Wat doe je als vitale infrastructuur slachtoffer is van een ernstige cyberaanval? In dat scenario is het belangrijk dat alle betrokkenen optimaal zijn voorbereid. Waterschap Vallei en Veluwe deed daarom mee aan de nationale cyberoefening ‘ISIDOOR’. Het waterschap kreeg daarbij hulp van hun securitypartner Orange Cyberdefense voor een zo realistisch mogelijke ervaring.
Waterschap Vallei en Veluwe zorgt voor schoon water, droge voeten en een gezonde leefomgeving in een groot deel van Midden-Nederland. Het waterschap beheert onder andere rivieren, dijken, sluizen, stuwen, gemalen en zuiveringsinstallaties. “Je mag rustig stellen dat wij zorgen voor droge voeten”, zegt Erwin van der Zwan, CISO bij het waterschap. Een cyberaanval op het waterschap kan dan ook ernstige gevolgen hebben. “In een minder gunstig scenario betekent het dat we de controle verliezen over bijvoorbeeld sluizen. Dan zijn droge voeten geen garantie meer.”
Effectief optreden tijdens een cybercrisis is dan ook geen overbodige luxe. Om voorbereid te zijn wanneer het mis dreigt te gaan, organiseert het Rijk sinds enkele jaren een grootschalige cyberoefening: ISIDOOR. Deze helpt organisaties voor vitale infrastructuur met het vergroten van hun digitale weerbaarheid tijdens een ernstige cybercrisis. Door middel van realistische scenario’s en praktische opdrachten leren de deelnemers hoe ze cyberincidenten kunnen voorkomen, detecteren en beheersen. Met de in de oefening opgedane ervaring en lessons learned kunnen deelnemers bovendien hun incidentresponsplan verder aanscherpen.
De oefening simuleert een scenario waarin een securityincident steeds verder escaleert. “Je moet het zien als een soort rollenspel”, schetst Van der Zwan. “Realisme is daarbij het uitgangspunt. We hebben dan ook mensen zoveel mogelijk in hun normale rol laten oefenen. We kregen vanuit het SOC ‘s ochtends op de eerste dag via de reguliere kanalen meldingen over verdachte signalen. Later bleek dat aanvallers misbruik hadden gemaakt van een softwarefout die in de hele organisatie voorkomt. Na verder onderzoek ontdekten we dat een zuiveringsinstallatie daadwerkelijk is aangevallen.”
Officieel was Orange Cyberdefense geen deelnemer aan ISIDOOR. Wel is de partij al sinds 2009 securitypartner van het waterschap. Vanuit het SOC monitort Orange Cyberdefense 24/7 de IT-infrastructuur van het waterschap. “Tijdens een cybercrisis spelen zij dus een belangrijke rol en het is voor een zo realistisch mogelijke oefening belangrijk dat ze toch betrokken werden. Daarom hebben we voor de oefening een aparte communicatielijn opgezet. Via dat kanaal speelden we informatie rondom het scenario direct door naar de SOC-specialisten, zodat zij toch op een zo realistisch mogelijke manier konden meedoen”, legt Van der Zwan uit.
Tijdens de oefening bleek de waarde van goede samenwerking tijdens een cybercrisis. “Uiteindelijk nemen de beheerteams van het waterschap tijdens een crisis de cruciale beslissingen”, zegt Loek Strijk, Senior Security Advisor bij Orange Cyberdefense. “Daarvoor zijn zij wel afhankelijk van goede incidentinformatie. Wij hebben veel verstand van security, maar niet van sluizen en gemalen. Die kennis moet je tijdens een crisis samenbrengen. Daarom is een intensieve communicatie zo belangrijk.”
Naast ervaring bracht de oefening het waterschap een waardevol inzicht. “Je merkt dat veel mensen logischerwijs niet gewend zijn om te handelen in een crisis”, constateert Van der Zwan. “Zo kon de communicatie met het SOC soms nog wat proactiever. Ook al zitten we op afstand van elkaar, het SOC van Orange Cyberdefense is gewoon een verlengstuk van een securityteam. Deze oefening liet ons dat weer goed beseffen.”
Als het aan beide heren ligt, was deelname aan ISIDOOR niet de laatste cyberoefening. “Cybersecurity is een ingewikkeld vakgebied, zeker voor mensen die er niet dagelijks mee bezig zijn. Het is voor hen vaak iets ongrijpbaars”, merkt Strijk op. “Bovendien gaat het in een digitale crisis om een aanval door een menselijke actor. Er zit daadwerkelijk een kwaadwillende partij die tegenzetten doet. Dat maakt het echt anders dan een fysieke crisis. Bij een dijkdoorbraak wordt het gat hooguit groter als je niets doet, maar er is niemand die reageert op jouw acties.”
Ook Van der Zwan benadrukt de waarde van cybercrisisoefeningen. “Doe mee aan zo’n oefening en probeer altijd zo realistisch mogelijk te doen”, adviseert hij. “Niet alleen kom je door te oefenen achter verbeterpunten, maar maak je tijdens een echte crisis niet meer alles voor het eerst mee. Zo ben je met een beetje geluk beter voorbereid als er echt wat gebeurt.”