Hoe bereid je je voor op iets waarbij je niet weet wat er precies op je afkomt? Door met die aspecten die wél bekend zijn een zo realistisch mogelijke oefening te doen. Tijdens ISIDOOR 2021 is dat exact wat er gebeurde.
Deze grootste nationale cybercrisisoefening ooit is bedoeld om diverse crisisprocedures te oefenen, zodat bij een echte digitale crisis snel en adequaat gehandeld kan worden. Ook het ministerie van Infrastructuur en Waterstaat (IenW) nam met de eigen departementale crisisorganisatie deel aan ISIDOOR 2021. En gaf Berenschot opdracht hen hierbij te ondersteunen.
“Door een uitstekende samenwerking zijn we in staat gebleken het complexe onderwerp en stelsel te begrijpen, de oefening in goede banen te leiden en waren we in staat er veel van te willen leren” - Crisismanager DCC - lenW’
In korte tijd voorbereiden op een grote cybercrisisoefening
IenW is verantwoordelijk voor diverse (brede) beleidsterreinen waar grote (vitale) sectoren en organisaties een belangrijke spil vormen in het (digitaal) veilig houden van Nederland. In opdracht van en nauwe samenwerking met het Departementaal Crisis Centrum (DCC) van het ministerie, ondersteunden de adviseurs van Berenschot bij een aantal zaken:
- de voorbereiding van de departementale oefening
- de aansluiting van de departementale crisisorganisatie op de nationale crisisoefening
- de samenwerking met alle (vitale) organisaties, sectoren, toezichthouders en betrokken interne beleidsdirecties
De ambitie van de opdrachtgever was daarnaast om door Berenschot de belangrijkste aandachtspunten en lessen over de samenwerking en de werking van de crisisorganisatie tijdens de oefening samen te laten brengen.
Focus op procesmatige voorbereiding
In nauwe samenwerking met de opdrachtgever zijn de adviseurs gestart met een snelle, maar diepgaande analyse van beschikbare documentatie, waaronder (concept) handboeken, draaiboeken, eerdere evaluaties en reeds opgestelde documentatie vanuit de landelijke oefenorganisatie. Het belangrijkste doel hierbij was het formuleren van de (departementale) leerdoelen en het uitwerken van onderwerpen voor het evaluatiekader voor een zo doeltreffend mogelijke oefening.
Doordat verschillende (vitale) sectoren en talloze organisaties deelnamen, waren in de weken voorafgaand aan de oefening nog niet alle onderliggende draaiboeken of (deel)oefeningen beschikbaar. Dat, in combinatie met de beperkte tijd, leidde ertoe dat we in de voorbereiding (nog) meer de focus legden op de procesmatige voorbereiding. Zo kwamen we te weten wat een ministerie, deelnemende organisatie, afdeling of team nu daadwerkelijk nodig heeft bij hun incident response of in crisissituaties. Immers, bij een echt securityincident of -crisis is op voorhand ook niet alle informatie beschikbaar. Of is er juist teveel van…
Tot slot hebben de adviseurs van Berenschot gedurende de oefening de departementale crisisorganisatie geobserveerd voor de evaluatie. Ook is direct na de oefening in een zgn. hot-washup feedback opgehaald bij de deelnemende organisaties.
Goed voorbereid op de crisis van morgen
De inspanningen hebben vóór de oefening geleid tot een uitgewerkt praktisch draaiboek en een strak voorbereide crisisorganisatie, waaronder betrokken (vitale) sectoren en organisaties. Naast deze voorbereiding heeft Berenschot de reactie van de departementale crisisorganisatie op het cyberincident geëvalueerd en de bevindingen en conclusies hiervan opgenomen in een evaluatierapport met direct toepasbare aanbevelingen.
De lessen uit deze oefening worden door het ministerie en betrokken sectoren en organisaties meegenomen in de voorbereiding op toekomstige cyberincidenten en verwerkt in onder meer de beleidsplannen, processen en procedures. Aan de hand daarvan kunnen organisaties zich verder ontwikkelen en werken aan hun digitale veiligheid, weerbaarheid en veerkracht. En dat is nodig. We weten immers één ding zeker, de cybercrisis van morgen is anders dan de cybercrisis die we gisteren hebben geoefend.