Een recordaantal van 72 organisaties en ruim 2.000 personen in het onderwijs en onderzoek deden op 23 en 24 maart mee aan de cybercrisisoefening OZON 2023 van SURF. Elke twee jaar wordt er vanuit SURF een grootschalige, landelijke cybercrisisoefening georganiseerd voor onderwijsinstellingen. De oefening leert of je als onderwijsinstelling goed voorbereid bent op een cybercrisis en of je weet hoe te reageren, mocht je te maken krijgen met een cyberaanval. Fontys nam met een flink aantal deelnemers deel aan de oefening, geen overbodige zaak gezien het toenemende risico op cyberaanvallen.
Cyberdreigingen nemen wereldwijd toe, zo ook voor onderwijs en onderzoek. Het is één van de weinige sectoren die sinds 2016 over de volle breedte cybersimulaties doet om vaardig te leren reageren op realistische cybercrises. De tweejaarlijkse oefening bestaat dit keer uit een insider threat-scenario waarbij medewerkers uit de eigen SURF-organisatie ook voor een criminele partij werken. Daarnaast vuurde een hackers organisatie elke 20 minuten zogenaamde software kwetsbaarheden af om duidelijk te maken hoe onveilig heel veel software is, zonder dat leveranciers daar iets aan doen. Bovendien zat er een cryptomilonair in de oefening die alle colleges van bestuur verzocht om af te treden, anders werden haar dreigingen werkelijkheid. Eerdere edities van OZON bevatten scenario’s met ransomware, ethical hackers en een statelijke actor.
Bij Fontys waren deelnemers van diverse diensten IT, Huisvesting en Facilitaire zaken en Marketing en Communicatie, alsmede het Fontys crisisteam en het IT crisisteam op de hoogte van de naderende crisis en zetten zich schrap. Wat volgt zijn anderhalve dag vol met intensieve en leerzame momenten die een dergelijke cyberaanval nog realistischer maken, maar ook duidelijk wordt hoe hiermee om te gaan.
Opbouw
Op donderdag 23 maart start de crisisoefening om 9.30 uur. Van elke deelnemende organisatie zijn alleen de OZON2023 deelnemers op de hoogte, de meeste medewerkers weten van niets. Het centrale scenario is door SURF vormgegeven, en instellingen kunnen hier op variëren om zo veel mogelijk aan te sluiten bij de eigen oefendoelen.
Fontys wil met name het proces binnen en tussen de crisisteams opnieuw oefenen. Met externe waarnemers ontvangen we waardevolle terugkoppeling en krijgen we inzicht in aandachtspunten. Gedurende de dag neemt de druk op de deelnemers steeds verder toe, tot 16:00 uur, wanneer de eerste dag eindigt. We kregen onder andere te maken met 100 gelekte wachtwoorden van Fontysstudenten/medewerkers, ook ons gebouwenbeheerssysteem en paslezerssysteem bleek gevaarlijke lekken te bevatten, naast diverse kwetsbaarheden in allerlei ICT software waarmee onbevoegden toegang konden zouden krijgen. Het was flink chaos om hier telkens de juiste stappen in te zetten om gezamenlijk tot de juiste maatregelen te komen.
Hierna volgt een korte evaluatie met ons allen waarop de waarnemers reflecteren. Op vrijdag 24 maart vervolgde de oefening van 9:30 tot 13:00 uur maar worden uiteindelijk de criminele medewerkers van Surf ontmaskerd, bouwt de crisis af en is er ruimte voor reflectie.
Na de centrale evaluatie door SURF over een paar weken worden opgedane ervaringen en leerpunten die bij Fontys spelen beter inzichtelijk.
Totstandkoming bij SURF
Voor de vierde keer heeft SURF, de ict-coöperatie van het Nederlands onderwijs en onderzoek, deze sectorbrede crisisoefening voor zijn leden georganiseerd. In een brainstorm met professionals uit het onderwijs, onderzoek en de zorg is het insider threat-scenario tot stand gekomen. Bij de oefening is over de hele keten samengewerkt: partijen als het ministerie en de koepel- en brancheorganisaties deden ook mee aan de oefening.
