SVO oefent cyberdreiging: ‘Voorbereid zijn maakt het verschil’

Dinsdagochtend, 8:30 uur. Het cybercrisisteam van SVO is bijeen omdat op sociale media beelden circuleren van een gehackte beveiligingscamera. Het team probeert te achterhalen wat er aan de hand is. Is ons camerasysteem gehackt? Is de privacy van studenten in het geding? En wat moeten we naar ouders en leerlingen communiceren?

Maar schijn bedriegt: het gaat hier niet om een echte crisis. SVO vakopleider food oefent om te ervaren hoe de organisatie beslissingen neemt wanneer er digitale dreigingen spelen.

Een cyberaanval raakt veel afdelingen

Aan de oefening doen de voorzitter van het college van bestuur, de directeur bedrijfsvoering, een communicatieadviseur, IT- en securityspecialisten, een facilitair coördinator, een onderwijsmanager en een notulist mee. Ook is er een waarnemer die het proces observeert. Een bewuste samenstelling, want cyberincidenten raken veel meer dan alleen IT.

‘Oefenen zorgt voor bewustwording en geeft duidelijkheid over de crisisstructuur’, legt Henry Meutstege uit. Hij heeft als CISO as a Service vanuit het programma Cyberveiligheid de oefening voorbereid. ‘Een cybercrisisoefening leert je samenwerken als team tijdens een echte crisis. Samen krijg je scherp welke systemen echt moeten blijven draaien.’

Een hack… of toch niet?

Het belang van betrokkenheid van meerdere afdelingen wordt snel duidelijk in het vervolg van de oefening. Terwijl IT-specialisten onderzoeken of het camerasysteem is gehackt, komen er vragen van bezorgde ouders binnen en wordt het filmpje steeds vaker gedeeld. Er zijn zelfs geruchten over een uit te zenden vechtpartij tussen leerlingen later op de dag.

De aanwezigen moeten dus meerdere vragen tegelijk beantwoorden: is er sprake van een cyberaanval, lopen studenten gevaar en hoe communiceren we hierover? Bestuurder Roeland Buijsse bewaakt de volgorde. ‘We moeten eerst helder krijgen wat er technisch aan de hand is. Daarna kijken we naar de veiligheidssituatie en vervolgens bepalen we wat we naar buiten communiceren.’

Beslissen onder tijdsdruk

Naarmate de oefening vordert, druppelt er nieuwe informatie binnen. Lokale media melden zich met vragen. Wat is er bijvoorbeeld waar van de geruchten dat scholieren met wapens naar school komen? Het team spreekt af om de politie te informeren en te vragen stand-by te staan.

Ondertussen achterhaalt het team waar de beelden vandaan komen: het gaat niet om een camera van de instelling zelf. Maar om een camera die is geplaatst door een docent die zich zorgen maakte over de veiligheid in een trappenhuis. Een student had hem ontdekt, ingelogd met het standaard wachtwoord en de beelden online gezet.

Daarmee verandert de geoefende cyberdreiging in een combinatie van vraagstukken over veiligheid, privacy en reputatie. Met nieuwe dilemma’s voor het crisisteam. Moeten we de locatie tijdelijk sluiten? Hoe informeren we ouders? Wat vertellen we de media over wat nu bekend is? En: moeten we een melding doen bij de Autoriteit Persoonsgegevens omdat er studenten in beeld waren?

Waarom oefenen zo belangrijk is

Juist deze dynamiek laat zien waarom oefenen belangrijk is. Henry: ‘Ook in een echte crisis komt informatie versnipperd binnen. Een crisisteam moet beslissingen onder tijdsdruk nemen. Als je dit vooraf oefent, krijg je als organisatie inzicht in je eigen processen. Wie neemt het woord? Wie verzamelt feiten? En wie beslist uiteindelijk?’

Tijdens de oefening bij SVO bespreken de deelnemers ook welke systemen of processen echt kritisch zijn. Denk aan het studentinformatiesysteem, de digitale leeromgeving en het aanmeldproces voor nieuwe studenten. ‘Als je dit in kaart hebt, kun je bij uitval van een systeem gerichter handelen’, zegt waarnemer en cybersecurity-specialist Max Passet van het programma Cyberveiligheid.

Een belangrijke les van de ochtend: cyberveiligheid vraagt om verschillende perspectieven aan tafel. De rol van bestuurders is daarbij cruciaal. Zij moeten uiteindelijk afwegingen maken die verder gaan dan techniek: wat betekent een incident voor studenten, medewerkers en de reputatie van de organisatie? ‘Je hebt in zo’n situatie niet overal grip op’, reflecteert Roeland tijdens de nabespreking. ‘Je kunt alleen proberen vooruit te kijken en samen de best mogelijke keuzes te maken.’

Regelmatig samen oefenen loont

De oefening bij SVO is een zogenoemde tabletop-cybercrisisoefening NOZON. Samen met de grote sectoroefening OZON zorgt deze ervoor dat instellingen blijven oefenen met cybercrisismanagement. Tijdens zo’n oefening komt een crisisteam bijeen rond een fictief scenario. Het gaat daarbij niet alleen om techniek. Minstens zo belangrijk zijn vragen als: wie neemt besluiten, hoe communiceer je intern en extern en hoe houd je overzicht als de druk oploopt?

Voor SVO was het bewust niet de eerste keer dat ze een cybercrisis oefenden. Door regelmatig te oefenen groeit de routine, weet men. Roeland: ‘Je leert elkaars rol kennen en ontdekt waar processen nog scherper kunnen.’ De casus voelde volgens deelnemers realistisch. ‘Het werd even echt spannend toen het gerucht over wapens binnenkwam’, blikt onderwijsmanager Maartje Lanen terug. ‘Dan merk je hoe belangrijk het is om rustig te blijven en eerst te checken wat er echt aan de hand is.’

Misschien nog belangrijker: het gesprek over cybercrises komt op gang. Want of het nu gaat om een hack, een datalek of – zoals in deze oefening – een onverwachte combinatie van digitale en fysieke onrust: voorbereid zijn maakt het verschil. Roeland: ‘Een cybercrisis kan iedere onderwijsinstelling overkomen. Door te oefenen, zorg je dat je als organisatie weet wat je te doen staat als het er echt toe doet.’

Meer informatie

Neem contact op met team programma Cyberveiligheid als je wilt weten hoe jouw instelling een cybercrisis kan oefenen.