SURF heeft dit jaar met 26 instellingen een grote crisisoefening georganiseerd, om te onderzoeken in hoeverre het hoger onderwijs weerbaar is tegen cybercrises. De uitkomsten en lessen van deze oefening worden tijdens deze sessie gedeeld. Hoe zou uw instelling het doen in een crisissituatie? Waar zou uw instelling van kunnen leren? En welke valkuilen kunt u bij uw instelling toetsen? Kom naar deze sessie om meer te weten te komen!

1. VAN IT TOT RVB
Crisisoefening OZON 2016
Remon Klein Tank, Maarten Brouwer, Mladen Acinger, Rogier Ragetlie en
Alf Moens

2. Overzicht presentatie
•Aanpak oefening, Remon Klein Tank
•Ervaringen Wageningen Universiteit, Maarten Brouwer
•Ervaringen Erasmus Universiteit, Mladen Acinger en Rogier
Ragetlie
•Uitkomsten oefening en toekomstmuziek, Alf Moens
•Vragen

3. Aanleiding
•Initiatief van SURFcert
•Crisisoefening vaak fysiek georiënteerd
•Cybercrisis > IT security
•Doelen
-Weerbaarheid vergroten
-Interne keten testen
-Samenwerking tussen instellingen testen

4. Het scenario
• Dilemma’s creëren die niet door
strategisch niveau van tafel kunnen
worden geveegd
• Zowel een ethische als
criminele component
• Eerste verhaallijn:
hackerscollectief Robbing Good
• Tweede verhaallijn:
Ozon Onion
• Overzicht met injects per
kwartier/half uur gemaakt
• Daarna: uitgewerkt per organisatie

5. De oefening
• 4 oktober 8.15 van start
• Met 21 man in het zenuwcentrum
• Eerst Robbing Good, toen Onion (13.00)
• Journalisten gesimuleerd
• Mediasimulator: 530 twitterberichten
• voorbereid, krantenberichten van
NRC, Trouw,Telegraaf, AD en NU.nl
• Iedereen gelijk heel hard aan
de slag: in totaal 1600 mails gecc’d

6. Stuurgroep OZON & Ervaring Wageningen

7. Ervaringen Erasmus Universiteit
Oefendoel
•Paraatheid testen op strategisch en tactisch niveau
•Spelers: college van bestuur, crisisorganisatie,
persvoorlichting, juridische zaken, CIO/CISO,
onderwijsondersteuning…
•ICT specialisten oefenen niet mee.

8. Ervaringen Erasmus Universiteit
Leerpunten en aanbevelingen
• “Zeer leerzaam!” “Te realistisch!”
• Waarnemers op de werkvloer met concrete leerdoelen voor ogen.
• Uitgebreid evalueren. Hot wash debrief. Centrale evaluaties bij
SURF. Evaluaties in de teams. Evaluatie met bestuur.
• Vervolgacties belegd hoog in de organisatie.
• Oefenen baart kunst… herhalen!

9. Feiten en cijfers
• Enkele plaatjes uit de infographics

10. Uitkomsten
•Succesvolle eerste oefening
•Zeer leerzaam: iedereen ging
naar huis met leerpunten
•Werd ervaren als realistisch
•Voorbereiding heeft heel veel
tijd gekost
•Strategisch gedeelte was het
moeilijkst om op het spoor te
zetten: koppeling tussen strategisch en technisch bij
voorbereiding nodig
•Het is een gap bridging exercise geweest: zowel intern als
tussen instellingen

11. Uitkomsten (2)

12. Aanbevelingen
• Maak cybersecurity een integraal onderdeel van het crisismanagement
• Deel meer informatie tussen instellingen, en doe dat al eerder in het crisisproces.
• Onderzoek naar welke vorm van landelijke coördinatie bij een
sectoroverstijgende cyberdreiging het meest geschikt is. Daarbij moet de
autonomie van de instellingen en het mandaat om dergelijke acties uit te voeren,
goed afgebakend zijn.
• Houd vaker groot- en kleinschalige oefeningen gericht op de sector of op een
bepaald onderwerp om bewustzijn, draagvlak en weerbaarheid te vergroten. Pak
de voorbereiding en uitvoering van oefeningen gezamenlijk op omdat het veel tijd
en inspanning kost.
• Draag de uitkomsten, conclusies en aanbevelingen van oefeningen uit om
bewustzijn en draagvlak voor cyberdreigingen (en oefeningen) te krijgen.

13. Nog een keer?

14. Vormen van oefeningen
“Discussie” oefening / Dilemma
exercises
Praktijkoefening
Desk Check Comms check (oproep oefening)
Walkthrough Distributed tabletop
Workshop Command post Exercise
Tabletop Simulatie oefening
Capture-the-flag
Red team/Blue team
Zie ook ISO 22398:2013 Social Security - Guidelines for exercises

15. •White paper en draaiboek van
OZON
•Onderzoek naar geschikte
vormen, verschillende kleinere
vormen uitwerken
•Oefenen op specifieke rollen
•“Off the shelf” oefeningen:
-Capture the flag
-Red team / blue team
-…
•OZON 2018?
Nog een keer!

16. Vragen?