VAN IT TOT RVB

Crisisoefening OZON 2016

Remon Klein Tank, Maarten Brouwer, Mladen Acinger, Rogier Ragetlie en

Alf Moens

Overzicht presentatie

•Aanpak oefening, Remon Klein Tank

•Ervaringen Wageningen Universiteit, Maarten Brouwer

•Ervaringen Erasmus Universiteit, Mladen Acinger en Rogier

Ragetlie

•Uitkomsten oefening en toekomstmuziek, Alf Moens

•Vragen

Aanleiding

•Initiatief van SURFcert

•Crisisoefening vaak fysiek georiënteerd

•Cybercrisis > IT security

•Doelen

-Weerbaarheid vergroten

-Interne keten testen

-Samenwerking tussen instellingen testen

Het scenario

• Dilemma’s creëren die niet door

strategisch niveau van tafel kunnen

worden geveegd

• Zowel een ethische als

criminele component

• Eerste verhaallijn:

hackerscollectief Robbing Good

• Tweede verhaallijn:

Ozon Onion

• Overzicht met injects per

kwartier/half uur gemaakt

• Daarna: uitgewerkt per organisatie

De oefening

• 4 oktober 8.15 van start

• Met 21 man in het zenuwcentrum

• Eerst Robbing Good, toen Onion (13.00)

• Journalisten gesimuleerd

• Mediasimulator: 530 twitterberichten

• voorbereid, krantenberichten van

NRC, Trouw,Telegraaf, AD en NU.nl

• Iedereen gelijk heel hard aan

de slag: in totaal 1600 mails gecc’d

Stuurgroep OZON & Ervaring Wageningen

Ervaringen Erasmus Universiteit

Oefendoel

•Paraatheid testen op strategisch en tactisch niveau

•Spelers: college van bestuur, crisisorganisatie,

persvoorlichting, juridische zaken, CIO/CISO,

onderwijsondersteuning…

•ICT specialisten oefenen niet mee.

Ervaringen Erasmus Universiteit

Leerpunten en aanbevelingen

• “Zeer leerzaam!” “Te realistisch!”

• Waarnemers op de werkvloer met concrete leerdoelen voor ogen.

• Uitgebreid evalueren. Hot wash debrief. Centrale evaluaties bij SURF. Evaluaties in de teams. Evaluatie met bestuur.

• Vervolgacties belegd hoog in de organisatie.

• Oefenen baart kunst… herhalen!

Feiten en cijfers

• Enkele plaatjes uit de infographics

Uitkomsten

•Succesvolle eerste oefening

•Zeer leerzaam: iedereen ging naar huis met leerpunten

•Werd ervaren als realistisch

•Voorbereiding heeft heel veeltijd gekost

•Strategisch gedeelte was het moeilijkst om op het spoor te zetten: koppeling tussen strategisch en technisch bij voorbereiding nodig

•Het is een gap bridging exercise geweest: zowel intern als tussen instellingen

Uitkomsten (2)

Aanbevelingen

• Maak cybersecurity een integraal onderdeel van het crisismanagement

• Deel meer informatie tussen instellingen, en doe dat al eerder in het crisisproces.

• Onderzoek naar welke vorm van landelijke coördinatie bij een

sectoroverstijgende cyberdreiging het meest geschikt is. Daarbij moet de

autonomie van de instellingen en het mandaat om dergelijke acties uit te voeren,

goed afgebakend zijn.

• Houd vaker groot- en kleinschalige oefeningen gericht op de sector of op een

bepaald onderwerp om bewustzijn, draagvlak en weerbaarheid te vergroten. Pak

de voorbereiding en uitvoering van oefeningen gezamenlijk op omdat het veel tijd

en inspanning kost.

• Draag de uitkomsten, conclusies en aanbevelingen van oefeningen uit om

bewustzijn en draagvlak voor cyberdreigingen (en oefeningen) te krijgen.

Nog een keer?

Vormen van oefeningen

“Discussie” oefening / Dilemma

exercisesPraktijkoefening

Desk Check Comms check (oproep oefening)

Walkthrough Distributed tabletop

Workshop Command post Exercise

Tabletop Simulatie oefening

Capture-the-flag

Red team/Blue team

Zie ook ISO 22398:2013 Social Security - Guidelines for exercises

•White paper en draaiboek van

OZON

•Onderzoek naar geschikte

vormen, verschillende kleinere

vormen uitwerken

•Oefenen op specifieke rollen

• “Off the shelf” oefeningen:

-Capture the flag

-Red team / blue team

-…

•OZON 2018?

Nog een keer!

Vragen?