‘Mogelijke maatschappelijke impact meteen meenemen in informatiedeling’

​Digitale dreigingen nemen toe, daarom is het goed om cyberscenario’s te oefenen en daar lessen uit te trekken. Meer dan 3.000 personen van zo’n 120 organisaties uit de publieke en private sector namen afgelopen december deel aan de cyberoefening ISIDOOR 2023. De deelnemers kwamen uit 12 verschillende sectoren, zoals telecom, energie, financiën, transport en natuurlijk drinkwater. Ook ministeries, veiligheidsregio’s en politie deden mee aan de oefening.

Het doel van een oefening zoals ISIDOOR 2023 is om de informatie-uitwisseling, samenwerking en nationale opschaling bij een cybercrisis te beoefenen en bij te dragen aan brede bewustwording bij de diverse stakeholders. Alle drinkwaterbedrijven namen deel aan de oefening. ISIDOOR 2023 maakte (weer) duidelijk dat een cybercrisis in een zeer korte tijd ernstige fysieke effecten kan hebben op verschillende plekken in de maatschappij. De oefening werd georganiseerd door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum (NCSC), ondersteund door het Instituut voor Veiligheids- en Crisismanagement COT en Fox-IT.

‘Naast dat het uniek is om met zo een groot aantal deelnemers uit al die verschillende sectoren een cybercrisis te oefenen, is vooral het oefenen zelf belangrijk’, aldus Hester Somsen, plaatsvervangend NCTV en directeur Cybersecurity, Weerbaarheid Statelijke Dreigingen en Economische Veiligheid bij het ministerie van Justitie en Veiligheid. ‘Cyberaanvallen zijn vrij onzichtbaar, houden zich niet aan grenzen en de effecten verspreiden zich in hoog tempo. Daarom ben ik ook trots dat we met zo’n enorme groep hebben kunnen oefenen. Iedereen is namelijk een potentieel slachtoffer van een cyberaanval. Een cybercrisis 100% voorkomen lukt niet, wel is het mogelijk om de impact te verkleinen. Door je goed voor te bereiden, kunnen we elkaar beter beschermen.’

Vooruitlopend op de evaluatie aan de Tweede Kamer; wat zijn volgens u de belangrijkste lessen uit ISIDOOR 2023?

Somsen: ‘Uiteindelijk is één van de doelen van zo’n oefening om erachter te komen hoe er gereageerd wordt als er een kwetsbaarheid optreedt die zich manifesteert in verschillende systemen. Niet alleen bij organisaties afzonderlijk, maar vooral ook in de hele keten. Het is belangrijk dat er vanuit de sectoren een informatiestroom op gang komt richting het NCSC, zodat daar een breed beeld ontstaat van de technische situatie. Ten opzichte van de vorige ISIDOOR-oefening zien we hier een flinke verbetering: er kwam veel informatie binnen en de NCSC kon dit ook snel verwerken tot een algemeen beeld.’

Aandachtspunt: NIS2

‘We zijn verheugd dat steeds meer partijen deelnemen aan deze oefening, maar er is hier ook een aandachtspunt. Door de komst van de nieuwe NIS2-wetgeving neemt de scope van het NCSC toe, waardoor véél meer bedrijven en organisaties meldingen zullen maken van incidenten. We zullen de komende jaren goed moeten gaan kijken hoe we dat efficiënt en effectief gaan organiseren.’

Impactinformatie sneller meenemen

‘Belangrijke les is dat bedrijven en organisaties moeten blijven investeren in informatiedeling en aansluiting op landelijke informatiestromen. Daarbij gaat het niet alleen om technische informatie, maar juist ook om informatie over de bredere gevolgen en de mogelijke impact van een incident of crisis op de maatschappij. Bij een oefening of tijdens een echte crisis wordt er binnen de ICT-lijn met man en macht gewerkt aan het verhelpen van het probleem en het tegengaan van verdere besmettingen. Door deze focus duurt het soms enige tijd voordat signalen dat er iets ernstigs aan de hand is, de eigen crisisorganisatie of het hogere management bereiken. Terwijl het juist belangrijk is dat dit snel gebeurt, omdat dáár een breder beeld over mogelijke maatschappelijke impact moet worden gevormd en gedeeld met de buitenwereld. In de oefening zagen we dat er discrepantie ontstond tussen het beeld aan de technische kant en in de maatschappij. De IT-professionals hadden een oplossing voorhanden om de zaak onder controle te brengen, terwijl er in het land en in de media juist grote onrust ontstond. Door betere informatiedeling en het tijdig bij elkaar brengen van beide gegevensstromen kunnen we dit nog beter managen.’

Scenario’s uitwerken

‘Een andere les is dat we ook bij een cybercrisis meer met scenario’s moeten gaan werken. Er zijn zeker aan het begin van een crisis veel onzekere variabelen, waardoor niet meteen duidelijk is wat de impact kan zijn. Het Landelijk Crisisplan Digitaal, LCP Digitaal, bevat al bouwblokken waaruit een bepaald scenario kan worden samengesteld. We gaan nu onderzoeken of we een aantal scenario’s tevoren al verder kunnen uitwerken en daarna ook beoefenen.’

Prioritering hulp en bijstand

Somsen kijkt tevreden terug op ISIDOOR 2023: ‘We zien dat de deelnemers snel de nodige technische informatie doorspeelden aan het NCSC; dat betekent dat mensen elkaar weten te vinden, ook buiten de eigen organisatie. Andersom werd er vanuit de deelnemers duidelijk een beroep gedaan op het NCSC om regie te nemen. Een punt van aandacht is nog wel dat er bij krapte in cybersecurity-expertise en ondersteuning een betere afweging kan worden gemaakt in de prioritering. Het LCP Digitaal bevat nu een vrij generiek afwegingskader dat we wat specifieker zullen moeten maken, tot een soort verdringingsreeks. Ik moet daarbij zeggen dat elke crisis in de praktijk anders uitpakt, dus het zal altijd afhangen van de exacte omstandigheden: wie is het meest getroffen, is er cybersecurity-capaciteit bij een organisatie zelf, zijn er mogelijkheden om over te gaan tot handmatige bediening, enzovoort. Hierbij moet je ook rekening houden met cascade-effecten tussen verschillende sectoren en de bredere context. Als de elektriciteitsvoorziening of de telecom uitvallen, hebben we over de hele linie een probleem. Dus moet je ook kijken naar back-up mogelijkheden en noodvoorzieningen. Ik verwacht dat drinkwater vrij hoog op dit lijstje komt, maar uiteindelijk blijft dit een politieke afweging binnen de nationale crisisorganisatie.’

Waar zou wat u betreft in een volgende ISIDOOR-oefening de nadruk op moeten liggen en hoe nu verder?

Somsen: ‘Jaarlijks publiceert de NCTV het Cybersecuritybeeld Nederland; nieuwe inzichten daaruit nemen we mee in de volgende editie van ISIDOOR. We blijven verder nadruk leggen op het samenbrengen van de technische en impactinformatie, dus dat zal zeker terugkomen in ISIDOOR 2025. Wat we sowieso gaan doen, is de bevindingen uit het Evaluatierapport vertalen naar een update van het LCP Digitaal en dit delen met onze stakeholders. Ook gaan we meer aandacht geven aan cross-sectorale samenwerking, bijvoorbeeld bij lokale of regionale oefeningen, op basis van het LCP. Ook in onze departementale Academie voor Crisisbeheersing nemen we de lessons learned uit ISIDOOR 2023 mee in de oefen-elementen. We onderzoeken nog de mogelijkheden om deze informatie te delen met andere stakeholders, via hun ISAC’s, de Information Sharing and Analysis Centers.’

U vertrekt later dit jaar bij de NCTV, dus dit was uw laatste ISIDOOR: heeft u nog een boodschap voor de drinkwatersector?

‘Blijf oefenen en trainen! En onderzoek of je organisatie valt onder de NIS2, want dan gaan er extra voorwaarden gelden, zoals een zorg- en meldplicht. Ook wordt er meer gevraagd op het gebied van risicomanagement en opleidingen. Het wordt dus allemaal een stuk serieuzer. Maar of je nu wel of niet onder die regels valt: organisaties kunnen door cyberaanvallen out of business gaan. Dat heeft deze oefening wederom duidelijk gemaakt. Wacht dus niet tot de volgende oefening om je verder voor te bereiden. We moeten allemaal nú aan de slag om samen onze cybersecurity op orde te brengen!’

Dit interview verscheen eerder in Waterspiegel 1 2024.

Lees het volledige artikel met ook interviews met Paul Bremer, sectormanager Services & ICT van de drinkwaterbedrijven Waterbedrijf Groningen en WMD en Matthijs Zwart, CIO/CISO bij Vitens.