Cyber Crisis training maakt NoorderBasis cyberbewust

Hette Feenstra: “Het is niet alleen de techniek die je moet regelen; communicatie is minstens zo belangrijk.”

Een realistisch crisisscenario 

De training vond plaats in Utrecht en bestond uit een gesimuleerd scenario waarin een schoolorganisatie werd getroffen door een cyberaanval. In dit geval kregen de deelnemers te maken met een ransomware-aanval: bestanden op het netwerk waren versleuteld en de systemen waren plotseling onbereikbaar. Na een korte introductie werden de deelnemers in teams ingedeeld en kregen ze in drie rondes steeds meer informatie. De druk werd langzaam opgevoerd. “Je merkt meteen hoe weinig informatie je eigenlijk hebt. En hoe je toch geneigd bent om snel conclusies te trekken. Dat gebeurt automatisch,” zegt Hette. “Wat wisten we precies? In de eerste ronde wisten we alleen dat een extern softwarepakket, dat door de school werd gebruikt, was gehackt. Er was een vermoeden dat interne systemen en NAW-gegevens van leerlingen mogelijk waren buitgemaakt. In de tweede ronde bleek dat hackers via dat externe pakket daadwerkelijk waren binnengedrongen in onze omgeving. Toen werd het ineens heel concreet: hoe communiceer je dit naar ouders en medewerkers? Wat zeg je wél en wat juist nog niet?” 

De oefening maakte indruk. “Op een gegeven moment zit je er zo in, dat je het gevoel hebt dat het echt is,” blikt hij terug. “En dan zie je ook wat er gebeurt: mensen vullen zelf dingen in, willen snel reageren. Maar juist dan moet je rust houden en goed nadenken over wat je zegt – en tegen wie.” Hij vat het krachtig samen: “Je kunt honderd keer praten over een hack, maar als je in zo’n setting zit, dan voel je het pas echt.” 

Rollen, structuur en communicatie 

Wat Hette vooral bijbleef, was het belang van duidelijke rollen en afspraken binnen het team. “Wie communiceert er met wie? Wie registreert alle stappen die worden genomen? Dat moet je vooraf goed afspreken. Want in een crisis heb je geen tijd meer om daar nog over na te denken.” 

Opvallend was hoe deelnemers tijdens de training automatisch bepaalde rollen op zich namen. “Je zag iemand ineens de voorzitterrol pakken, een ander begon automatisch te notuleren, weer iemand anders ging op zoek naar extra informatie,” vertelt Hette. “Dat ging bijna vanzelf, maar het liet wel zien hoe belangrijk het is om die rollen vooraf duidelijk te maken.”  

De training gaf hier ook concrete tips voor: stel altijd een voorzitter aan én een vervanger, wijs een ‘logger’ aan die alles documenteert, en zorg dat iemand verantwoordelijk is voor de communicatie – zowel intern als extern. “Als dat niet duidelijk is, krijg je chaos,” aldus Hette. “Structuur en duidelijke taakverdeling zijn cruciaal. En dit moet je dus écht vooraf doen, niet pas tijdens de crisis.”  

Bewustwording en direct aan de slag 

Voor Hette zat de grootste winst van de training in het hernieuwde bewustzijn van de afhankelijkheid van ICT. “Je wordt je opnieuw bewust van hoe kwetsbaar je bent als alles digitaal is geregeld,” vertelt hij. “Dat lijkt vanzelfsprekend te werken – tot het misgaat.” 

De training was dan ook meteen aanleiding om bij NoorderBasis in actie te komen. Er werden noodaccounts ingericht, essentiële gegevens op papier vastgelegd en er kwam meer aandacht voor cyberbewustzijn binnen de scholen. “Het klinkt ouderwets, maar soms is een papieren lijstje met belangrijke telefoonnummers gewoon je redding. Je denkt al snel: alles staat toch in de cloud? Maar als je daar even niet bij kunt, sta je met lege handen.” 

Mystery Guest als reality check 

Een week na de training vond toevallig ook een geplande ‘mystery guest’ plaats op twee scholen binnen de vereniging. Dit was een test die door NoorderBasis zelf werd georganiseerd om te kijken hoe kwetsbaar de organisatie was voor een insider-aanval. “De ‘mystery guest’ kwam met een Canon-shirt en een verhaal over printerupdates. Binnen no-time kreeg hij koffie en toegang tot het systeem. Niemand had door dat het nep was. Dat zegt iets over hoe snel vertrouwen wordt gegeven.” 

Voor NoorderBasis was dit een extra wake-upcall. “Zo’n test maakt heel tastbaar hoe kwetsbaar je bent, juist als mensen het goed bedoelen. Je moet blijven oefenen, want alleen dan zie je waar het mis kan gaan,” zegt Hette. De actie leidde direct tot nieuwe interne afspraken. Zo wordt er voortaan altijd doorgevraagd wanneer iemand namens een bedrijf zegt onderhoud te komen doen. Medewerkers nemen dan contact op met het bestuurskantoor ter verificatie. En als iemand zich niet vooraf heeft aangekondigd, wordt dat eerst nagevraagd. Tegelijk blijft de open cultuur van de vereniging belangrijk: waakzaamheid én gastvrijheid kunnen prima samengaan, zolang de afspraken duidelijk zijn. 

“Samen kom je verder” 

Hette is enthousiast over de CCRC-training en raadt deze dan ook zeker aan. “Niet alleen voor ICT’ers, maar juist ook voor bestuurders en beleidsmedewerkers. Want de impact van een incident raakt de hele organisatie. En hoe breder je dat bewustzijn deelt, hoe beter je samen kunt handelen.” 

Hij nodigde zelfs andere onderwijsorganisaties uit om deel te nemen. “Twee daarvan zijn inmiddels al lid geworden van het BIC netwerk van APS IT-diensten. Je leert van elkaar. Dat is het mooie: je hoeft het niet alleen te doen.”