Cyber Drill 2.0 van de Cybersecurity Alliantie

'We hebben een dik probleem!'

Vier pratende mensen aan een tafel. Een vijfde op een beeldscherm. En een zesde die af en toe aanschuift met een nieuw feitje of een lastige vraag. Wat kan daar nou spannend aan zijn? Toch zit je twee uur lang onafgebroken op het puntje van je stoel bij de online 'cyberdrill' die zich hier afspeelt. We kijken naar een oefening van een crisisteam van de – fictieve – MBO-school 'Straight Forward'.

Die school heeft een 'dik probleem', schetst de spelleider van deze oefening. Dat is Chris van 't Hof van Tek Tok en auteur van het boek 'Helpende Hackers'. In het introductiefilmpje dat hij laat zien, stelt hij zich voor als 'Ik ben Chris, en cyber-ellende is mijn ding!'.

Cyber-ellende is mijn ding!

Kwetsbaarheid
Die ellende begint allemaal met een leerling Noëlle met een laptop vol stickers. Noëlle: 'Ja, ik heb een kwetsbaarheid gevonden in het cijfersysteem van school. Dat heb ik netjes gemeld, maar nou ben ik van school getrapt. Ik kon een SQL-injection doen. Ik kon in de database. En ik heb wachtwoorden gevonden. Die waren beveiligd met MD5. Sja.'

Ik heb het netjes gemeld, maar nou ben ik van school getrapt

Onverklaarbare dingen
Dit geval veroorzaakt grote consternatie in de bestuurskamer. En er blijkt meer aan de hand, meldt het hoofd IT van de school: 'We zijn bezig met een migratie naar de cloud. Maar er gaat van alles mis... ik zie allemaal onverklaarbare dingen in het netwerk gebeuren...'

Crisismanagementteam
En nu moet het crisismanagementteam aan de slag. Chris stelt ze aan de kijkers voor. Op het scherm staat de wiskundeleraar van de school. Kelvin Rorive, tevens hoofd IT. Hij zit in quarantaine, vandaar dat scherm. Verder aan tafel: Mattijs Dijkstra, woordvoerder en plotter; Liesbeth Holterman, Functionaris Gegevensbescherming; Jelle Niemantsverdriet, vader van leerlingen op de school als vrijwilliger adviseur ICT. En de voorzitter van het team, adjunct-directeur van de school, Esther Mieremet.

BOB-model
'Wie heeft het gedaan?' vraagt Chris. En belangrijker: 'Wat gaan jullie doen? Wat wordt jullie eerste actie?'. 'Nou ja...' zegt iemand, 'we weten wie het heeft gedaan. Die Noëlle.' Esther grijpt in: 'Nou nee, wacht even. Laten we eerst maar eens de feiten boven tafel krijgen.' Chris vult aan: 'Prima. Hanteer het BOB-model. Beeldvorming, Oordeelsvorming, Besluitvorming. In die volgorde. Ik laat jullie nu alleen en ik hoor wel wat er uit deze eerste BOB-ronde komt!'
 
AP en AVG
'We hebben geen idee. Er was een storing. Een leerling heeft iets gevonden. We hebben meer informatie nodig om iets te kunnen doen' zegt Jelle. Het team staat voor de keuze, zegt Esther: 'Het hoofd IT bevragen, of Noëlle.' Ze besluiten tot het eerste. Want hij is toch voorhanden, het hoofd IT. Hij schudt zijn hoofd op het scherm. 'Ik weet het niet, er gaat van alles mis. Een deel van de cijfers zit al in de cloud. Ik weet niet wat dat meisje heeft gezien en wat ze kon veranderen. Ik maak me serieus zorgen.' Mattijs voert de druk op: 'Als we niets doen, zal Noëlle misschien zelf iets op de socials zetten. Dat moeten we voor zijn.' Liesbeth: 'Is er sprake van een echt datalek? Want dan moeten we ook een melding doen aan de Autoriteit Persoonsgegevens, vanwege de AVG...' Het team meldt aan Chris dat ze Noëlle willen spreken.
 
Pink Floyd
Prima, zegt Chris. Maar hij heeft ook een nieuw feitje. 'Er is een mailtje binnengekomen, van een zekere Pink Floyd. Die zegt dat hij het HR-systeem van de school heeft gedownload. Met de salarissen en de foto's en andere persoonlijke gegevens van de leraren. En hij heeft die database versleuteld. Dat was best veel werk, en hij wil één bitcoin vergoeding.'
 
Communiceren
De stemming aan tafel wordt al iets meer gespannen. Er komen opties langs. Aangifte doen bij de politie. Of zelf in het HR-systeem gaan bekijken wat er aan de hand is, al is dat forensisch onhandig. En er moet worden uitgezocht of er een relatie is tussen Noëlle en deze 'Pink Floyd'. En dan moet er ook iets gecommuniceerd worden met de buitenwacht, de ouders, de leerkrachten. Wellicht moet er een ICT-onderzoeksbureau worden ingeschakeld.
 
Drill-drama
Zo ontvouwt zich langzaam, maar eigenlijk razendsnel, het drama van deze 'drill', deze oefening in een digitale crisis. Het team doet het goed, ook als er telkens meer feiten over ze worden uitgestort. Want het wordt natuurlijk erger en erger. Leerlingen posten berichtjes op Snapchat. De IT-helpdesk van de school wordt platgebeld. Er verschijnt een journalist met lastige vragen. Pink Floyd gooit de gegevens op straat. De arme Noëlle wordt in het midden van de nacht van bed gelicht en onvriendelijk ondervraagd. Het hoofd van de IT, Kelvin, wordt steeds vager en vager in zijn antwoorden. Het crisisteam begint meer en meer door elkaar heen te praten.
 
Tunnelvisie
Het team opereerde goed, zegt Chris achteraf, terwijl de deelnemers het zweet van de voorhoofden wissen en de zogenaamd in quarantaine zittende Kelvin doodleuk de kamer binnenstapt. Toch heeft Chris een – algemeen – puntje van kritiek. 'Jullie zijn één ding vergeten, de interne communicatie. De zieke directrice van de school, de helpdesk, de leraren en de leerlingen die door de gangen lopen en niks te horen krijgen... Daar had je iets mee moeten doen. Je krijgt last van tunnelvisie als de stress oploopt. Dan vergeet je dat.'

Probeer maar eens de back-up van je kroonjuwelen écht terug te zetten.

Oefenen oefenen oefenen
De sessie zit erop. Chris van 't Hof complimenteert het team en brengt ons in herinnering: 'Dit is leerzaam voor als het een keer écht gebeurt.' Hij benadrukt het belang van oefenen. 'Op voorhand nadenken over een crisis als dit is nuttig. Dat is de "koude" fase. Draaiboeken maken, rollen afspreken, wie doet wat. Maar je moet dit echt ook oefenen. Oefenen is de "warme" fase. Ik noem maar wat, probeer maar eens je back-up van je digitale kroonjuwelen écht terug te zetten.' Hij sluit af: 'We zien u graag terug bij de volgende crisis!'
 
De rollen
De rollen van het crisismanagementteam werden voorbeeldig vervuld door Kelvin Rorive, Global Head Red Teaming Rabobank; Mattijs Dijkstra, Incident Handler bij Fox-IT ; Liesbeth Holterman, Beleidsadviseur Cyberveilig Nederland; Jelle Niemantsverdriet, National Security Officer Microsoft Nederland; Esther Mieremet, projectadviseur ECP.
 
Meer weten over drills als dit? Kijk op CybersecurityAlliantie.nl

Luister ook naar de podcast van de Cyber Security Alliantie: Maak je weerbaar, bereid je voor en oefen op een cyberaanval.
Via Soundcloud
Via Spotify
Via Apple Podcasts

Voeg toe aan selectie