×

‘We hebben een dik probleem!’

07 dec 2020

Vier pratende mensen aan een tafel. Een vijfde op een beeldscherm. En een zesde die af en toe aanschuift met een nieuw feitje of een lastige vraag. Wat kan daar nou spannend aan zijn? Toch zit je twee uur lang onafgebroken op het puntje van je stoel bij de online ‘cyberdrill’ die zich hier afspeelt. We kijken naar een oefening van een crisisteam van de – fictieve – MBO-school ‘Straight Forward’. 

Die school heeft een ‘dik probleem’, schetst de spelleider van deze oefening. Dat is Chris van ’t Hof van Tek Tok en auteur van het boek ‘Helpende Hackers’. In het introductiefilmpje dat hij laat zien, stelt hij zich voor als ‘Ik ben Chris, en cyber-ellende is mijn ding!’.

Cyber-ellende is mijn ding!

Kwetsbaarheid

Die ellende begint allemaal met een leerling Noëlle met een laptop vol stickers. Noëlle: ‘Ja, ik heb een kwetsbaarheid gevonden in het cijfersysteem van school. Dat heb ik netjes gemeld, maar nou ben ik van school getrapt. Ik kon een SQL-injection doen. Ik kon in de database. En ik heb wachtwoorden gevonden. Die waren beveiligd met MD5. Sja.’

Ik heb het netjes gemeld, maar nou ben ik van school getrapt.

Onverklaarbare dingen

Dit geval veroorzaakt grote consternatie in de bestuurskamer. En er blijkt meer aan de hand, meldt het hoofd IT van de school: ‘We zijn bezig met een migratie naar de cloud. Maar er gaat van alles mis… ik zie allemaal onverklaarbare dingen in het netwerk gebeuren…’

Crisismanagementteam

En nu moet het crisismanagementteam aan de slag. Chris stelt ze aan de kijkers voor. Op het scherm staat de wiskundeleraar van de school. Kelvin Rorive, tevens hoofd IT. Hij zit in quarantaine, vandaar dat scherm. Verder aan tafel: Mattijs Dijkstra, woordvoerder en plotter; Liesbeth Holterman, Functionaris Gegevensbescherming; Jelle Niemantsverdriet, vader van leerlingen op de school als vrijwilliger adviseur ICT. En de voorzitter van het team, adjunct-directeur van de school, Esther Mieremet.

BOB-model

‘Wie heeft het gedaan?’ vraagt Chris. En belangrijker: ‘Wat gaan jullie doen? Wat wordt jullie eerste actie?’. ‘Nou ja…’ zegt iemand, ‘we weten wie het heeft gedaan. Die Noëlle.’ Esther grijpt in: ‘Nou nee, wacht even. Laten we eerst maar eens de feiten boven tafel krijgen.’ Chris vult aan: ‘Prima. Hanteer het BOB-model. Beeldvorming, Oordeelsvorming, Besluitvorming. In die volgorde. Ik laat jullie nu alleen en ik hoor wel wat er uit deze eerste BOB-ronde komt!’

AP en AVG

‘We hebben geen idee. Er was een storing. Een leerling heeft iets gevonden. We hebben meer informatie nodig om iets te kunnen doen’ zegt Jelle. Het team staat voor de keuze, zegt Esther: ‘Het hoofd IT bevragen, of Noëlle.’ Ze besluiten tot het eerste. Want hij is toch voorhanden, het hoofd IT. Hij schudt zijn hoofd op het scherm. ‘Ik weet het niet, er gaat van alles mis. Een deel van de cijfers zit al in de cloud. Ik weet niet wat dat meisje heeft gezien en wat ze kon veranderen. Ik maak me serieus zorgen.’ Mattijs voert de druk op: ‘Als we niets doen, zal Noëlle misschien zelf iets op de socials zetten. Dat moeten we voor zijn.’ Liesbeth: ‘Is er sprake van een echt datalek? Want dan moeten we ook een melding doen aan de Autoriteit Persoonsgegevens, vanwege de AVG…’ Het team meldt aan Chris dat ze Noëlle willen spreken.

Pink Floyd

Prima, zegt Chris. Maar hij heeft ook een nieuw feitje. ‘Er is een mailtje binnengekomen, van een zekere Pink Floyd. Die zegt dat hij het HR-systeem van de school heeft gedownload. Met de salarissen en de foto’s en andere persoonlijke gegevens van de leraren. En hij heeft die database versleuteld. Dat was best veel werk, en hij wil één bitcoin vergoeding.’

Communiceren

De stemming aan tafel wordt al iets meer gespannen. Er komen opties langs. Aangifte doen bij de politie. Of zelf in het HR-systeem gaan bekijken wat er aan de hand is, al is dat forensisch onhandig. En er moet worden uitgezocht of er een relatie is tussen Noëlle en deze ‘Pink Floyd’. En dan moet er ook iets gecommuniceerd worden met de buitenwacht, de ouders, de leerkrachten. Wellicht moet er een ICT-onderzoeksbureau worden ingeschakeld.

Drill-drama

Zo ontvouwt zich langzaam, maar eigenlijk razendsnel, het drama van deze ‘drill’, deze oefening in een digitale crisis. Het team doet het goed, ook als er telkens meer feiten over ze worden uitgestort. Want het wordt natuurlijk erger en erger. Leerlingen posten berichtjes op Snapchat. De IT-helpdesk van de school wordt platgebeld. Er verschijnt een journalist met lastige vragen. Pink Floyd gooit de gegevens op straat. De arme Noëlle wordt in het midden van de nacht van bed gelicht en onvriendelijk ondervraagd. Het hoofd van de IT, Kelvin, wordt steeds vager en vager in zijn antwoorden. Het crisisteam begint meer en meer door elkaar heen te praten.

Tunnelvisie

Het team opereerde goed, zegt Chris achteraf, terwijl de deelnemers het zweet van de voorhoofden wissen en de zogenaamd in quarantaine zittende Kelvin doodleuk de kamer binnenstapt. Toch heeft Chris een – algemeen – puntje van kritiek. ‘Jullie zijn één ding vergeten, de interne communicatie. De zieke directrice van de school, de helpdesk, de leraren en de leerlingen die door de gangen lopen en niks te horen krijgen… Daar had je iets mee moeten doen. Je krijgt last van tunnelvisie als de stress oploopt. Dan vergeet je dat.’

Probeer maar eens de back-up van je kroonjuwelen écht terug te zetten.

Oefenen oefenen oefenen

De sessie zit erop. Chris van ’t Hof complimenteert het team en brengt ons in herinnering: ‘Dit is leerzaam voor als het een keer écht gebeurt.’ Hij benadrukt het belang van oefenen. ‘Op voorhand nadenken over een crisis als dit is nuttig. Dat is de “koude” fase. Draaiboeken maken, rollen afspreken, wie doet wat. Maar je moet dit echt ook oefenen. Oefenen is de “warme” fase. Ik noem maar wat, probeer maar eens je back-up van je digitale kroonjuwelen écht terug te zetten.’ Hij sluit af: ‘We zien u graag terug bij de volgende crisis!’

De rollen

De rollen van het crisismanagementteam werden voorbeeldig vervuld door Kelvin Rorive, Global Head Red Teaming Rabobank; Mattijs Dijkstra, Incident Handler bij Fox-IT; Liesbeth Holterman, Beleidsadviseur Cyberveilig Nederland; Jelle Niemantsverdriet, National Security Officer Microsoft Nederland; Esther Mieremet, projectadviseur ECP.

Cyber Drill terugkijken

Wilt u de hele Cyber Dril terugkijken om eens te zien hoe dat nou gaat? Kijk dan hier Cyber-crisis-drill 2.0 op Vimeo.

Beluister ook de podcast: Maak je weerbaar, bereid je voor én oefen op een cyberaanval via:

© Copyright 2021 Cybersecurity Alliantie
Uw keuze met betrekking tot cookies op deze site
We gebruiken enkel cookies voor anonieme statistieken en om uw cookie voorkeuren op te slaan. U kunt uw individuele cookie voorkeuren hier aanpassen.
  • Essentiële cookies
  • Statistieken
Accepteren
Accepteer alleen essentiële cookies
Individuele cookie voorkeuren
Privacy voorkeuren Hier vindt u een overzicht van alle gebruikte cookies. U kunt toestemming geven voor alle categorieën of meer informatie weergeven en bepaalde cookies selecteren.
Alles accepteren Voorkeuren opslaan & sluiten Terug
Essentiële cookies (1) Essentiële cookies maken basisfuncties mogelijk en zijn noodzakelijk voor de goede werking van de website.
Statistieken (1) Statistiekencookies verzamelen anoniem informatie. Deze informatie helpt ons te begrijpen hoe onze bezoekers onze website gebruiken.