Het hoger onderwijs weet beter wat te doen bij een cyberaanval. Toch kan de communicatie beter en zijn er te weinig experts die het probleem kunnen oplossen.
Afgelopen najaar viel een hacker vijftig instellingen aan. Niemand kon meer bij zijn bestanden. De hacker had ze versleuteld met gijzelsoftware en wilde geld zien voordat hij ze weer toegankelijk maakte. De simulatie was georganiseerd door Surfnet, de ict-samenwerkingsorganisatie van het onderwijs en onderzoek. Die simuleerde voor de tweede keer een cyberoefening waar veel universiteiten en hogescholen aan meededen.
Tijdens de nagebootste cyberaanval bleek vooral de interne communicatie een groot struikelblok, blijkt uit de evaluatie. Ict’ers gebruikten technisch vakjargon dat door bestuurders niet altijd werd begrepen. Ze gingen er te vaak vanuit dat bestuurders wel enige ict-kennis hadden.
Als de boodschap wel goed aankwam, zeiden bestuurders vervolgens niet wat ze met die informatie gedaan hadden of gebruikten ze heel ambtelijke taal, zegt woordvoerder Charlie van Genuchten. “Het is voor ict’ers heel frustrerend als ze niet weten welke beslissingen er van hogerhand worden genomen.”
Hoe ging dat op de TU Delft?
Aan de TU Delft speelde bij deze oefening het probleem van ict-jargon richting bestuurders niet, zegt oefenleider Sebastiaan Star. Volgens hem was het vooral lastig om beslissingen van bestuurders te vertalen naar de ict-werkvloer. “De directeur besloot alle ict-voorzieningen uit te zetten, maar op de werkvloer was onduidelijk wat werd bedoeld met ‘alles uitzetten’. Is dat echt alles, of kun je dingen ook gefaseerd uitzetten? Moet de studentenadministratie uit? De administratie van de dienst Human Resources? Als je het gebouwbeheersysteem uitschakelt, werken alarmen niet meer en moet je panden ontruimen. Er werd niet uitgelegd waarom iets werd besloten. Dat geeft onvrede, maar de beslissing was wel goed.”
Ook kwam tijdens de ‘digitale brandoefening’ naar voren dat veel instellingen geen crisisplan voor cyberaanvallen paraat hebben. En de handboeken die er liggen, zijn vaak verouderd. Ook de TU Delft had tijdens de oefening niet een echt cyberplan voorhanden, meldt Star. “Dat is een pijnlijk punt. Er wordt nu keihard aan gewerkt.”
Te weinig mensen
Uit de landelijke evaluatie bleek verder dat er vaak te weinig mensen in huis waren met de vereiste specialistische kennis, waardoor het langer duurde om de aanval onder controle te krijgen. Binnen de TU Delft was volgens Star iedereen ‘in huis’. “Wel is het zo dat als een aanval meer dagen gaat duren, je iets met een ploegendienst zult moeten doen om de klok rond te werken”, aldus Star.
“De meeste instellingen in het hoger onderwijs hebben cyberexperts”, zegt Van Genuchten. “Sommigen van hen deden niet mee met de oefening en dus waren hun collega’s aan zet. We zagen dat de kennis voor een specifiek probleem vaak maar bij één persoon ligt. Als die onbereikbaar is, heb je een probleem.” De TU Delft heeft meer van deze cyberexperts in huis. “Daarin zijn wij uitzonderlijk”, zegt Star die de oefening ‘waardevol en leuk’ noemt.
Rommelig
De organisatie rond een crisissituatie is rommelig te noemen, zo blijkt uit de evaluatie. In crisisteams op hoger niveau is de rolverdeling vaak wel duidelijk, maar binnen ict-teams veel minder. Dat roept de vraag op of er niet één coördinerende partij moet zijn die de regie neemt bij een cybercrisis, zoals het ministerie van Onderwijs. Daarover is Surfnet nu samen met universiteiten en hogescholen in gesprek.
Star vindt dat het er bij de TU Delft niet rommelig aan toeging. “Binnen ict hebben we een escalatiemanager die aanspreekpunt is én link naar het grotere crisisteam.” Het wrange was dat de escalatiemanager van dienst – Star zelf – tijdens de oefening oefenleider was voor de TU. Een collega had zijn rol als escalatiemanager moeten overnemen, maar dat was er bij ingeschoten.
Sneller in actie
Overigens kwamen de deelnemende instellingen sneller in actie bij de cyberoefening dan twee jaar geleden. Ze zochten direct contact met elkaar en kregen eerder grip op de situatie. Ook deden er twee keer zoveel deelnemers mee, waaronder ook mbo-scholen, academische ziekenhuizen en onderzoeksinstellingen.
De TU nam bij deze oefening deel op het ‘niveau zilver’, dat wil zeggen dat de communicatie liep tot op het niveau van de directeur ict. Als die besluiten nam die ook andere directeuren of het college van bestuur zouden raken, moest hij daarover een responscel informeren met daarin oefenleiders van Surf en andere universiteiten. Voor 2020 wil de TU Delft meedoen op niveau ‘goud’, het niveau waarbij ook het college van bestuur meedoet aan de oefening.
HOP, Inge Schouten / Delta, Connie van Uffelen
Heb je een vraag of opmerking over dit artikel?
redactie@hogeronderwijspersbureau.nl
Comments are closed.