Oefening baart kunst, zeker in cybersecurity

‘Oefenen op het scherp van de digitale snede’. Zo omschreef het Ministerie van Defensie de onlangs gehouden NAVO-oefening Cyber Coalition 2017. Cyber Coalition is een grootschalige oefening waarin verschillende NAVO-landen hun krachten bundelen voor het afslaan van cyberaanvallen. In Nederland waren ook bedrijven uitgenodigd om deel te nemen. Namens CGI had ik het genoegen een rol te mogen spelen in de oefening. Een bijzonder leerzame ervaring, die ik in deze blog graag met u deel.

De Nederlandse Defensiemacht greep de oefening aan om de verschillende organisatieonderdelen die te maken hebben met cybersecurity intensief te laten mee doen en zo veel mogelijk uit de oefening te halen. Daarbij heeft Defensie ervoor gekozen om niet alleen de eigen organisatie te beoefenen, maar ook bedrijven uit de defensie-industrie te betrekken. Onze krijgsmacht werkt hiervoor samen met FME, de brancheorganisatie voor de technologische industrie. Het is met andere woorden een militair-civiele samenwerking.

Het betrekken van bedrijven bij de oefening is prijzenswaardig en noodzakelijk. Defensie opereert immers dagelijks in nauwe samenwerking met industriële partners en zal dat ook in geval van een cyberaanval of -crisis moeten doen. Belangrijk dus om die samenwerking ook met elkaar te oefenen.

Het belang van oefenen

Dat de NAVO en in het bijzonder de Nederlandse krijgsmacht oefent op de afhandeling van cyberincidenten is een goede zaak. Het zorgt ervoor dat Defensie en partners beter voorbereid zijn op dergelijke incidenten. Deze oefeningen zijn overigens niet alleen nuttig voor Defensie en hun leveranciers: elke organisatie kan te maken krijgen met een groot cyberincident. En dan is het essentieel om goed voorbereid te zijn. Want hoewel cyberincidenten steeds vaker voor komen, zijn ze voor de meeste organisaties gelukkig nog geen routine. Daarin schuilt wel een risico: doordat routine ontbreekt, kan juist in een situatie van hoge urgentie de afhandeling niet goed verlopen en de schade van een incident onnodig groot zijn.

Grote leerervaring

In de afgelopen 10 jaar heb ik verschillende grote incidenten meegemaakt en ook aan verschillende grote cybersecurity-oefeningen mee gedaan. En elke keer valt me op dat het voor de betrokken partijen en spelers een grote leerervaring is. Elke oefening onderstreept ook dat organisaties en medewerkers die hebben meegedaan in een oefening beter in staat zijn in de praktijk een cyberincident effectief af te handelen.

Laten we de leerpunten eens onder de loep nemen. De drie belangrijkste voordelen van het oefenen van een cyberincident- of crisis zijn:

1. Het leren kennen en beproeven van incident management procedures
   Veel organisaties stellen dergelijke procedures wel op, maar als ze niet bekend of beproefd zijn, blijken ze in de praktijk vaak niet goed te werken.
2. Het versterken van de samenwerking tussen organisaties en mensen
   Incidenten en crisissen managen is in de kern mensenwerk. Door te oefenen intensiveert de samenwerking tussen betrokkenen. Dit leidt in de praktijk tot betere afhandeling van incidenten.
3. Het opdoen van persoonlijke ervaring met incidentmanagement door betrokkenen
   Misschien wel het belangrijkste aspect van oefenen is in mijn ervaring dat je het een keer hebt meegemaakt. Een groot incident of een crisis brengt een unieke dynamiek en druk met zich mee. Spelers kunnen daar beter mee omgaan als ze het in een oefening al hebben meegemaakt.

Geef opvolging aan leerpunten

Toch hebben cyberoefeningen ook een belangrijke valkuil: als de spanning van de oefening weg is, dan laten organisaties nog al eens na om opvolging te geven aan de leerpunten. Dan gaat een belangrijk deel van de investering in een oefening verloren. De opvolging van een oefening is dus cruciaal.

Het organiseren van een oefening is overigens geen kleinigheid en vergt een goede aanpak om er op alle facetten van te leren. Ook daarin is ervaring van groot belang. Daarom maken veel organisaties gebruik van een externe adviseur om te helpen een oefening te organiseren. Binnen CGI hebben wij bijvoorbeeld een compleet ‘crisis simulatie platform’ waarmee we snel een crisisoefening kunnen opzetten voor onze klanten.

Cyber-oefening baart kunst

Al met al was Cyber Coalition 2017 een intensieve, leerzame, maar vooral ook ontzettend leuke ervaring. Ik heb de inzet van Defensie, FME en de collega’s van deelnemende bedrijven zeer gewaardeerd. Door Cyber Coalition zijn alle betrokken partijen echt weer beter voorbereid op een incident. Want oefening baart kunst. Dat heeft de oefening wat mij betreft nog maar eens bewezen. Daarom kijk ik al uit naar de Cyber Coalition oefening 2018!