parallelsessie crisismanagement - cyber security congres
TRANSCRIPT
VAN IT TOT RVB
Crisisoefening OZON 2016
Remon Klein Tank, Maarten Brouwer, Mladen Acinger, Rogier Ragetlie en
Alf Moens
Overzicht presentatie
•Aanpak oefening, Remon Klein Tank
•Ervaringen Wageningen Universiteit, Maarten Brouwer
•Ervaringen Erasmus Universiteit, Mladen Acinger en Rogier
Ragetlie
•Uitkomsten oefening en toekomstmuziek, Alf Moens
•Vragen
Aanleiding
•Initiatief van SURFcert
•Crisisoefening vaak fysiek georiënteerd
•Cybercrisis > IT security
•Doelen
-Weerbaarheid vergroten
-Interne keten testen
-Samenwerking tussen instellingen testen
Het scenario
• Dilemma’s creëren die niet door
strategisch niveau van tafel kunnen
worden geveegd
• Zowel een ethische als
criminele component
• Eerste verhaallijn:
hackerscollectief Robbing Good
• Tweede verhaallijn:
Ozon Onion
• Overzicht met injects per
kwartier/half uur gemaakt
• Daarna: uitgewerkt per organisatie
De oefening
• 4 oktober 8.15 van start
• Met 21 man in het zenuwcentrum
• Eerst Robbing Good, toen Onion (13.00)
• Journalisten gesimuleerd
• Mediasimulator: 530 twitterberichten
• voorbereid, krantenberichten van
NRC, Trouw,Telegraaf, AD en NU.nl
• Iedereen gelijk heel hard aan
de slag: in totaal 1600 mails gecc’d
Stuurgroep OZON & Ervaring Wageningen
Ervaringen Erasmus Universiteit
Oefendoel
•Paraatheid testen op strategisch en tactisch niveau
•Spelers: college van bestuur, crisisorganisatie,
persvoorlichting, juridische zaken, CIO/CISO,
onderwijsondersteuning…
•ICT specialisten oefenen niet mee.
Ervaringen Erasmus Universiteit
Leerpunten en aanbevelingen
• “Zeer leerzaam!” “Te realistisch!”
• Waarnemers op de werkvloer met concrete leerdoelen voor ogen.
• Uitgebreid evalueren. Hot wash debrief. Centrale evaluaties bij SURF. Evaluaties in de teams. Evaluatie met bestuur.
• Vervolgacties belegd hoog in de organisatie.
• Oefenen baart kunst… herhalen!
Feiten en cijfers
• Enkele plaatjes uit de infographics
Uitkomsten
•Succesvolle eerste oefening
•Zeer leerzaam: iedereen ging naar huis met leerpunten
•Werd ervaren als realistisch
•Voorbereiding heeft heel veeltijd gekost
•Strategisch gedeelte was het moeilijkst om op het spoor te zetten: koppeling tussen strategisch en technisch bij voorbereiding nodig
•Het is een gap bridging exercise geweest: zowel intern als tussen instellingen
Uitkomsten (2)
Aanbevelingen
• Maak cybersecurity een integraal onderdeel van het crisismanagement
• Deel meer informatie tussen instellingen, en doe dat al eerder in het crisisproces.
• Onderzoek naar welke vorm van landelijke coördinatie bij een
sectoroverstijgende cyberdreiging het meest geschikt is. Daarbij moet de
autonomie van de instellingen en het mandaat om dergelijke acties uit te voeren,
goed afgebakend zijn.
• Houd vaker groot- en kleinschalige oefeningen gericht op de sector of op een
bepaald onderwerp om bewustzijn, draagvlak en weerbaarheid te vergroten. Pak
de voorbereiding en uitvoering van oefeningen gezamenlijk op omdat het veel tijd
en inspanning kost.
• Draag de uitkomsten, conclusies en aanbevelingen van oefeningen uit om
bewustzijn en draagvlak voor cyberdreigingen (en oefeningen) te krijgen.
Nog een keer?
Vormen van oefeningen
“Discussie” oefening / Dilemma
exercisesPraktijkoefening
Desk Check Comms check (oproep oefening)
Walkthrough Distributed tabletop
Workshop Command post Exercise
Tabletop Simulatie oefening
Capture-the-flag
Red team/Blue team
Zie ook ISO 22398:2013 Social Security - Guidelines for exercises
•White paper en draaiboek van
OZON
•Onderzoek naar geschikte
vormen, verschillende kleinere
vormen uitwerken
•Oefenen op specifieke rollen
• “Off the shelf” oefeningen:
-Capture the flag
-Red team / blue team
-…
•OZON 2018?
Nog een keer!
Vragen?