Vorig jaar oefenden ruim 130 organisaties simultaan mee met de Overheidsbrede Cyberoefening. Oud-deelnemer Remco Rekoert is Chief Information Security Officer (CISO) bij de gemeente Beverwijk. Hij blikt terug op de oefening, deelt de belangrijkste lessen en geeft tips.
Rekoert: “Voor kleinere gemeenten zoals Beverwijk is deelname aan de Overheidsbrede Cyberoefening zeer leerzaam. Zelf kunnen we een dergelijke crisissituatie niet organiseren. In 2020 deden we voor het eerst mee. We hadden toen nauwelijks een calamiteitenplan. Er is een crisisteam ingericht en we hebben duidelijke afspraken op papier gezet over wie wat doet bij een cyberaanval. De oefening zet ons ook onder druk om onze documentatie en processen op orde te hebben. Ik vind het essentieel dat elke gemeente of organisatie oefent om te ontdekken wat beter kan.”
Tijdens de Overheidsbrede Cyberoefening van 2023 kreeg de fictieve gemeente Rommeldam te maken met een kwetsbaarheid in de IT-systemen. Lukte het Beverwijk om onder tijdsdruk de juiste beslissingen te nemen? Rekoert: “Het ging goed, maar tijdens de oefening kwamen er verschillende interne verbeterpunten naar voren, zoals het maken van aantekeningen en het belang van snel beslissingen nemen. Ook confronteer je jezelf met je eigen zwakheden; zo moet ik mezelf steviger opstellen zodat andere deelnemers mij niet overstemmen. Daarnaast was er soms verwarring over ICT-afkortingen. Het is belangrijk dat iedereen begrijpt wat er wordt gezegd, vooral in een crisissituatie. Ik merk dat wij ieder jaar beter worden. In het eerste jaar ging het rommelig. We waren vooral veel aan het praten en alles ging door elkaar. Nu werken we met structuur en zijn we veel beter voorbereid. Maar vergeleken met het landelijke niveau dat je in de studio ziet, hebben we nog stappen te zetten.”
”Je ervaart hoe snel een situatie kan escaleren.”CISO Remco Rekoert
De oefening biedt ook de gelegenheid om te zien hoe verschillende afdelingen samenwerken. De CISO geeft een voorbeeld: “Bij ons ontstond onduidelijkheid over wie verantwoordelijk was voor het communiceren van gevoelige informatie. Door dit soort situaties te oefenen, leer je wie je tegenover je hebt, want onze communicatieadviseur en de ICT-afdeling werken normaal niet samen. Ik denk dat deelnemers aan de oefening een beter bewustzijn hebben gekregen van hoe serieus cyberdreigingen zijn en hoe snel iets kan escaleren. Maar mensen buiten ons crisisteam merken hier niets van. We proberen dit jaar iets te organiseren zodat meer collega’s onze oefening kunnen volgen. Hierdoor groeit het risicobewustzijn door de hele organisatie.”
De gemeente Beverwijk doet dit jaar weer mee. Rekoert heeft tips voor andere deelnemers: “We hebben altijd een notulist die tijdens de oefening aantekeningen maakt, en een observator die rondloopt en zijn bevindingen noteert. Durf na afloop eerlijke feedback te geven, ook aan hoge functionarissen. Positieve kritiek helpt iedereen om te leren en beter te worden. Probeer van tevoren te bedenken wat je uit de oefening wilt halen. Bij de komende oefening gaan we bijvoorbeeld onze communicatieadviseur de tijd geven om een persbericht op te stellen. Dit moet realistisch gebeuren, zodat we er daarna over kunnen discussiëren. Realiseer je dat het mooie van deze oefening is dat er niets fout kan gaan, ongeacht je resultaten. Het pakt dankzij de geleerde lessen altijd goed uit.”
Het ministerie van ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) organiseert op 4 november 2024 de 6e Overheidsbrede Cyberoefening. Overheidsorganisaties kunnen met een speciale toolkit simultaan mee-oefenen. Het team van deelnemende organisaties zal dezelfde uitdagingen aangaan als het crisisteam in de studio. Kijk voor meer informatie op de website van het Overheidsbreed Cyberprogramma. (1) Hier zijn ook diverse interessante webinars en een Masterclass te vinden.
(1) https://www.weerbaredigitaleoverheid.nl/home/