Isidoor II : eerste nationale SCADA cybersecurity oefening

Wat zou er gebeuren als door virussen of andere malware SCADA systemen worden ontregeld? SCADA systemen besturen allerlei technische apparaten in de wereld. Door haperingen in SCADA systemen kan elektriciteit uitvallen, drinkwater haperen of fabrieken plots stilvallen. Daar wil je als overheid maar ook als bedrijfsleven niet aan denken.

Wat zou er gebeuren als door virussen of andere malware SCADA systemen worden ontregeld? SCADA systemen besturen allerlei technische apparaten in de wereld. Door haperingen in SCADA systemen kan elektriciteit uitvallen, drinkwater haperen of fabrieken plots stilvallen. Daar wil je als overheid maar ook als bedrijfsleven niet aan denken. Maar toch moet je als land je voorbereiden op een mogelijke cybercrisis. Het vergroten van bewustwording rondom cybersecurity en het weerbaarder maken van Nederland tegen cyberincidenten is van groot nationaal belang.

Grootschalige oefening

Begin oktober organiseerde Berenschot in samenwerking met Fox-IT in opdracht van het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Justitie en Veiligheid, de nationale cyberoefening ISIDOOR II. Gedurende de vierdaagse oefening (van 9-12 oktober 2017) hebben rond de 60 publieke en private partijen in Nederland geoefend in het omgaan met een SCADA cyberaanval en de onderlinge samenwerking daarbij. Vanuit vele verschillende sectoren is mee geoefend, zoals door ministeries, de energiesector, de drinkwatersector, de nucleaire sector, keren en beheren van oppervlakte water, de chemische industrie, de telecom sector en de haven.

Realistisch en realtime scenario

Tijdens de eerste drie dagen van de oefening hebben de deelnemers geoefend aan de hand van een real-time scenario waarin SCADA systemen in verschillende vitale sectoren slachtoffer werden van een cyberaanval. De nadruk op SCADA systemen is vrij nieuw. Maar natuurlijk wel belangrijk: storingen in SCADA systemen hebben meteen veel invloed op de alledaagse werkelijkheid. En er zijn toch veel besmettingen van SCADA systemen in vitale sectoren.  Voor de ontwikkeling van het scenario  hebben we in verschillende bijeenkomsten de wensen van de betrokken partijen geïnventariseerd en aan de hand daarvan  het scenario ontwikkeld. Belangrijk daarbij was om niet te snel te moeten escaleren naar nationaal niveau. En ook om niet te veel effecten in de leefomgeving te krijgen, zodat het accent zou blijven liggen op cyberaspecten.

Injects

Het scenario hebben we daarna omgezet in honderden berichten (injects). Zowel mediaberichten, directe communicatie tussen personen onderling als technische injects. Zo kon elke organisatie de eigen reactie oefenen, maar ook de communicatie met organisaties in de sector en op nationaal niveau. Ook konden zij voor de oefening binnen de eigen organisatie zelf aanvullende scenario’s en injects gebruiken. Van te voren hebben we de opzet van de malware ontworpen, afgestemd met de deelnemende organisaties en daarna (deels) gebouwd. Daardoor konden zeer realistische injects worden gemaakt, zoals netwerkverkeer, memory dumps, etc.

Verloop van de oefening

De oefening begon met diverse malware indicaties op maandag. Op dinsdag kregen vele sectoren er last van, ontstond er onrust en kon de coördinerende rol van het NCSC worden geoefend. Ook konden cyberspecialisten de besmetting ontdekken en analyseren. Op woensdag werd de aard duidelijker en kon opschaling plaatsvinden tot ICCb niveau.

Caputure-The-Flag & Criviant

Op de laatste dag van de oefening organiseerden we zowel voor de ICT-experts als voor de betrokkenen bij de crisisorganisatie een dag georganiseerd om onderling kennis te maken en samen de kennis te beproeven. Vooraf werd in een film het verloop en de achtergrond van de oefening toegelicht. Daarna kregen de ICT-experts de mogelijkheid om in een Capture-The-Flag oefening in teamverband diverse cyberchallenges op te lossen die waren gemaakt door FOX-IT. De betrokkenen van de crisisorganisaties konden in een Criviant spel hun kennis in teamverband beproeven. In een gemeenschappelijk programma kwamen beide groepen samen om een case op te lossen waarin techniek en crisismanagement samen kwamen. Daarbij zijn veel nuttige contacten tussen de deelnemers gelegd.

Samenwerking

Cyberoefening ISIDOOR II heeft uiteindelijk geresulteerd in een unieke inzet van en samenwerking tussen meer dan 350 deelnemers om zo bij te dragen aan de digitale veiligheid in Nederland.

Meer informatie is ook te vinden op de website van het Nationaal Cyber Security Centrum.