'Communicatie is zwakste schakel bij cyberaanval'

Communicatie vormt bij een cyberaanval de zwakste schakel. Het verschil in taalgebruik tussen technische teams en de rest van de organisatie zorgt voor een moeizame communicatie en ook de communicatie van strategisch en tactisch niveau naar operationeel niveau verloopt niet optimaal. Tevens hangt in sommige gevallen de vereiste analytische en technische kennis teveel aan een persoon. Deze ‘hobbels’ zorgen voor ongewenste vertraging in de reactie op de crisis.

Deze conclusies en andere staan in de evaluatie van een ‘digitale brandoefening voor onderwijs en onderzoek’ die begin oktober 2018 plaatsvond bij vijftig onderwijsinstellingen. In totaal namen ruim twaalfhonderd mensen deel aan de landelijke cybercrisisoefening OZON, die voor de tweede maal werd georganiseerd. Tijdens de oefening werd een hack met gijzelingssoftware gesimuleerd, waar de deelnemende organisaties door werden geraakt. De deelnemers, waaronder universiteiten, hogescholen, mbo’s, academische ziekenhuizen en onderzoeksinstellingen hebben in de oefening onderzocht hoe zij reageren op een digitale dreiging. Koepelorganisaties zoals de VSNU, VH, MBO Raad maar ook de Autoriteit Persoonsgegevens en de politie waren betrokken bij de oefening.

Waar is ruimte voor verbetering?

Een conclusie die uit het evaluatierapport naar voren komt, is dat de oefening nuttig is voor de deelnemende partijen en de onderwijssector in z’n geheel. Erwin Bleumink, lid bestuur van SURF: "Wanneer je weet waar je verbeteringen aan kunt brengen, is de stap naar die verbeteringen klein. We zien bij instellingen die beide keren mee hebben gedaan, dat zij in de tussentijd grote verbeterstappen hebben gezet."

Bij de meeste deelnemende organisaties vraagt de communicatie om verbetering en ook duidelijkheid in de rolverdeling tijdens een crisis. De onderlinge samenwerking tussen de instellingen kwam sneller en effectiever op gang dan bij de oefening in 2016, mede door de betrokkenheid van de onderwijskoepels. SCIPR en SCIRT, cybersecurity communities van de bij SURF aangesloten instellingen, bleken eveneens van grote waarde. Bij alle deelnemende organisaties is het doel behaald de eigen crisisprocedures en -organisatie te testen. De oefening kreeg een gemiddelde beoordeling van 8.2.

Het evaluatierapport is hier te vinden.