Peter Zinn (moderator), Wouter Slob (Waterschap Zuiderzeeland), Steven van de Looij (Veiligheidsregio Noord-Holland), Frans Backhuijs (burgemeester Nieuwegein), Nausikaa Estratiades (Informatiebeveiligingsdienst VNG), Henk Heijnemans (Provincie Utrecht) en Jeroen Schippers (Den Haag)
Het is inmiddels op het journaal. Wegen, tunnels, landbouwgronden en woonwijken staan onder water. Het verkeer in de regio is een chaos. Boeren staan met hun tractor vast in de modder, burgers krijgen natte voeten. De oorzaak? De gemalen van een aantal waterschappen werken niet meer. Een storing in de systemen, een hack of erger…? Met dit scenario werden bestuurders op maandag 28 oktober geconfronteerd tijdens de overheidsbrede cyberoefening. Wat zou jij doen?
Onszelf wapenen
“Ervaren wat er gebeurt als de cybershit de fan raakt”, zo beschrijft dagvoorzitter Chris van ’t Hof het doel van de dag. Staatssecretaris Raymond Knops (ministerie van BZK) trapte officieel af. Cyberdreiging is een belangrijk onderwerp, maar het is doorgaans niet zo zichtbaar, zegt hij. “Meestal maken we ons er in de politiek dan niet zo druk om”, schertst hij. Over dit onderwerp doet de politiek dat wel, want criminelen en vijandige staten proberen onze systemen binnen te dringen. “We moeten ons wapenen tegen digitale ontwrichting. Want de vraag is niet óf maar wannéér er een grote cybercrisis plaatsvindt.” Voorbereiden daarop doen we door samen te oefenen met een situatie zoals een cyberontwrichting kán zijn. Zodat we ervan kunnen leren. “Dat vraagt van mensen dat zich kwetsbaar opstellen, zoals ze dat vandaag ook doen.”
Ransomware
Dat het scenario van de oefening realistisch is, ondervond burgemeester Sebastiaan van ’t Erve, van de gemeente Lochem. In een rondetafelgesprek vertelt hij over hoe zijn gemeente ten prooi is gevallen aan ransomware (gijzelsoftware). Iemand in de gemeente had op een verkeerd linkje in een e-mail geklikt en alle informatie van de gemeente was gegijzeld. Handelen vanuit de gedachte ‘het zal mij niet overkomen’ is voor bestuurders geen optie meer. De oproep van Van ’t Erve luidt dan ook: “Wat als het je wél overkomt. Denk daarover na en bereid je voor.”
‘Detect, respond, recover’
Bestuurders van gemeente, waterschappen, provincies en de Veiligheidsregio namen plaats aan de tafel. Later schoven de Informatie Beveiligingsdienst van VNG-Realisatie, de CISO van de gemeente Den Haag en de CERT waterschappen (Computer Emergency Response Unit) aan. De crisis die zowel in de fysieke als de cyberwereld plaatsvond werd in drie fases – detect, respond en recover – met enige moeite bezworen. De ruim 600 aanwezige deelnemers gaven op gezette tijden hun input via de interactieve schermen. Duidelijk werd in ieder geval hoe belangrijk het is om samen te oefenen. Zodat je goed op elkaar ingespeeld raakt. En te ervaren hoe chaotisch een crisis verloopt. Daarin is het lastig te prioriteren: wat laat je eerst onderzoeken, wie betrek je er allemaal bij, wie is waarover de baas en neemt de besluiten? Wanneer communiceer je naar de buitenwereld, en hoe open ben je dan?
Vervolg
Deze eerste overheidsbrede cyberoefening smaakt naar meer. Bas den Hollander (directeur Digitale Overheid i.o. bij het ministerie van BZK) refereert daaraan in zijn afsluiting: “Ik kom graag hier volgend jaar terug.”
Deelnemers konden verschillende breakout-sessies bijwonen. De lessen uit de oefening en de praktische tips uit de sessies worden gebundeld in een magazine. Daarnaast ontwikkelt het ministerie van BZK samen met ICTU een toolbox met praktische hulpmiddelen voor de verschillende stappen van een cybercrisis.