Geert-Jan van de Ven, directeur CIP gelooft sterk in de waarde van oefenen om bestuurders en hun organisaties voor te bereiden op een cybercrisis. “Ik kom uit de defensiewereld. Daar gold en geldt het adagium: ’Train as you fight, fight as you train’. Belangrijk, want: Met het doorleven van een crisis ervaar je waar het spannend wordt.”
Toegevoegde waarde oefenen
Het kan iedere organisatie gebeuren: een hack of bijvoorbeeld een ransomware aanval legt de organisatie lam. Hoewel je nooit precies weet wat en wanneer het gebeurt, kun je je wel voorbereiden. Dat doe je onder andere door te oefenen. De toegevoegde waarde daarvan zit voor Geert-Jan van de Ven onder andere in de mogelijkheid te leren. “In een oefening mag en kun je fouten maken. Natuurlijk doen we dat liever niet, want dat is niet goed voor ons ego.” Dat is een fase waar een organisatie doorheen moet, stelt hij. “In volwassen organisaties zijn fouten vanzelfsprekend. Na een evaluatie leer je daar met elkaar van en word je er sterker van. Maar soms ga je dus de bietenbrug op.”
Even kennismaken
Met die bietenbrug heeft hij zelf ook ervaring, bijvoorbeeld toen hij vorig jaar deelnam aan de Overheidsbrede Cyberoefening. Van de Ven had de rol van CISO, een rol die hij niet dagelijks uitvoert. “Ik had er vooraf over gesproken met een aantal ervaren CISO’s. Toch stapte ik in een aantal valkuilen waar zij van zeiden: ‘Let op, dat is een traditionele’. Toch ben ik er met open ogen ingestapt.”
Blinde vlekken
Oefeningen verhogen de cyberweerbaarheid van organisaties. Van de Ven licht toe waarom oefenen zo belangrijk is. “Allereerst ontdek je tijdens een oefening altijd blinde vlekken. Iedere oefening blijkt er bijvoorbeeld toch weer een blind spot te zijn in het assetmanagement. Dat er toch een exoot is die uit het oog is verloren, maar die wel aan de infrastructuur hangt en waarvan je niet precies weet wat de actuele status is. Het tweede is: oefenen helpt je te bekwamen in het invullen van je rol in een crisisorganisatie. Dat is een vak op zich, dat doen de meesten niet iedere dag.” Ook als team ervaring opdoen in de omgang met een crisis is van belang, benadrukt hij. “Als één lid van het team onervaren is, kun je proberen dat te compenseren. Maar wanneer het allemaal nieuwe mensen zijn, ontdek je liever dat je allemaal onervaren bent tijdens oefenen en trainen, dan dat je daarachter komt tijdens een daadwerkelijke crisis.”
Chefsache
Deelname van bestuurders aan oefeningen is om verschillende redenen belangrijk. “Vaak wordt gedacht: oefenen met een cyberincident of crisis is voor mensen uit de operatie. Maar ICT is niet iets wat je ergens onder in de machinekamer doet; het heeft direct effect op je dienstverlening, de operatie van je organisatie en de inzetbaarheid van je mensen.” Hij geeft voorbeelden van vragen die tijdens een oefening of crisis langs kunnen komen. “Ga ik een bepaalde dienstverlening stopzetten? Stuur ik een aantal mensen naar huis? Ga ik mijn ketenpartners teleurstellen omdat ik ergens een kanaal dichtzet? Dat is chefsache; als bestuurder moet je uiteindelijk de knoop doorhakken en de consequenties overzien.”
Ruggensteun
Wat hij bestuurders zou willen aanraden: “Als je het al niet doet, begin om periodiek crisisoefeningen in te bouwen. Die ontdekkingsreis is goed voor alle leden van het team en het vertrouwen onderling. Bovendien, je zult er versteld van staan hoeveel ruggensteun het geeft aan de mensen in de operatie wanneer de bestuurder zelf z’n rol pakt.” Net zoals met veel dingen is het beginnen waarschijnlijk het lastigst. “Na de eerste keer zul je ongetwijfeld schaamrood op de kaken hebben. Dat is niet erg, dat hebben we allemaal wel eens gehad. Maar daarna ga je merken dat het steeds beter gaat en dat het zelfs leuk wordt. Je leert elkaar kennen in dat proces en merkt waar je op elkaar kunt vertrouwen en waar je elkaar nodig hebt.”
Omgaan met onzekerheid
Er is altijd een gezonde spanning tussen de operatie en de bestuurder in een oefening en tijdens een crisis, ziet Van de Ven. “Een bestuurder wil antwoorden hebben, maar de operatie zit soms nog met vraagtekens.” Ook dat kun je oefenen: “Omgaan met onzekerheid; als bestuurder een besluit nemen ook al is dat niet met 100 procent actuele of volledige informatie. Daarvoor moet je met elkaar spelen, elkaar leren aanvoelen. Wat is de risk appetite, hoever gaat dat? Hoe is het samenspel binnen een crisisteam; zit je met een privacy-officer of een communicatieadviseur of een CISO aan tafel, en wordt er echt naar hen geluisterd?”
Doorleven
Het omgaan met een crisis vraagt om vaardigheden die niet uit een boek te leren zijn. “Pas met het doorleven van een crisis ervaar je waar het spannend wordt. Dat is iets wat ik in mijn defensietijd geleerd heb. Defensie is natuurlijk een crisisorganisatie pur sang. De commandovoering vindt in vredestijd op dezelfde wijze plaats als in een crisissituatie. Een commandant is al heel lang gewend om een besluit te nemen met een strak ingeregeld proces. Alle adviseurs krijgen in de besluitvorming ruimte om hun zegje te doen. Dan wordt daarop gereflecteerd en uiteindelijk komt er een integrale keuze. Dat is wat we natuurlijk proberen te stimuleren met een cyberoefening, want daarmee moet je vlieguren maken.”
CIP ondersteunt overheidsorganisaties
Markant moment
De Overheidsbrede Cyberoefening helpt om het belang van oefenen steeds weer op de kaart te zetten, vertelt Van de Ven. “Mensen gebruiken het om expliciet aandacht te vragen voor het oefenen. Het is een markant moment. Iedereen weet het, het staat in de agenda. Het is ieder jaar en we doen mee aan de landelijke oefening of doen een eigen variant. Het heeft een magneetwerking.” Ook de bestuurlijke aandacht voor de Overheidsbrede Cyberoefening zet het belang van oefenen verder op de kaart. “Dat maakt dat andere bestuurders denken: wacht even, dit is chefsache. De staatssecretaris heeft al een aantal keren de opening gedaan, de DG zit de crisistafel voor. Dat moet dus ergens over gaan. Die aandacht helpt.”
CIP tijdens Overheidsbreed Cyberprogramma
Tijdens Cybersecuritymaand oktober verzorgt CIP een van de cyberwebinars. Dit keer is het onderwerp Privacy Enhancing Technology’s (PET). In dit webinar maak je kennis met verschillende technologieën, mét praktische voorbeelden. Want: met PET’s kan er inmiddels meer dan je denkt.