ISIDOOR is, anders dan de schrijfwijze in capslock wellicht doet vermoeden, geen toevallige afkorting zoals CERT of OKTT. Het is een verwijzing naar Isidorus van Sevilla, de beschermheilige van het internet. De derde editie van de grootste nationale cybercrisisoefening werd door omstandigheden een aantal malen uitgesteld, maar vond in juni 2021 uiteindelijk plaats. We spraken met twee experts die nauw betrokken waren bij de voorbereiding, uitvoering en evaluatie van ISIDOOR 2021.
Wat is ISIDOOR en waarom is ISIDOOR belangrijk?
Kees: ‘ISIDOOR is voor zover ik weet de enige nationale cybercrisisoefening. In ISIDOOR oefent een groot deel van het cyberlandschap gezamenlijk op cybersecurity. Dat landschap is de afgelopen jaren wel wat breder geworden en de oefening dus ook. Inmiddels doen er bijna 100 organisaties mee. Het is een unieke kans om veel organisaties te laten samenwerken op een thema dat steeds belangrijker wordt. Andere momenten om op deze manier die samenwerking te testen zijn er niet, tenzij er een echte crisis is.’
ISIDOOR is een grootschalige oefening van een cybercrisis met maatschappij ontwrichtende gevolgen, georganiseerd door het NCSC en de NCTV, in samenwerking met het COT en Fox-IT. Tijdens ISIDOOR worden afspraken, structuren en processen uit het Nationaal Crisisplan Digitaal (NCP-Digitaal) beoefend. De Rijksoverheid oefent met organisaties binnen de vitale infrastructuur aan de hand van een crisisscenario. Daarnaast nemen aan ISIDOOR een aantal veiligheidsregio’s en spelers uit het Landelijk Dekkend Stelsel deel. Door te oefenen kan er tijdens een echte digitale crisis sneller en adequater gehandeld worden.
Sanne: ‘Het is een veilige leeromgeving om te oefenen met een grootschalige crisis. Tijdens zo’n oefening zie je dat je tegen problemen aanloopt, waarvan je blij bent dat je ze tijdens een oefening tegenkomt in plaats van tijdens een echte crisis.’
Hoe ontwikkel je een oefening als ISIDOOR?
Sanne: ‘De wens vanuit het NCSC en de NCTV was om met een wat onbekender scenario te oefenen. Iets wat niet per se voor de hand ligt maar wel realistisch is, omdat het zomaar de crisis van morgen kan zijn. Met de gevolgen van DDoS wordt al veel geoefend en voor ransomware is ook al veel aandacht geweest onder de deelnemers. De keuze viel daarom op data-exfiltratie.’
Kees: ‘Dat moeten we misschien even toelichten. Er is sprake van data-exfiltratie wanneer een actor je netwerk binnendringt en van daaruit belangrijke informatie probeert weg te sluizen. Informatie die wordt gematcht met belangrijke keywords, bijvoorbeeld de hardware die je gebruikt, en die een vervolgactie mogelijk zou kunnen maken. Je kan je bijvoorbeeld voorstellen dat een kwaadwillende partij genteresseerd is in de beveiligingsinformatie van vitale objecten in Nederland of in persoonlijke gegevens van sleutelfiguren in gevoelige strafprocessen om daarmee de maatschappij te ontwrichten.’
Sanne: ‘Het is best een uitdaging om voor zoveel verschillende partijen een oefening te ontwikkelen die voor iedereen relevant is. We hebben ons gericht op kantoorautomatisering, aangezien de vorige oefening gefocust was op procesautomatisering. Op basis van voorbereidende gesprekken met deelnemers leek een zero-daykwetsbaarheid in Microsoft Windows de meest geschikte keuze. Van de 96 deelnemers was er maar een die we langs die weg niet zouden kunnen raken. Deze zero-daykwetsbaarheid stelde de actor in staat om, nadat deze een werknemerslaptop was binnengedrongen, ongezien op plaatsen binnen de organisatie te komen waar belangrijke, sensitieve documenten stonden. Deze bestanden werden langzaam verstuurd naar de server van de aanvaller.’
Wie zijn eigenlijk die deelnemers?
Kees: ‘Deze keer waren het 96 organisaties. Vanuit de Rijksoverheid deden onder meer ministeries, de MIVD en AIVD, het OM, de politie, het DTC, het NCSC en de NCTV mee. Vanuit de vitale sectoren waren dat bijvoorbeeld de netwerkbeheerders, drinkwaterbedrijven, een aantal waterschappen, RWS, Prorail, NS, een aantal banken en de DNB.’
Sanne: ‘Dat er zoveel verschillende soorten organisaties deelnamen vond ik een mooie uitdaging. Er waren grote organisaties bij met een hele afdeling die zich bezighoudt met digitale veiligheid, maar ook bijvoorbeeld een waterschap met maar een technisch specialist.’
Kees: ‘We wilden dat iedereen uiteindelijk in dezelfde film zou zitten, maar iedereen hetzelfde verhaal laten oefenen werkt niet. We konden ook niet voor iedere organisatie een kant en klaar uitgewerkte oefening met scenario en injects leveren, maar tot op zekere hoogte was maatwerk mogelijk.’
Hoe zag het scenario van die ‘oefenfilm’ eruit?
Sanne:' ‘De kern van het probleem - behoorlijke hoeveelheden data die werden geëxfiltreerd naar een kwaadwillende statelijke actor - was voor alle deelnemers hetzelfde. Welke data er werd gestolen en op welke manier verschilde per organisatie. Met de totstandkoming van het scenario hebben verschillende afdelingen, zoals Threat Intelligence of Red Team, input geleverd om tot een realistische dreiging te komen van een specifieke, fictieve statelijke actor. Deelnemers zoals het ministerie van Buitenlandse Zaken hebben geholpen om het landen- en groepenprofiel van de fictieve statelijke actor op te stellen: Frambozië of, in het Engels, Raspberia.’
Kees: ‘De deelnemers zouden er pas halverwege de oefening achterkomen dat er iets nog ergers was dan waar ze in eerste instantie mee geconfronteerd werden. Toen bleek namelijk dat de exfiltratie al twee maanden bezig was. Hoe ze binnen zijn gekomen, daar kwamen ze niet echt achter. Ook welke data er gestolen was, werd niet meteen duidelijk. Hier zijn de organisaties erg druk mee geweest. Dat leverde een mooi onzekerheidsprobleem op: je weet dat er iets weg is, je weet voor een deel wat het is, maar niet wat ermee gedaan zal worden en wat de gevolgen voor je organisatie zullen zijn. Het zorgde voor mooie gesprekken en een interessante dynamiek in de teams en tussen organisaties onderling.’
Dat klinkt toch nog wat abstract, hoe moeten we zo’n dag voor ons zien?
Sanne: ‘In totaal deden tussen 1500 en 2000 mensen door het hele land mee. De meeste deelnemers deden dat op afstand. Via een oefenportaal kregen zij alle oefeninformatie mee.’
Kees: ‘Een van onze grote angsten was dat er echt iets zou gebeuren tijdens de oefening. Daarom hebben we bewust gekozen om de oefening afgesloten van de realiteit in een aparte portal te organiseren. En natuurlijk vooraf niet breed te communiceren over oefendata en communicatiemiddelen die we dan zouden gebruiken.’
Sanne: ‘Op gezette tijden kregen deelnemers nieuwe informatie uit het scenario. De aanvallen waren vooraf uitgevoerd in onze lab-omgeving met organisatiespecifieke dummybestanden. Iedere organisatie kreeg daar tijdens de oefening een dataset van met logbestanden, packet captures, geheugendumps etcetera die door de eigen cyberteams onderzocht konden worden. Al deze bestanden vormden samen een goed beeld van de aanval die de actor op hun systemen had uitgevoerd.’
Kees: ‘De portal was de hoofdas van de oefening. Daarnaast hadden we een mediacel waarin nieuwsberichten werden gepubliceerd, zodat deelnemers ook meekregen hoe de buitenwereld omgaat met een dergelijke crisis. Aan onze kant was een team van zo’n 350-400 mensen actief. Zij waren ingedeeld als evaluator, oefenleider of in verschillende responscellen waarin de rol van niet deelnemende organisaties werd gesimuleerd. Denk bijvoorbeeld aan de Autoriteit Persoonsgegevens en internationale spelers, maar ook aan journalisten die kritische vragen stellen, burgers die de callcenters benaderen en organisaties die aangiften doen.’
Sanne: ‘Fox-IT vormde een technische responscel. Zij speelden de verschillende forensische partijen. Want als er echt iets aan de hand is, zullen deelnemers ook hun eigen commerciële forensische partij bellen. Zo konden deelnemers tijdens deze oefening vasthouden aan hun normale proces en daarmee oefenen.’
Kees: ‘Deelnemende organisaties startten met mensen van de technische en crisisafdelingen. Gedurende de oefening werd opgeschaald en zijn ook communicatie-experts en bestuurders aangehaakt. Dat het ook op tafel kwam in de boardroom, daar zijn we heel blij mee: het helpt de bewustwording binnen de organisatie echt vooruit. Het klinkt nu trouwens allemaal heel serieus, maar we hebben ook veel lol gehad.’
Sanne: ‘Het was echt leuk om aan mee te doen. Doordat het goed voorbereid was, hadden wij zelf onze handen vrij om te observeren hoe de deelnemers met de crisis omgingen.’
Wat zijn belangrijkste lessen die jullie uit de oefening hebben meegenomen?
Kees: ‘Binnen het cyberstelsel is het belangrijk om snel informatie te verzamelen, te duiden en vervolgens te delen, zodat iedereen weet wat er speelt en wat er moet gebeuren. Het NCSC speelt hier als nationale CERT een sleutelrol in. Tijdens de oefening kwam naar voren dat dit proces niet altijd vlekkeloos verloopt. Op gebied van samenwerking en informatieuitwisseling binnen het cyberstelsel is tijdens crisissituaties ruimte voor verbetering, met name wat betreft rol- en taakverdeling. Iets wat we wel wisten van eerdere incidenten, maar wat hier nog eens extra werd onderstreept.’
Sanne: ‘Tijdens het proces bleek dat enerzijds managers en crisisbeheersers en anderzijds techneuten een totaal verschillende taal spreken. Dat merkten we intern en in de voorbereiding, maar ook tijdens oefening. Beide partijen doen wat ze gewend zijn te doen en dat sluit niet altijd op elkaar aan. Tijdens een crisis merk je dat natuurlijk meteen. Er moet veel meer gepraat en geluisterd worden onderling, ook buiten crisistijd.’
Kees: ‘Voor ons als organisatie is er nog werk aan de winkel op gebied van informatiemanagement. Tijdens de oefening zijn veel partijen op de lijn gekomen die een probleem hadden. In totaal kregen we te maken met 171 unieke contacten. We zien nu dat we niet per se alle informatie krijgen die we nodig hebben om onze rol als nationale CERT goed te kunnen pakken. Partijen vinden ons wel, maar met wat ze delen kunnen we niet altijd iets. Dit vraagt om verwachtingenmanagement over en weer, want de buitenwereld heeft wel hoge verwachtingen van ons. Tegelijk ontvangen we ook vaak te laat info van partijen. Doordat organisaties eerst zelf aan de slag gaan en ons niet direct informeren. Die stroom van informatie verbeteren is een belangrijk actiepunt voor de komende jaren. Om zelf eerder info te mogen delen met derden, moeten er bovendien stappen gezet worden in het stelsel.’
Zijn er ook lessen op gebied van externe communicatie te trekken?
Kees: ‘Hoe organisaties omgingen met externe communicatie was heel verschillend. Sommige deelnemers deden aangifte bij de politie van dingen die er niet waren, bijvoorbeeld van een ransomwareaanval. Sommigen hielden de communicatielijn aan dat er helemaal niks aan de hand was. Anderen zeiden wat het meest wenselijk is: er is iets aan de hand, we weten nog niet wat en we zijn het aan het onderzoeken.’
Sanne: ‘Deelnemers werden tijdens de oefening wel uitgedaagd ook op dit vlak. Organisaties die zeiden ‘er is niets aan de hand’ werden gebeld door kritische ‘journalisten’ uit de mediacel. Aangiftes van ransomware werden nagebeld door de politie met de vraag om meer details, zodat de deelnemer erachter kwam dat de snel getrokken conclusie niet klopte. Zo heeft iedere organisatie op communicatievlak zijn lessen kunnen trekken.’
Zijn er al plannen voor een volgende editie?
Kees: ‘De evaluatie van ISIDOOR is inmiddels klaar en gedeeld met de Tweede Kamer. Op basis van deze evaluatie wordt de cyberstrategie van het nieuwe kabinet gebaseerd. Daarnaast zitten we nu een beetje in de ISIDOOR roadshow, waarin we lessen delen met andere partijen. Binnenkort gaan we nadenken over een nieuwe editie. Waarschijnlijk wordt de oefening niet kleiner, want het speelveld groeit. Formeel is het overigens aan het nieuwe kabinet om te besluiten nog een oefening te doen, maar ik kan me gezien het toenemende belang van het thema niet voorstellen dat ze het niet doen.’