Crisis oefeningen

9/27/2016

1

Crisis oefeningenCrisis oefeningen

Roeland de Koning

BCI Forum september 2016

Roeland de Koning

BCI Forum september 2016

Copyright © 2016 Capgemini Consulting. All rights reserved. 2

Organisatie Scenario Ervaringen

Inhoud

Introductie en doel11

Exercise for success2

Crisisoefening ISIDOOR3

Meet & Greet met ISIDOOR4

Vragen en discussie5

2

5

1

4

3

9/27/2016

2


Perspectief van uw spreker…


Een verhaal over ISIDOOR

9/27/2016

3


Wanneer is het crisis?


Vraag 1: Wat zijn de drie belangrijkste leerpunten na een crisissituatie?

1. Verbeter de informatie voorziening met meer feiten.

2. Interne en externe communicatie zijn cruciaal en moeten beter.

3. Besluitvorming moet sneller en beter

9/27/2016

4


� Data lek/ diefstal bij een ziekenhuis

� Uitbraak van het Pobelka virus

� DDOS-aanvallen op banken en overheidswebsites

� Hack van een grote ICT service provider

� Onbetrouwbaarheid van certificaten (Diginotar)

� Uitbraak Dorifel virus

� Onderdeel zijn van een Botnet

� Bemetting met Stuxnet malware

Vraag 2: Wat was de laatste nationale cyber crisis in Nederland?

� Op 3 September 2011 Verscheen minister Donner (BZK) live op TV : “Toegang tot overheidswebsites is niet betrouwbaar”


Vraag 3: Zijn we in Nederland goed voorbereid op een digitale crisis?

� Hoeveel procent van de Nederlanders denkt dat we goed zijn voorbereid?

Uit onderzoek blijkt dat slechts 12% van de Nederlanders denkt dat de overheid goed is

voorbereid op de uitval van digitale dienstverlening.

Bron: Onderzoek TNS NIPO voor ‘Trends in Veiligheid’;

https://www.trendsinveiligheid.nl/download.php?p=tiv2015_17_veerkracht_bijuitval_van_digitale_dienstverlening.pdf

9/27/2016

5



Inhoud






2

5

1

4

3


Waarom moeten organisaties hun crisisfuncties beoefenen?

Wat als er een brand uit

breekt in een locatie en de

samenwerking met de

veiligheidsregio verloopt niet

goed. Hoe zorgen we dat er

geen gewonden vallen?

“Als we een omvangrijke crisis

hebben ….Is onze respons adequaat

genoeg? Wat als er sprake is van

een klein incident, handelen we dan

goed, zijn we in staat om het klein te

houden?...”

“Heeft mijn team de juiste ‘resources’ op het

juiste moment en op de juiste plaats? Kan ik ze

op het juiste moment op de juiste plaats

krijgen? ...”

Het bewustzijn ten aanzien

van de crisisrol is erg

wisselend per locatie en

verantwoordelijke- hoe

zorgen we voor een adequate

aanpak.

“Als we gevoelige data

verliezen en we

reageren niet adequaat

staat het breed in de

pers en moet de

minister naar de

Tweede Kamer ”

“Ik ben er niet zeker van dat

Communicatie echt weet wat

er gaande is bij een crisis . Als zij

het niet goed oppakken..

moeten we de respons breder

trekken.”

“Zijn onze mensen wel

voldoende getraind op

onverwachte situaties. Kennen

zij de voorgeschreven

procedures. Krijg ik wel de juiste

informatie”

9/27/2016

6


Soorten crisisoefeningen


Een scenario is het hart van de oefening

Jigsaw approach

9/27/2016

7


Scenario bouwen

Het oefendoel is de basis voor het ontwikkelen van een scenario

InjectsInjects

Scenario

Events

Scenario

EventsBackground

Storyline

Background

Storyline

ObjectivesObjectives



Inhoud



Crisis oefening ISIDOOR33



2

5

1

4

3

9/27/2016

8








2

5

1

4

3

Inhoud


NCSC oefening: Een paar cijfers

• Ruim 6 maanden voorbereidingstijd samen met publiek en privaat

• De eerste operationele oefening op nationaal niveau tav een ICT-crisis

• Een oefening verspreid over 4 dagen

• Meer dan 30 spelende organisaties

• 4 vitale sectoren

• 14 private organisaties en 16 publieke organisaties

• Alle operationele overheidsdiensten op het gebied van cybersecurity

• Ruim 200 spelers

• 12,5% van de oefentijd is ingeruimd voor leren en evaluatie

• 20 oefenvoorbereiders

• Meer dan 200 injects voorbereid waaronder

– Malware, images van servers, versleutelde datasets

– Media berichten

– Een gesimuleerde crisisstructuur

9/27/2016

9


Test Objectives

Scope & expectationslevel of target audience - level of exercise (tactical, operational etc) - number of people - time - content -format

Detailed planning

Content creation Exercise control

Storyline

-

Write scenario

-

Build Main Event List

-

Build injects

Roles

-

Phasing of exercise

-

Tools & technology

-

Facilitator/ Control/ Observation

(of what and who)

Improvement planning

Debrief and Evaluation

Exercise execution

Business

InvolvementInvolve

Stakeholders

in iterations

Stap voor stap bouwen aan een multi stakeholder oefening op maat

Bouwstenen voor het organiseren van een oefening


Deelname met verschillende inspanning en ambities

� Goud

� Zilver

� Brons

9/27/2016

10








2

5

1

4

3

Inhoud


Background en storyline

Setting the scene middels een aantal fictieve entiteiten

9/27/2016

11



Een main eventlist om de oefening te besturen

Code Tijd Soort Vermoedelijke

zender

Ontvanger Inject inhoud Bijlage Doel en te verwachten acties

van de inject

ma-001 08.15 Mail Oefenleiding Allen START OEFENING: SUCCES! Beste spelers van oefening

ISIDOOR. Met dit bericht is de oefening officieel

gestart. We wensen jul l ie veel succes deze week. Zorg

ervoor dat alle communicatie in de oefening altijd

wordt gemarkeerd met de woorden: OEFENING

ISIDOOR. Daarnaast dient u al leen gebruik te maken

van de contacten die staan opgenomen in het

Oefening Adresboek. Wilt u iemand spreken die niet

als speler staat opgenomen in het Oefening

Adresboek? Benader dan het algemene nummer van

de responscel. Wij wensen jul l ie een leerzame

oefening. Namens project team Oefening Isidoor,

Roeland de Koning

ma-002 08.15 Media Pastebin Allen Pastebin Defensie data Word fi le

Defensie

ma-003 08.15 Blog Media Allen Informatie van Defensie op straat

Het Nederlandse ministerie van Defensie gaat slordig

om met informatie. Een e-mail (zie bijlage) van het

departement l igt op straat. Uit de tekst bl i jkt dat de

tactische brandstofvoorraad, als gevolg van het

handelsembargo tegen Paladonië, onder het

minimale niveau is gezakt. Wat houdt dat in? Dat

Nederland zich zorgen moet gaan maken en dat

Defensie ervoor moet zorgen dat het handelsembargo

wordt opgeheven.

Stop het handelsembargo!

[Screenshot interne defensie mail met headers en

DepV classificering]

Screenshot

mail

Doel: trigger Defensie traject

intern. Te verwachten acties:

Defensie interne processen.

Doel 2: Dit bericht zal naast

Defensie mogelijk ook EZ

triggeren vanwege de

brandstofvoorraad die wordt

genoemd. Te verwachten

acties: EZ neemt contact op met

Defensie.

ma-004 08.20 Telefoon Defensie Intern Defensie

Intern

Melding lekken info

ma-005 Observatie Defensie Intern Defensie

Intern

Informatiestroom inlichtingen rapport

NCSC nog in reguliere situatie

Te verwachten acties en observaties zijn groen gearceerd

9/27/2016

12


Voorbeelden van Injects

23








2

5

1

4

3

Inhoud

9/27/2016

13


Ervaringen


Een impressie

26

9/27/2016

14


Vijf belangrijkste generieke conclusies

1. Er moet meer op deze wijze geoefend worden (jaarlijks)

2. Meer helderheid over de werking van het systeem op nationaal niveau voor sectoren

3. Interne lessen voor deelnemende organisaties

1. Inzicht in preparatie resources

2. Er wordt te veel op eilandjes gewerkt, noodzaak tot afstemming met buiten

3. Aanscherpen procedures noodzakelijk

4. Verbeteren van de informatie voorziening

5. Aanscherpen opschallingsprocessen

Maar vooral het bouwen van het netwerk is van cruciale waarden!


Inhoud



Meet & Greet2



Vragen & discussie5

2

5

1

4

3

9/27/2016

15



Inhoud






Vragen en Discussie?55

2

5

1

4

3

9/27/2016

16


Dank U!

Drs. Roeland de Koning

Principal Consultant

Security & Privacy

Capgemini Consulting

Reykjavikplein 1

PO Box 2575 – 3500 GN Utrecht

M-Phone: +31 (0)6 22206055

E-Mail: [email protected]

Photo