Tekst BKB
Foto Aron Vellekoop León, Moze Mertens & Rijksoverheid
Het NCSC moet klaarstaan voor het grootste ICT-incident, zo sprak directeur Hans de Vries in de eerste editie van het NCSC magazine. Maar hoe bereid je je voor op iets waarvan je niet weet wat het is? We spreken met Joris Knops, die vanuit zijn rol als coördinator crisispreparatie het NCSC zo goed mogelijk probeert voor te bereiden op een crisis. "Je denkt scenario’s uit. Maar uiteindelijk is het altijd anders, zoals bij Citrix het geval was."
‘In Nederland willen we onheil het liefst voorkomen. Daarom bouwen we dijken om het water tegen te houden. En hebben we op cybergebied het NCSC, dat informatie verzamelt en verspreidt om zo digitaal onheil en maatschappelijke ontwrichting voor te zijn.’
‘Maar soms gaat het toch mis. Als er een crisis ontstaat, dan moet je als het ware dweilen met de kraan open om de oorzaak weg te nemen en de negatieve gevolgen zoveel mogelijk te beheersen. Dan kun je maar beter voorbereid zijn. Als team crisispreparatie zorgen wij ervoor dat de crisisorganisatie is ingericht. Dat de procedures en faciliteiten aanwezig zijn en de mensen opgeleid, getraind en op elkaar ingespeeld zijn.'
Webdossier: Veilig thuiswerken
Wegens het coronavirus werken veel mensen vanuit huis. Het is belangrijk om in deze situatie aandacht te hebben voor de informatiebeveiliging. Daarom besloot het NCSC hier informatie over te geven door het webdossier Veilig thuiswerken te publiceren.
Organisatie
‘Een crisis vereist een andere organisatorische setting dan normaal. Eén die hopelijk maar heel weinig voorkomt. Dat is anders dan een normale situatie, waarin je doorlopend feedback krijgt op hoe je je werk doet. Ook de inrichting van de organisatie wordt in een normale situatie bijna dagelijks getoetst en daar pas je dan je procedures, organisatie en systemen op aan. In een crisissituatie geldt dat niet. Op het moment dat de crisis uitbreekt moet de organisatie staan als een huis en is er geen tijd meer het om het dak te repareren.’
‘Je bereidt scenario’s voor. Maar in de praktijk is bijna alles wat je bedacht hebt net iets anders. Dat maakt crisispreparatie ook ongrijpbaar. In een crisis moet je snel schakelen en je kunnen aanpassen aan de situatie. Je moet dan accepteren dat een 7 ook een voldoende is, terwijl je in je dagelijkse werk als ambtenaar altijd voor een 10 gaat. In een crisis is daar geen tijd voor.’
‘Een crisis is dan ook topsport. Het vereist leiderschap. Je maakt beslissingen op basis van onvolledige informatie en handelt omdat je op dat moment denkt dat dat het beste besluit is. De verantwoording vindt achteraf plaats. Mensen die houvast zoeken in regels en structuren gedijen niet in een crisis. Improviseren is belangrijk in een crisis, maar nooit het startpunt. Daarom zorg je altijd dat je de basis op orde hebt. Vanuit daar kun je je improvisatievermogen gebruiken. Noem het gecoördineerd improviseren.’
Denise de Bruyn (Projectleider) over ISIDOOR:
“Vanaf 2019 ben ik betrokken bij de organisatie van ISIDOOR. De tweejaarlijkse cybercrisisoefening georganiseerd door het NCSC en samenwerkingspartners. Met meer dan 100 organisaties gaan wij aan de slag met een technische uitdaging, beoefenen we onze samenwerking en de (cyber)crisisstructuur op nationaal niveau.”
Oefenen en meer
‘Bij crisispreparatie denkt men al snel aan oefenen. Oefenen is belangrijk en doen we vooral om de opgestelde procedures te testen. Om te kijken of wat je bedacht hebt ook in de praktijk werkt. Een voorwaarde voordat je gaat oefenen is dat je de handboeken en procedures op orde hebt. Daarna ga je de mensen van het crisisteam opleiden en trainen. Je moet de mensen namelijk wel eerst vertellen wat er in de handboeken staat en ze moeten weten hoe ze het ook kunnen uitvoeren. Pas daarna kun je oefenen. Dat doe je stapsgewijs. Je begint in klein verband en bouwt op naar een grote oefening. Oefenen heeft ook pas zin als de oefendoelen zo concreet mogelijk geformuleerd zijn. Een oefening met bijvoorbeeld het doel om “de communicatie tussen twee organisaties te testen in een crisis” is niet concreet genoeg. Je moet je afvragen wat je precies wil dat er gebeurt in de samenwerking tussen deze twee organisaties. Denk bijvoorbeeld aan: “Op dag twee van de crisis moet er een gezamenlijke communicatieboodschap gemaakt zijn”, dat zou een beter oefendoel zijn. Crisisbeheersing is ook vooral samenwerken. Met partners die je in de voorbereiding hebt geïdentificeerd en leren kennen, maar ook met onverwachte partners. Wie had verwacht dat in de coronacrisis virologen met onderwijskundigen moesten gaan samenwerken om te bepalen of en op welke wijze het onderwijs weer door kon gaan?’
‘Na een oefening is het cruciaal dat je evalueert, daar vervolgstappen aan verbindt en daarmee de cyclus weer sluit. Bij Defensie onderscheiden ze twee stappen: lessons identified en lessons implemented. Niet een mooi dik evaluatierapport dat in de la verdwijnt. Nee, de cirkel is pas rond als dat wat je geleerd hebt ook in de nieuwe procedures en organisatorisch is ingebed en de mensen opnieuw opgeleid en getraind zijn. Oefenen is één stap in de hele keten die moet zorgen voor een kwalitatief goede crisisorganisatie.’
WRR 'Voorbereiden op digitale ontwrichting'
De WRR bracht in september 2019 het rapport ‘Voorbereiden op digitale ontwrichting’ uit, dat zich richt op de risico’s van digitalisering voor de maatschappij. Met de digitale afhankelijkheid groeit ook het belang van digitale weerbaarheid. Daarnaast benadrukt de WRR dat het belangrijk is om goed voorbereid te zijn voor als het mis gaat, onder andere door te oefenen. De WRR sluit hiermee aan bij de aankondiging van het kabinet vorige zomer om te starten met een publiek-private oefenagenda, waar ISIDOOR onderdeel van uitmaakt.
Trainer
‘Bij een crisis zorg je dat de handboeken en procedures aanwezig zijn zodat de mensen weten wat ze moeten doen en daar ook toe in staat zijn. Tevens zorg je ervoor dat de organisatie op orde is en de faciliteiten beschikbaar zijn. Je denkt alle mogelijke scenario’s uit zodat als het ondenkbare werkelijkheid wordt, het crisisteam weet wat ze moet doen en klaarstaat. Dat is ook waar crisispreparatie stopt. Je draagt dan het stokje over aan het crisisteam. Vervolgens moet je geen trainer zijn die langs de zijlijn nog gaat roepen wat het team fout doet en beter moet doen. Dan ben je te laat. Maar uiteraard kijk je als trainer achteraf wel terug op wat goed is gegaan en wat beter had gekund, zodat je bij de volgende crisis niet weer dezelfde fouten maakt.’