbereiding en uitvoering van oefeningen gezamenlijk op omdat het veel tijd
en inspanning kost.
• Draag de uitkomsten, conclusies en aanbevelingen van oefeningen uit om
bewustzijn en draagvlak voor cyberdreigingen (en oefeningen) te krijgen.
14. Vormen van oefeningen
“Discussie” oefening / Dilemma
exercises
Praktijkoefening
Desk Check Comms check (oproep oefening)
Walkthrough Distributed tabletop
Workshop Command post Exercise
Tabletop Simulatie oefening
Capture-the-flag
Red team/Blue team
Zie ook ISO 22398:2013 Social Security - Guidelines for exercises
15. •White paper en draaiboek van
OZON
•Onderzoek naar geschikte
vormen, verschillende kleinere
vormen uitwerken
•Oefenen op specifieke rollen
•“Off the shelf” oefeningen:
-Capture the flag
-Red team / blue team
-…
•OZON 2018?
Nog een keer!