Zo zet je een goede security-oefening op

Om te bepalen wat voor soort oefening je het beste kunt doen, is het belangrijk om van tevoren vast te stellen wat de oefendoelen zijn, meent projectleider Charlie van Genuchten van SURF. SURF organiseert eens in de twee jaar een grootschalige cyberoefening voor de onderwijssector en organiseert daarnaast zogeheten tabletop-oefeningen. “Natuurlijk kun je echt op ransomware willen oefenen en een grote simulatie opzetten. Maar als je alleen je centraal managementteam kennis wil laten maken met elkaar, dan kun je gewoon een tabletop oefening doen en hoef je niet twee dagen in simulatie te zitten. Of als je wil checken of iemand bij een crisis binnen een kwartier terugbelt, kun je gewoon iedereen af gaan bellen en zien hoe snel ze reageren. Er zijn veel verschillende smaken. ”

Daarnaast is volgens Maasland belangrijk dat er van tevoren al iemand verantwoordelijk is gemaakt. Wie dat is, maakt weinig uit. “Diegene komt vaak vanuit de security-afdeling, maar kan ook vanuit bijvoorbeeld finance komen.”

Realistisch scenario

Volgens Maasland is dan ook vooral van belang dat het scenario realistisch is. Wat als de meest vitale onderdelen van je bedrijf bijvoorbeeld getroffen zijn? “Omdat het dan om het daadwerkelijke bedrijfsproces gaat, kan men vanuit daar gaan werken”, legt hij uit. De voorbereiding hoeft dan niet eens heel uitgebreid te zijn: een kort scenario met minimale informatie – bijvoorbeeld: “de webshop ligt plat, als gevolg van ransomware, wat nu?” – kan al voldoende zijn. Wie inspiratie zoekt, kan vaak gewoon bij de eigen IT- of securitymensen beginnen. “Vraag aan je eigen IT-werknemers hoe zij het bedrijf zouden aanvallen of kapotmaken. Daar komen vaak de interessante zaken uit.”

Maar natuurlijk kan een volledige simulatie ook, zoals SURF dat doet. En ook bij zo’n grote simulatie kunnen allerlei scenario’s ingezet worden. Zo werd er een oefening rondom ethisch hacken en het aanpassen van gegevens gedaan, maar is er ook al eens geoefend met een ransomware-aanval. Van Genuchten: “We proberen ook oefeningen te doen waarbij niet direct duidelijk is wat er gaande is. Bijvoorbeeld datadiefstal of iets waarbij je per ongeluk buiten je systeem wordt gesloten omdat iemand je wachtwoord heeft aangepast. Hoe kom je daar achter en hoe manage je dat?”

Scenario’s kunnen bovendien ook gaan over situaties buiten je eigen organisatie. Holterman: “Veel mkb-ondernemers zijn afhankelijk van hun IT-leverancier. Dus als er wat gebeurt, is het nuttig om te weten of de IT-leverancier in staat is om je op dat moment te helpen of dat je specifieke incident response-capaciteit nodig hebt.”

Wie moet erbij zijn?

De volgende vraag is wie er dan precies bij moet zijn. En dat hoeft lang niet iedereen te zijn, benadrukt Earth Grob, security expert bij beveiligingsbedrijf Fox-IT. “Uiteindelijk heeft maar een select aantal mensen echt met zo’n oefening te maken. Er is niets irritanter dan te horen: ‘Dit is niet mijn verantwoordelijkheid.’ Dus stel eerst op wie er verantwoordelijk is en wie er echt bij aanwezig moet zijn. Dat definieert ook de rest van de oefening. Heeft bijvoorbeeld vooral het technische team oefeningen nodig? Dan moet er gesimuleerd worden hoe een crisis zich technisch afspeelt. Maar doe je het op bestuursniveau, dan heb je iets minder technisch nodig en draait het meer om hoe je door de bomen het bos ziet.”

Natuurlijk is er ook een optie om beide teams te betrekken, wat Grob zelf het leukste vindt. “Dus dan heb je in één kamer het technische team en in de andere kamer het centrale managementteam. Het technische teams krijgt input en moet doorspelen naar het managementteam wat er gebeurt. Er moeten adviezen voor elkaar worden opgesteld en stappen worden gezet. Je kunt zo dus veel meer inzoomen op hoe het echt gaat en afstemmen hoe je met elkaar omgaat tijdens zo’n incident.”

Maar volgens Holterman van Cyberveilig Nederland zijn er ook snel communicatie- en juridische mensen nodig. “Hoe open kun je zijn als je organisatie plat ligt? Wat is er juridisch nodig? Een cyberoefening wordt vaak heel IT-gericht ingestoken, maar dan mis je de boot. Het is namelijk een organisatorisch probleem, waar ook het management over na moet denken. Wat zijn de consequenties als we stil komen te liggen?”

Loggers en planners

Wat echter nooit mag ontbreken, is iemand die alleen maar observeert, stelt SURF-projectleider Van Genuchten. “Oefeningen werken het beste als mensen observeren en teruggeven wat ze gezien hebben. Het beste is als dat dan niet diegene is die ook het scenario heeft geschreven. Het is fijn als het een neutrale partij is.”

Fox-IT kiest hier volgens Grob graag de CISO voor. “Die zeggen namelijk vaak dat als zij erbij gaan zitten, de rest van het team alles aan de CISO gaat vragen. Natuurlijk is dat realistisch, maar je schuift daarmee het probleem ook wel af op een ander.” En juist dat kan gevaarlijk zijn: een CISO kan om tal van redenen niet beschikbaar zijn tijdens een crisis. Wat doe je in zo’n geval? “Dus geven we de CISO vaak een passieve rol.”

En ook het communicatie-aspect binnen een crisis mag niet ontbreken in een oefening, vinden zowel Holterman als Grob. “Communicatie vind ik echt een ondergewaardeerd onderdeel van de oefeningen. Dit moet echt simpel worden. Je wil niet dat iemand binnen komt lopen met een boek van een duim dik en daar eerst doorheen moet bladeren. Wij [Fox-IT, red.] adviseren om een beknoptere variant uitgeprint te hebben liggen en dat men weet waar die te vinden is. En dat daarmee de communicatie – niet alleen tussen teams, maar ook naar je werknemers toe – goed loopt. Want er is ook een grote groep mensen die gewoon door wil met zijn werk, die vragen heeft en zorgen heeft.”

Maandelijks of jaarlijks?

Een brandoefening wordt bij voorkeur eens per jaar gehouden. En ook daarin is een cyberoefening vergelijkbaar: alle vier de experts adviseren om in ieder geval eens per jaar aandacht te besteden aan cyberoefeningen. “En dat kun je echt al in heel kleine zin doen: ga eens met elkaar om de tafel zitten en bespreek wat het ergste is dat je kan overkomen. Dat heeft al waarde, zelfs als je geen hele oefening kunt opzetten”, aldus Van Genuchten.

Maar uiteindelijk verschilt het per organisatie hoe vaak een cyberoefening eigenlijk gehouden moet worden. “Als de verstoring van de bedrijfscontinuïteit bovenaan je prioriteitenlijstje staat, wil je dit twee keer per jaar doen. Gewoon ter verfrissing”, aldus ESET Nederland-directeur Maasland.

Een technisch team kan een kleinschaligere oefening desnoods nog vaker doen, zegt Grob. “Idealiter laat je je technische team iedere maand een ‘brandoefening’ doen. Dat kan bijvoorbeeld het isoleren van een systeem en het afhandelen van papierwerk zijn, zodat de verantwoordelijke puur op gevoel en ervaring zo’n incident kan afhandelen. Voor het centrale managementteam en hogerop kijk ik toch naar twee of drie keer per jaar. Practice does not make perfect, maar het zorgt wel voor verbetering.”