Cyberoefening ISIDOOR 2023: “cybercrisis leek ver van mijn bed”
Digitale dreigingen nemen toe, terwijl onze weerbaarheid achterblijft. Daarom is het goed om mogelijke cyberscenario’s te oefenen en daar lessen uit te trekken. Ruim 120 organisaties uit de publieke en private sector, meer dan 3000 personen, deden mee aan de cyberoefening ISIDOOR 2023. Deelnemers kwamen uit 12 verschillende sectoren zoals bijvoorbeeld drinkwater, telecom, energie, financiën en transport. Ook hebben ministeries, veiligheidsregio’s en politie meegedaan aan de oefening.
Cyberaanvallen hebben een steeds grotere impact op systemen, organisaties en de maatschappij. Door ketenafhankelijkheid kan een kleine digitale verstoring grote gevolgen hebben in de fysieke wereld. Dit kan leiden tot maatschappelijke ontwrichting.
“Naast dat het uniek is om met zo een groot aantal deelnemers uit al die verschillende sectoren een cybercrisis te oefenen, is het vooral het oefenen belangrijk. Cyberaanvallen zijn vrij onzichtbaar, houden zich niet aan grenzen en de effecten verspreiden zich in hoog tempo. Daarom ben ik ook trots dat we met zo’n enorme groep hebben mogen oefenen. Iedereen is namelijk een potentieel slachtoffer van een cyberaanval. Een cybercrisis 100% voorkomen lukt niet, wel is het mogelijk om de impact te verkleinen. Door je goed voor te bereiden, kunnen we elkaar beter beschermen.”, aldus Hester Somsen plaatsvervangend NCTV en directeur Cybersecurity, Weerbaarheid Statelijke Dreigingen en Economische Veiligheid.
Geleerde lessen
Overduidelijk is dat ISIDOOR bijdraagt aan brede bewustwording. Voor veel sectoren voelt cyber een beetje als ver van hun bed. Door ISIDOOR is het heel duidelijk geworden dat een cybercrisis in een zeer korte tijd een fysiek effect kan hebben. ISIDOOR helpt om elkaar beter te leren kennen. Op die manier kunnen we tijdens een echte crisis snel acteren. Verder zien deelnemers het Nationaal Cyber Security Centrum (NCSC) als dé organisatie waar ze naar kijken voor gevalideerde informatie tijdens een cyber crisis. Ook werd duidelijk dat de opschaling naar de landelijke crisis structuur voor deelnemende organisaties soms nog nieuw en onbekend is. Er zijn vragen over wat de nationale opschaling voor de rollen en verantwoordelijkheden betekent. Ook is niet altijd bekend hoe de informatielijnen lopen. Tot slot zien we dat het Landelijk Crisisplan Digitaal nog niet bij iedereen bekend is.
De oefening, verspreid over vier dagen, werd georganiseerd door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum (NCSC), ondersteund door het COT en FOX-IT. Het doel was om de informatie-uitwisseling, samenwerking en nationale opschaling bij een cybercrisis te beoefenen.
Het begon klein en eindigde in een actieve Nationale crisisstructuur
Het scenario van ISIDOOR IV draait om een fictieve softwareleverancier, Sysmetrics, die monitoringssoftware levert. Deze software, genaamd Availomon, wordt door alle aan ISIDOOR deelnemende organisaties gebruikt om interne systemen in de gaten te houden en is dus wijdverspreid binnen de vitale en digitale infrastructuur van Nederland. Een fictieve statelijke actor is binnengedrongen bij Sysmetrics en heeft toegang (een zogenaamde backdoor) in Availomon gebouwd. Doordat de actor deze toegang actief misbruikt en er een fout in een software update van Availomon is geslopen, ontstaan er bij verschillende organisaties verstoringen in de dienstverlening en gaan er alarmbellen af. De verstoringen beginnen klein maar gedurende de oefening krijgen er steeds meer ‘mensen’ last van, waardoor uiteindelijk de nationale crisisstructuur geactiveerd moet worden.
Hoe nu verder?
Zodra de evaluatie helemaal is afgerond wordt deze aangeboden aan de Tweede Kamer. De evaluatie van ISIDOOR kan relevante bevindingen en aanbevelingen opleveren voor het Landelijk Crisisplan Digitaal. Jaarlijks wordt bekeken of een actualisering van het LCP Digitaal nodig is. De lessen van ISIDOOR kunnen onder andere in het plan worden verwerkt. In 2024 gaan we aan de slag met het voorbereiden van een volgende oefening om de weerbaarheid tegen cyber te blijven vergroten.
Wacht niet tot de volgende oefening om je verder voor te bereiden
ISIDOOR staat niet op zichzelf. Het is een van de manieren waarmee organisaties in Nederland zich kunnen voorbereiden op een cybercrisis. Cybersecurity zou bij de topprioriteiten voor bedrijven en overheden moeten horen, maar dat is het nog vaak niet het geval. Zonder af te doen aan de grote inspanningen van veel partijen, hebben we cybersecurity te lang als bijzaak gezien. Dat leidt tot grote risico’s en kan zelfs maatschappelijke ontwrichting veroorzaken. Nieuwe regels binnen Europa (NIS2) gaan daar een groot aantal organisaties wel toe dwingen. Bestuurders worden aansprakelijk gesteld en er kunnen boetes volgen. Of je nu wel of niet onder die regels valt: organisaties kunnen door cyberaanvallen out-of-business gaan. Dat heeft deze oefening wederom duidelijk gemaakt. We moeten daarom allemaal nú aan de slag om onze cybersecurity op orde te brengen!