Op 4 en 5 oktober 2018 heeft SURF voor de tweede maal een landelijke cybercrisisoefening georganiseerd binnen het Nederlandse onderwijs en onderzoek. Tijdens de landelijke oefening waar ook de EUR aan deelnaam, is een hack met gijzelingssoftware gesimuleerd, waar alle deelnemende organisaties door werden geraakt. In totaal hebben vijftig instellingen meegedaan met de oefening, ruim een verdubbeling ten opzichte van twee jaar geleden. Meer dan twaalfhonderd mensen zijn betrokken geweest bij de tweejaarlijkse crisisoefening, die het doel heeft de weerbaarheid van instellingen en de sector als geheel te vergroten bij een cybercrisissituatie.
“In het licht van de berichtgeving van de MIVD op dezelfde dag als wij onze oefening startten, zijn wij nog eens extra gesterkt in onze overtuiging dat dit type oefeningen van groot belang is”, aldus Erwin Bleumink, bestuurder van SURF.
Oefenen blijkt zinvol
De afgelopen jaren zijn de cyberdreigingen toegenome. Om deze reden hebben instellingen in de Nederlandse onderzoek, onderwijs en zorgsector crisismanagementplannen gemaakt, om in geval van een incident hier het hoofd aan te kunnen bieden. Grote, sectorbrede crises hebben zich echter nog niet voorgedaan. Door de oefening hebben de instellingen ervaren of hun plannen bij de realiteit aansluiten.
“Het samen doorleven van een oefencrisis helpt de instellingen om te onderzoeken of zij klaar zijn voor een échte crisis”, zegt Marjolein Jansen, bestuurslid bij de VU en ambassadeur binnen de sector voor cybersecurity. “Het samen oefenen helpt de sector ook om plannen aan te scherpen waar dat nodig is. Tevens komt het thema cybersecurity hierdoor weer extra onder de aandacht, iets dat enorm van belang is.”
Meer dan 1200 deelnemers bij 50 instellingen
Bij de ruim vijftig instellingen hebben meer dan twaalfhonderd mensen meegedaan, op zowel operationeel, tactisch als strategisch niveau. De deelnemers werden op hun eigen werkplek geconfronteerd met een opbouwende crisissituatie, toegespitst op hun instelling. Samenwerken met verschillende lagen binnen en buiten de organisatie was essentieel om de crisis in goede banen te leiden. De deelnemers, waaronder universiteiten, hogescholen, mbo’s, academische ziekenhuizen en onderzoeksinstellingen hebben kunnen onderzoeken hoe hun organisatie reageert op een digitale dreiging. Hierdoor hebben zij kunnen testen of hun crisismanagement plannen in de praktijk werken. Bij de oefening is de mogelijkheid geboden te onderzoeken hoe om te gaan met alle betrokken partijen, zoals studenten, leveranciers, de politie, de Autoriteit Persoonsgegevens, en koepelorganisaties. Die partijen hebben waar mogelijk ook meegespeeld.