Recordaantal deelnemers bij SURF-cybercrisisoefening, ook uit de zorg

De gesimuleerde crisis is dit jaar tweeledig. Allereerst is er een dreiging vanuit een hackersgroep, die gefrustreerd is dat veel organisaties hun meldingen over kwetsbaarheden niet oppakken. De criminelen hebben daarom besloten om op 23 maart de hele dag door nieuwe kwetsbaarheden te publiceren op hun website. Iedere 20 minuten wordt er een nieuwe exploit geplaatst, al dan niet met Proof of Concept-code, die instellingen mogelijk raakt.

Maar dat blijkt niet het enige probleem. Op diverse plekken verschijnen vanaf ongeveer 10:00 ’s ochtends vreemde meldingen van bijvoorbeeld inschrijf- en loginplatforms en vertoont de verbinding met het internet kuren. Tot overmaat van ramp worden ook nog wachtwoorden die toegang geven tot beveiligde cloudomgevingen online gepubliceerd op de website van een groepering die zichzelf ‘Operatie Schoonschip’ noemt.

Dit blijkt het werk te zijn van werknemers van de instellingen zelf, die aangestuurd worden door de ontevreden cryptomiljonair Elaine Geurtjes. Geurtjes vindt namelijk dat het onderwijs gefaald heeft in het bieden van onderwijs voor iedereen. En daar zouden de instellingen voor moeten boeten.

Drie doelen

Met de simulatie kunnen de instellingen verschillende zaken oefenen, vertelt projectleider Charlie van Genuchten van SURF op de eerste oefendag aan AG Connect. “Die zijn heel verschillend. Allereerst worden de procedures van de instellingen getest. Weet bijvoorbeeld iedereen wat zijn rol is? En we proberen hiermee ook de bewustwording te vergroten, want dit raakt ook afdelingen buiten IT om.”

Daarnaast kwam er na eerdere oefeningen van SURF de wens naar voren om beter te oefenen op de landelijke samenwerking. Juist tijdens een cybercrisis kan het namelijk heel waardevol zijn om onderling informatie uit te wisselen. “We willen dus zien of de security-afdelingen van meerdere instellingen met elkaar gaan praten, en of er ook met koepelpartijen gesproken wordt.”

Ook merkten meerdere instellingen na voorgaande oefeningen dat het lastig kan zijn om een goed beeld te krijgen van wat er nu daadwerkelijk gaande is tijdens een incident. Dus ook daar ligt deze keer meer nadruk op. “Eerder lieten we de deelnemers een beetje spartelen, want we wilden dat ze het allemaal echt zelf gingen oefenen”, verklaart Van Genuchten. “Maar in de echte wereld krijgen instellingen natuurlijk hulp van bijvoorbeeld het NCSC of SURFcert. Dus dat doen we nu ook meer.”

Grootste oefening ooit

SURF organiseert de tweejaarlijkse OZON al sinds 2016, maar dit jaar is de grootste ooit met een recordaantal deelnemers. Onder de 72 organisaties zitten onderwijsinstellingen als universiteiten en hogescholen, maar ook onderzoeksinstellingen en zelfs een aantal ziekenhuizen. Die ziekenhuizen doen namelijk ook onderzoek en vallen daarmee onder twee CERTS: Z-CERT én SURFcert. Beide CERT’s doen ook mee aan de crisisoefening, net als het NCSC en SURFsoc.

Of de oefening inderdaad geslaagd is en of alle beoogde doelen getest konden worden, wordt pas later duidelijk. In de weken na de oefening evalueert SURF namelijk met de deelnemers de oefening. Van de opgedane ervaringen, leerpunten en feedback wordt vervolgens een rapport gemaakt.