#08 - Het waarom en hoe van een cybercrisisoefening (met Raymond van Kooten)
Welkom terug bij een nieuwe aflevering van Keep Talking. Aflevering 8. En in deze achtste aflevering ga ik in gesprek met Raymond van Kooten, teamleider monitoring en analyse van de gemeente Rotterdam. En in deze aflevering gaat het over het onderwerp de cybercrisesoefening. Waarom zou je daar eigenlijk aan doen?
Speaker 1:Wat behelst het eigenlijk allemaal? Wat komt er allemaal bij kijken? Zoals je in deze aflevering zal horen komt er best wel wat bij kijken en worden er verschillende procedures beoefend in een cybercrisesoefening waarbij vooral de escalatie ofwel het opschalen van operationele naar tactische naar soms zelfs strategische niveaus binnen de organisatie Essentieel. En verder moet je het allemaal zelf maar gaan beluisteren. Het is wat mij betreft weer een geslaagde aflevering geworden.
Speaker 1:Ik hoop ook dat jij het met veel interesse zult beluisteren. Als je nog niet geabonneerd bent op KEtalking, doe dat dan vooral. Dan loopt ook de volgende aflevering automatisch bij je binnen. Veel plezier. Welkom weer in een nieuwe podcast opname.
Speaker 1:Het is altijd spannend. Een nieuwe opname betekent ook een nieuwe gast. En tegenover mij zit de enige echte
Speaker 2:Wie kent hem niet?
Speaker 1:Raymond van Kooten.
Speaker 2:Dank je wel.
Speaker 1:Dit is het moment dat we even applaus doen, hè? Dank dank u. Ik voel me Geert. Helemaal leuk dat je met mij wilde podcasten.
Speaker 2:Zeker.
Speaker 1:We zitten hier in 1 van de Rotterdamse kantoorpanden. Eentje waar jij vaak zit.
Speaker 2:Klopt.
Speaker 1:Kan je, voordat we de inhoud ingaan, iets vertellen over jezelf? Wie is Raymond en wat doe je binnen de gemeente op het gebied van security?
Speaker 2:Dit is mijn thuisbasis. Ik ben daar Raymond van Kooten. Ik ben de teamleider van monitoring, analyse en cybersecurity. En dat behelst 3 teams. Ik heb, ja, de drukke baan.
Speaker 2:Ik heb de security managers vallen onder mij. Het SOK, 7 man. En het NOK, 4 man. En samen proberen wij Rotterdam veilig en cyberveilig en up-and-running te houden.
Speaker 1:Voor wie niet zo thuis is in de materie, wat is het verschil tussen een security manager, een medewerker van het NOC en een medewerker van het SOC? Waarom is het niet 1 groot team met iedereen bij elkaar?
Speaker 2:Ik zie informatiebeveiliging voor cybersecurity eigenlijk op 3 niveaus. Strategisch, tactisch, operationeel. Waarbij de CISO de strategische kaders bepaalt. En wij zitten meer op het tactisch-operationele stuk. Security Managers vertalen het beleid van de CISO naar hapklare brokken voor de organisatie.
Speaker 2:SOC zijn de ogen en oren voor alles wat op cybergebied speelt. Dat is dan het operationele stuk.
Speaker 1:NOK en SOK eindigen allebei op OC, wat ook betekent?
Speaker 2:Operating Center. De ene is security operating centre en het andere is netwerk operating centre waarbij het NOK meer de taak heeft om naar beschikbaarheid performance te kijken. En het SOK meer richting cyberincidenten en cyberafhandeling van incidenten te kijken.
Speaker 1:Ja. Wat bij andere organisaties misschien wel sec op zit, security operations.
Speaker 2:Ja, precies. Daar
Speaker 1:kan je het
Speaker 2:mee vergelijken. Ja, Absoluut.
Speaker 1:En om een gevoel te krijgen bij een security manager. Bij grote organisaties heb je vaak ook decentrale security offices. Die heten ISO's of DISO's of noem het maar wat. Wat is nou het verschil tussen een information security officer en een security manager?
Speaker 2:Ja, Rotterdam is ook dusdanig groot dat we naast de CISO ook nog ondersteunende DISO's hebben. Rotterdam heeft 6 clusters. We hebben ook meerdere DISO's die de clusters ondersteunen. Een beetje op strategisch, tactisch gebied.
Speaker 1:Oké.
Speaker 2:En zitten we meer op de businesskant van het geheel, waarbij security managers wat meer aan het technische vlak van cybersecurity zitten. Samen vormen wij de informatiebeveiligingsketen. Met een man of
Speaker 1:Nou, dat is een aardige club denk ik met elkaar.
Speaker 2:Ja, 25. Als het niet meer is proberen wij dit allemaal onder controle te houden.
Speaker 1:Zijn jullie voor de glimlach?
Speaker 2:Ja, zijn jullie voor de glimlach.
Speaker 1:Ja. Oké. En dus en jij stuurt dus de security managers de Kun je ook zeggen knockers en sokkers? Dat klinkt zo raar,
Speaker 2:Ja, eigenlijk wel hè? Ja. En we hebben ook nog een andere sok in Rotterdam. Dat is sportonderwijs cultuur. Dat maakt het helemaal apart, zeg maar.
Speaker 2:Maar we noemen het toch sokkers en nokkers. Er zijn ook plannen om het een snok te noemen, omdat je ziet wel dat de gebieden van nok en sok steeds dichter naar elkaar groeien.
Speaker 1:Ja, kan ik me voorstellen.
Speaker 2:Toolings die het nok gebruikt zijn eigenlijk al heel erg handig voor het sok. Denk aan logbronverzameling, denk aan monitoring van systemen. Zijn dingen op of uit? Zie je verdacht verkeer op een server? Dat is informatie die je in SOC ook wil weten.
Speaker 2:Dus je ziet werelden wel naar elkaar toe groeien.
Speaker 1:Ja, want jouw team heet monitoring en analyse. Dat verraad dan een beetje wat jullie doen dan.
Speaker 2:Stiekem noem ik het tegenwoordig cybersecurity monitoring en analyse. Onofficieel. Omdat ik vind dat monitoranalyse niet de hele lading covert, zeg maar.
Speaker 1:Nee, dat is misschien wat Wat wekt de indruk dat het misschien meer technisch-operationeel is. Terwijl je ook die security management kant en de heel tactische laag ook afdekt in jouw team.
Speaker 2:Zeker. Dan zie je ook wat we moeten doen op het gebied van informatiebeveiliging. Er zitten heel groot stukken wel techniek in en die pakken wij ook wel op.
Speaker 1:Het is
Speaker 2:veel breder dan dat.
Speaker 1:Ja. Oké. En is dat een leuke baan?
Speaker 2:Soms wel. Ik het geluk om een heel leuk team te hebben. Met hele enthousiaste professionals die dagdagelijks en niet alleen van 9 tot 5 zoals een standaard ambtenaar maar wij durven te zeggen dat wij 247 wel paraat staan om te acteren op het moment dat het nodig is. Dat maakt het wel supercool.
Speaker 1:Ja, als je de hele tijd dat je je eigen omgeving moet monitoren, dan kan je niet zeggen: Ik heb om 11 uur des avonds wat gedetecteerd. En morgenochtend om 9 uur ben je de eerste Of is dat het eerste waar ik mee aan de slag ga?
Speaker 2:Wat je weet kan je niet ontweten.
Speaker 1:Dus je zal -Verplicht je ook tot handelen.
Speaker 2:Het verplichten tot handelen. En dat is supercool en soms ook wel belastend, want incidenten kunnen soms best wel opstapelen. We hebben een hele grote omgeving. Meer dan 1000 applicaties, 50. Duizenden servers, meer dan 100 panden.
Speaker 2:Dus Rotterdam in de context is het supergroot. Dan heb ik het nog niet eens over de OT-omgeving met anderhalf miljoen slimme lantaarnpalen, bruggen, sluizen, noem ik
Speaker 1:het Iets met water hier in Rotterdam?
Speaker 2:Ja, daar hebben we ook iets mee. Tunnels. Zeker. Erasmusbrug. Dus we hebben een hele grote context.
Speaker 2:Daar hebben we ook heel veel mensen voor nodig en heel veel expertise.
Speaker 1:Lukt het jou dan om als teamleider ook die expertise te vinden? Want je bent niet de enige die om specialisten vraagt of roept in deze markt.
Speaker 2:Ik gebruik deze plug-in even om mijn vacature security management onder de aandacht te brengen.
Speaker 1:Hoe vond je mijn voorzitter? Ja, knik
Speaker 2:hem zo eventjes in. Lekker subtiel, hè? Ja, heel subtiel. Op LinkedIn op mijn profiel, Raymondel Kooten. Staat een oproep voor security manager.
Speaker 2:Ik zoek iemand anders. Ik zoek er iemand bij. We hebben zoveel werk te doen. We hebben een security manager nodig. Dus mocht je iemand weten, ben je toevallig zelf die professional?
Speaker 2:Stuur me een briefje. En kijk hoe de hazen lopen.
Speaker 1:Ja, ik heb net wat van jouw team. Ik ken jouw team omdat ik zelf ook voor de gemeente Rotterdam werk, tijdelijk als inhuurkracht. Dus ik ken een aantal van de mensen in jouw team. Want dat zijn mijn collega's in die security keten.
Speaker 2:Ik snap niet dat je weggaat overigens.
Speaker 1:Nee, nee, dat snap ik ook niet. Wij komen net uit een ruimte, heet van de naald zeg maar. Ruimte waar jouw collega's. Ja, letterlijk. Ja, het is extra sportief dat je dan met mij wilde podcasten na deze enerverende dag.
Speaker 1:Want wij hebben een cybercrises oefening gedaan waarbij we hebben gekeken: als er nou wat gebeurt, weten we elkaar dan te vinden, hoe schalen we op, hoe escaleren we, hoe loopt het onderzoek, hoe wordt management geïnformeerd? Daar hebben we vandaag best een enerverende dag achter de rug, tenminste.
Speaker 2:Zeker. Vanaf 9 uur vanochtend zijn we bezig met een oefening. Groots opgezet. Het is goed om in de context van security en de organisatie je procedures in te slijpen. En te blijven oefenen over wat gaat er nou gebeuren op het moment dat er cybercrises is.
Speaker 2:Wat moet je dan doen? Wie pakt dan de rol? Wat is je rol? En hoe pakken we dat samen in het afhandelen van een incident? Dat is best ingewikkeld.
Speaker 1:Dat lijkt mij ook. Misschien dat we de luisteraar iets meer gevoel kunnen geven bij de smaak die we kennen binnen de gemeente Rotterdam. We hebben een security incident respons.
Speaker 2:Ja, wij noemen het de SER, de Cirity Incident Respons Plan. Daar staat in beschreven wie welke rol heeft, Hoe een afhandeling van een incident plaats moet vinden.
Speaker 1:Dat kan komen vanuit NOCSOK?
Speaker 2:Dat kan komen vanuit NOCSOK. Het kan komen vanaf de NCSC- berichtgeving, vanaf de IBD. We hebben ook onze eigen ThreadIntel platform, waarin we warnings krijgen vanuit de leveranciers.
Speaker 1:Dus kwetsbaarheden komen daar binnen?
Speaker 2:De kwetsbaarheden komen eigenlijk van alle kanten binnen. Kan ook gewoon vanuit de servicedesk komen. Of
Speaker 1:de Coördinator of Volnerability Disclosure heb je ook nog.
Speaker 2:Zeker, want Rotterdam heeft een responsivedisclosure. We noemen het tegenwoordig anders, zal ik begrepen inderdaad.
Speaker 1:Ja, struikel er altijd Ik ben best wel blij dat ik hem in 1 keer goed had net. Ik noem
Speaker 2:het gewoon altijd nog RD, dat is makkelijk. Dus vanuit diverse kanalen kan een SER worden opgestart. Doen we ook zeker niet altijd. Maar op het moment dat blijkt dat de impact dusdanig hoog is, dat er extra aandacht nodig is, gaat ons team starten met een SIR.
Speaker 1:Maar er zit een soort triage, waarbij een incident al dan niet wordt gepromoveerd, tussen aanhalingstekens, dat is een securityincident. Klopt.
Speaker 2:Triage bepaalt feitelijk over het vervolg. Triage kan allerlei uitkomsten hebben. 1 van de uitkomsten kan zijn dat er een C-shirt wordt opgestart waarin diverse mensen vanuit heel de organisatie bij elkaar worden getrokken om actie te zetten op bepaald incident.
Speaker 1:C-sert is dan een computer security emergency response team.
Speaker 2:Ik ben blij dat je aan tafel zit.
Speaker 1:Ja. Oké, maar een team in de volksmond gewoon een team wat bijdraagt aan het afhandelen, opvolgen van dat incident.
Speaker 2:Klopt. En die zorgt ervoor dat we van begin tot eind de juiste afhandeling hebben. En dat de juiste dingen gebeuren. En dat servers worden gepatcht. Of dat systemen worden uitgezet tijdelijk.
Speaker 1:En nu heb je dat vandaag geoefend. Hoe ging dat?
Speaker 2:Uitdagend. We oefenden een hele grote verstoring. Een mogelijke verstoring. Dan zie je dat een C-surde heel breed wordt. Met heel veel mensen uit heel de organisatie.
Speaker 2:Waar je dan op moet gaan letten is communicatielijnen, besluitvorming, hoe krijg je dingen geregeld met een groot team. Dat vergt de nodige aandacht.
Speaker 1:Je kunt het op papier natuurlijk heel goed uittekenen, uitwerken en opschrijven. Maar als dat securityincident zich voordoet, moet je onder hoge tijdsdruk zijn rol pakken. Sommige mensen pakken ook een andere rol of vergeten hun rol te pakken. Ik weet niet of dat vandaag in orde was. Ik was er niet bij, maar je kunt het van tevoren allemaal bedenken.
Speaker 1:Uiteindelijk moet je ook als team gewoon goed op elkaar ingespeeld zijn. Je moet elkaar een beetje kennen en dan loopt het of niet.
Speaker 2:Dat klopt. Wat je ziet is dagdagelijks werk, dat loopt altijd. Iedereen weet dan zijn rol te pakken en iedereen weet ook wat hij moet doen. Maar op het moment dat de druk erop komt,
Speaker 1:Ja precies.
Speaker 2:Ja dan dan dan wordt het interessant. En dat elke incident is weer anders. Elke keer moet je ook anders acteren op het moment dat er een incident is. En soms wordt de druk zo hoog dat mensen ook wel eens vergeten wat de rol is. Of vergeten te communiceren, omdat je zo gefocust bent op de oplossing.
Speaker 2:Ja. Ja, dan is het ook mijn taak en de coördinator Mijn coördinator Adriaan, om de lijntjes strak te houden. En er ook voor zorgen dat je je communicatie in orde houdt. Dat je je management bijschakelt op het moment dat het nodig is. En zodoende dingen tot een goed einde te brengen.
Speaker 1:Wat mij ook lastig lijkt, is dat je in zo'n We praten nog niet over een crisissituatie. We praten hier over een security incident, maar wat wel ongoing kan zijn, waardoor er ook weer steeds nieuwe informatie komt. Dat beoefenen we natuurlijk ook in zo'n oefening. Er is ruis, er is nieuwe informatie, er is veel onduidelijkheid. Mensen moeten daarmee omgaan, weten soms de helft en je weet ook niet welke helft.
Speaker 1:Dus dat is best wel lastig. Je probeert die rol te blijven en op een gegeven moment dan komt er nieuwe informatie. Wordt het eigenlijk toch net anders of toch wel weer net ernstiger dan je had gedacht. Moet je eigenlijk je er weer opnieuw toe verhouden. Dan zijn er managers die om updates vragen.
Speaker 1:Mensen zitten vol in de inhoud. Ja, dat is wel zo. Is dat ook waarom je besluit hier dan resources voor vrij te maken in jouw team? Om te zorgen dat dit spel nu in een fictieve setting, dat dat dan hopelijk wanneer het echt is, ook die situatie heb je meegemaakt, dat het dan lekker loopt of beter loopt. Want het kost best wel Ik zag een hele hoop collega's zitten en die hebben de hele dag met zijn tweeën op de kop bezig.
Speaker 2:Je ziet ook wel dat dagdagelijks werk verdwijnt ook wel naar de achtergrond en iedereen wordt gefocust op de taak die daar voor je ligt. Neemt niet weg dat naast een crisis ook nog een andere crisis kan komen. Dus het is ook altijd wel een beetje verdelen van wie gaat zich nou inzetten voor zo'n crisis en wie let ook op de winkel? De winkel blijft ook over en we hebben nog andere, de 999 andere applicaties die wellicht kwetsbaar zijn. Dus het is altijd wel even een afweging die je moet maken over hoe je dat nou aanpakt.
Speaker 2:Wie pakt nou een incident coördinator rol? Wie gaat de triage doen? Wie gaat logfiles analyseren? Enzovoort.
Speaker 1:Je zegt logfiles, moet denken aan een logger. Wie wordt logger?
Speaker 2:Wie wordt logger? En savanten. Als crisis is afgelopen is die ook niet afgelopen. Dan gaan we de loss erbij halen, evalueren. Wat kunnen we ervan leren?
Speaker 2:En dat is eigenlijk ook wel een beetje het doel van vandaag en morgen. Om te fijnslijpen. We moeten ook niet op onze lauweren rusten en denken van nou we zijn echt supergoed. We hebben een procedure. Het kan wat beter.
Speaker 1:Ja, want we hebben het net even gehad over die SERP. Security Incident Respons Plan. CIRP? CIRP. De
Speaker 2:p is ergens voor de week.
Speaker 1:We hebben ook nog, voor de luisteraar, de MIP. De major incident procedure. De p1 hebben we
Speaker 2:ook nog.
Speaker 1:Kan ons meenemen in hoe je opschaalt langs die procedures? We beginnen bij een incident, bij het SOC bijvoorbeeld. Laten we dat als ingang nemen. Dat gaat door de triage, voor die CIR procedure. Het wordt opgeschaald tot een security incident.
Speaker 1:Gaandeweg blijkt dat het een serieus incident is, met echt serieuze impact op bepaalde applicaties, meerdere applicaties, op de infra, wat dan ook. Een gegeven moment kom je op het punt van: dit overstijgt jouw team. Je bent teamleider MNA. Op een gegeven moment zie jij: dit moet naar boven, hier kan nog wel eens meer achterweg komen. Kom je dan op het terrein van de P1 of is dat al het terrein van de major incident?
Speaker 2:De CIR procedure is echt bedoeld voor security incident. Ja. En de CIR procedure is zeker niet bedoeld om andere procedures weg te nemen. CIR procedure is feitelijk een startpunt om een major incident procedure te starten. Dus mocht het zijn dat het incident ervoor zorgt dat veel dienstverlening richting de burger of de interne klant misloopt.
Speaker 2:Dan wordt daarnaast, naast de SERP procedure, wordt ook een major incident procedure gestart. Omdat daar een hele andere lijn wordt gevolgd. Dan worden klanten geïnformeerd, worden burgers geïnformeerd.
Speaker 1:En klanten zijn clusters van de gemeente.
Speaker 2:Medewerkers. Daar zijn hele goede procedures voor en die willen we ook zeker gebruiken. Dus het is zeer nooit bedoeld om alles aan de kant te laten schuiven. Het is zeer bedoeld om startpunt te zijn voor andere procedures.
Speaker 1:Ja, dus de knip zit hem erin. Dat de impact substantieel wordt op de dienstverlening van 1 of meerdere clusters.
Speaker 2:Klopt. En op het moment dat dat gebeurt, blijft het zeer nog wel bestaan. Want we willen natuurlijk het security incident oplossen.
Speaker 1:Ja, jullie blijven dat gewoon aflopen verder uit.
Speaker 2:Wij blijven dat uitlopen tot mitigatie. En daarnaast wordt de normale IT-dienstverlening ook opgestart. Of servicedesk wordt ingeschakeld met de eigen procedures. Communicatie wordt verzorgd, sms'jes worden verstuurd. Dat wordt allemaal verzorgd door andere procedures.
Speaker 1:Dus die kunnen dan prima een hele tijd parallel aan elkaar lopen?
Speaker 2:Zeker, absoluut. En dat gebeurt in de praktijk ook zeker. Je
Speaker 1:noemde net al dat de crisisoefening binnen de gemeente Rotterdam die we nu hebben lopen een tweedaagse is. Dus we gaan ervan uit dat we deze escalatie naar boven toe ook beoefenen. We beginnen bij de SI, op een gegeven moment zien we impact op dienstverlening van clusters, dan gaat de major incident procedure lopen en dan weet ik, ik ben natuurlijk goed geïnformeerd, dat daar nog iets boven zit. En met boven bedoel ik dan qua escalatieladder, naar boven toe richting het hoge management van de gemeente. Dat heet volgens mij hier dan de concerndirectie.
Speaker 1:Met als algemeen directeur de gemeentesecretaris. Die zal ook de voorzitter zijn van de concern-directie. Niet de voorzitter, maar gewoon de Chef. Chef, mooie term. De chef van de concern-directie.
Speaker 1:Ja, als je op dat niveau komt, dan is de impact eigenlijk nog weer een tandje groter. Dan is het niet 1 of 2 clusters wat al serieuze afdelingen zijn. Gemeente Rotterdam is echt een grote organisatie. 17000 medewerkers. Dus 1 zo'n cluster, alleen al qua medewerkers kan soms wel 4000 medewerkers zijn.
Speaker 2:Zeker, makkelijk.
Speaker 1:Dat is echt heel reëel. Dus als het dat niveau overstijgt en het hele concern gemeente Rotterdam kan mogelijk impact ondervinden van dat incident, wat dan volgens mij niet meer een incident heet, maar gaandeweg een crisis is gaan heten, denk ik. Dus dan schaal je op vanuit de MIP naar wat we noemen hier de ZGV, de
Speaker 2:zeer grotere Ja eens. En die worden opgestart op basis van conclusies die we hebben getrokken. Dus vanuit security hoek geven wij dringend advies vaak. Van schakel iets uit of patch dit. Isoleer dit.
Speaker 2:Isoleer stukken van het netwerk of sluit iets af van het internet. Op het moment dat dat een hele grote impact heeft, en dat heeft het, dan zie je andere systemen gaan werken. Ook richting management. Want de impact wordt groter. Steeds meer mensen gaan er iets van vinden.
Speaker 2:Misschien meer kosten ook. Meer kosten, meer dreiging, meer risico. En daar worden andere mensen verantwoordelijk voor. Dus wij voeden feitelijk het risicogesprek op hoger niveau.
Speaker 1:En wat is dan jouw rol als het gaat om die verdere opschaling? Kan me voorstellen dat binnen de CIR, dat is heel duidelijk binnen jouw team. Jouw mensen zitten aan de knoppen daar. Maar hoe meer je opschaalt, escaleert naar boven toe, heb je dan ook het gevoel dat je het meer uit handen moet geven? Of hoe werkt dat dan?
Speaker 2:Mijn escalatielijn, daar kan ik wel stellen dat die stopt tussen aanhalingstekens bij de CISO en mijn adjunctury directeur. Dat is mijn directe counterpart op het moment dat er grote verstoringen zijn. Mocht de gemeentesecretaris of concern-directie bij worden geschakeld. Of een wethouder zelfs. Of een wethouder, burgemeester in sommige gevallen.
Speaker 2:Dan gaat dat via de lijn CISO-directeur. Die pakt de hiërarchische lijn voor verdere informatie, communicatie en risico gesprekken feitelijk.
Speaker 1:Bij directeur zouden we ook CIO kunnen zeggen, toch?
Speaker 2:Precies, eens. Dat
Speaker 1:is denk ik bij veel andere organisaties ook wel zo. Dat dan de CIO in de stelling komt als ambtelijk eindverantwoordelijke voor die hele IC-kolom.
Speaker 2:Klopt.
Speaker 1:Dat die dan de schakel is naar
Speaker 2:Het interessante in Rotterdam is dat wij zijn verdeeld in 6 clusters met eigen concerndirecteur. Dus de vraag is soms ook wel van waar ligt nou het risico? Wie mag nou eigenlijk iets besluiten? Wie laat de bruggen en sluizen dichtzetten voor internet?
Speaker 1:Ik kan me voorstellen, daar is op ingaan, dat jullie vanuit de taxichoperationele laag een bepaald inzicht hebben. Vanuit een technische achtergrond die dreiging veel goed op waarde kunnen schatten. Reëel is die dreiging? Ik zal mezelf netjes uitdrukken, maar hoe hoger je in de boom komt, dat wil nog wel eens het technische kennisniveau navenant afnemen.
Speaker 2:Terwijl
Speaker 1:zij moeten wel besluiten.
Speaker 2:En andere krachten gaan werken. En andere belangen ook. En wat we ons wel altijd moeten beseffen is dat Wij kijken in eerste instantie vaak alleen naar de technische kant van het verhaal. Voor ons is het afsluiten van de server soms ook maar een woord. Terwijl de pijn van het afsluiten van dienstverlening wordt gevoeld op een andere plek.
Speaker 2:Ja, ja. En die context moet je wel proberen zoveel mogelijk te snappen. En dat betekent niet dat je een server niet moet afsluiten op het moment dat het nodig is, maar je moet wel beseffen dat er een bepaalde dienstverlening aan vasthangt. We doen het niet voor niks. En sommige mensen moeten daar zeker iets van vinden.
Speaker 1:Ja, dus dat kan beslissingen die jullie nemen of zouden willen nemen vanuit de techniek, die kunnen soms verstrekkende consequenties hebben in dienstverleningsprocessen die eigenlijk ver weg gebeuren ergens in een cluster waar je misschien Je zit niet te lunchen met die mensen. Die zitten misschien zelfs op een andere kantoorlocatie, dus je komt elkaar in de dagelijkse gang van zaken helemaal niet tegen. Dat kan natuurlijk ook niet bij zo'n enorme organisatie. Dus de kunst is dan, en dan even terug naar die oefening, om elkaar daar dan wel te blijven vinden. De zin dat je aan de ene kant serieus genomen wordt als technische afdeling, zeg maar met verstand van zaken.
Speaker 1:Hé, dit is reëel. En aan de andere kant kan je niet zomaar denk ik, tenzij de dreiging heel groot is, kan je niet zomaar iets afsluiten en alleen maar meedelen, ja, dit hebben we trouwens uitgezet. Ik zal dat waarschijnlijk nooit worden, maar als ik nou directeur was, dan zou ik denken, dit is toch mijn toko, ga je nou mijn spullen uitzetten?
Speaker 2:Ja klopt, Emma. Ik vind dat je als security keten ook niet ééndimensionaal naar het probleem kan kijken. Ik vind ook dat je de context altijd mee moet nemen in waar je in opereert. Dat zegt ook iets over risico en risicobereidheid. Ik kan die bereidheid niet bepalen.
Speaker 2:Dat is iemand anders. Het enige wat ik kan doen is op het juiste niveau de juiste informatie delen. Zodat iemand een zo goed mogelijk besluit kan maken. En besluiten kan ik zelf ook wel maken. Maar dan moet het zo acuut zijn, dat ik denk van oké, nou gaat de heggenschaar bij de batchkabels en dan sluiten we de boel af.
Speaker 1:Ik vind het een heel krachtig beeld, heggenschaar bij de batchkabels. Gaat meteen leven.
Speaker 2:Iedereen wil het ook wel een keer doen. Daar liever niet over. Dit kan. Maar dit zou een uitzondering moeten zijn. Omdat je in je procedure dusdanig aandacht hebt geschonken voor die escalatielijn.
Speaker 2:Zodat altijd het juiste besluit op het juiste niveau wordt genomen. In de juiste tijd. Dat mag ook niet te lang duren, dat kan vervolgens.
Speaker 1:Hoe vind je dat nu, even terug naar die oefening, zitten dan nu eigenlijk in het midden van de oefening, waarbij we dus ook in de techniek gestart zijn. Wat we nu bespreken, dat bespreken we niet voor niks nu. Dat hebben we ook vandaag zien gebeuren en we hebben ook de verwachting dat dat morgen nog zal gebeuren. Kan jij een Wat is jouw beeld bij dat samenspel tussen zeg maar de techniek en de business? Hoe ontwikkelt zich dat nu zo?
Speaker 1:We zitten nu op de helft van de oefening. Hoe loopt dat?
Speaker 2:Is altijd een beetje zoeken naar wat werkt en wat werkt niet. Geen enkel incident is hetzelfde. We oefenen nu echt een heel groot incident waarbij heel veel spelers iets vinden. Ja. Is ook even zoeken van wat is nu een effectieve manier om alles bijgeschakeld te krijgen.
Speaker 2:Wie is daar nou in de lead? Hoe zorgen we ervoor dat de juiste informatie op de juiste plek komt?
Speaker 1:Dan zou ik zeggen dat heb je toch allemaal op papier gezet? We hebben net al die procedures behandeld.
Speaker 2:Kijk, de procedure schetst dat je de juiste spelers aan de tafel moet krijgen, het C-shirt. Maar op het moment dat het een hele brede oefening wordt, zeker in de contre-Rotterdam, zijn het ineens best wel heel veel spelers die in zijn kamertje gepromoot moeten worden om iets te vinden. Dus dat is de uitdaging en wel interessant. Iets wat je misschien ook vooraf beter zou kunnen bedenken in de vorm van een playbook. Waarin je bepaalde scenario's vooraf gaat schetsen, zodat je ook wat sneller kan acteren op het moment dat er een zo'n groot incident is als vandaag bijvoorbeeld.
Speaker 2:Dus dat is wel een mooi leermoment.
Speaker 1:En jij, want nu doe je dus mee aan deze oefening. Niet alleen jij, maar jouw mensen en wat jouw team bedoel ik en nog heel veel andere mensen. Wanneer is nou deze oefening een succes voor jou?
Speaker 2:Succesvol zijn is op meerdere manieren. 1, het zou heel fijn zijn als we de crisis tot een goed eind weten te brengen. Wanneer is dat? Dat security mensen zeggen altijd als alle systemen uitstaan, dan is het goed. Dan zijn we hierdoor heel veilig.
Speaker 2:Crisis averded. Alle dienstverlening liggen gewoon ook stil. Operatie geslaagd, patiënt overleden, zeg maar. Dan krijgen we dat. Maar nee, het is natuurlijk Het gaat ook over het bestendigen van je rol.
Speaker 2:En over hoe goed georganiseerd ben je nou in de security keten. Weet iedereen nou eigenlijk wel wat hij moet doen? En pakt hij die rol ook op het moment dat er druk wordt opgevoerd? Ja. Dat is natuurlijk wel interessant om te onderzoeken en om het bestendig te krijgen.
Speaker 2:Ik merk dat des te vaker we dit doen, des te beter je de cybercrisis kan organiseren en weet uit te lijnen. Niet alleen in je eigen context, maar ook richting hoger management die dan ook steeds beter zijn eigen rol gaat snappen.
Speaker 1:Ja. Het klinkt als iets wat je gewoon bij gebrek aan een echte crisis zou je dit gewoon regelmatig moeten oefenen. Of je moet gewoon hopen dat het inderdaad een paar keer echt aan de orde is, zonder dat het uit de hand loopt natuurlijk. Maar links of rechtsom wil je eigenlijk een bepaalde routine hierin krijgen en houden. Zeker.
Speaker 1:Daarvoor moet je het gewoon regelmatig
Speaker 2:Zeker. Wij acteren natuurlijk bij echte crisissen. Maar we organiseren ook onze eigen interne crisis. Cybercrises waarin gaan oefenen. Wat we vaak wel doen met dit soort oefencrissen is dat we mensen expres een andere rol geven.
Speaker 2:Dus een sokanalist zetten we hem wel schoon op een andere stoel. Zodat hij ook vanuit de andere kant gaat kijken naar een probleem. Niet vanuit zijn techniek bijvoorbeeld, maar meer vanuit organisatie of meer vanuit de strategie of tactiek.
Speaker 1:Dus je dwingt iemand in een ander perspectief?
Speaker 2:Je dwingt iemand in een ander perspectief en dat is soms wat ongemakkelijk, omdat je dan merkt dat mensen dat heel vreemd en awkward vinden. Maar aan het eind van de dag krijg je wel wat meer begrip voor elkaars standpunten. Het is niet zo eendimensionaal, zoals jij dat ziet vanuit je schermpje. Er speelt veel meer en zo proberen we daar een beetje in te spelen. En daar mensen ook in te trainen.
Speaker 1:Ja, het viel mij op dat er vandaag waren die alleen als opdracht hadden om te observeren. Dus gewoon te kijken, hé, dat wat jij nu beschrijft, hoe gaat dat? Vinden mensen elkaar? Wordt er goed overlegd? Wordt het management op tijd en volledig geïnformeerd?
Speaker 1:Noem het allemaal maar op. Dat geeft wel aan dat je dat deel heel belangrijk vindt. Dat je eigenlijk vooral of deze oefening organiseert met als doel goed bijhouden hoe het gaat, zodat we terug kunnen kijken, dus procedures er nog eens naast kunnen leggen. Hebben we nou gehandeld zoals we dat van tevoren bedacht hadden? En er kunnen soms hele goede redenen zijn om dat niet te doen, om daar totaal van af te wijken.
Speaker 1:Aan de andere kant schrijf je natuurlijk niet op om er vervolgens niks mee te doen.
Speaker 2:Nee, precies. Het succes van een incident respons is oefenen en leren van je eigen fouten. En daar hoort natuurlijk ook bij dat een objectief iemand daarnaar kijkt. Van hoe werkt dit nou? En vaak zit je zo dicht in de materie, dat het wel eens goed is om een soort onafhankelijk persoon langs de zijlijn te hebben.
Speaker 2:Als een soort vlieg op de muur. Ja, exact. Om eens even te kijken hoe dat werkt. En daar ook de feedback van te ontvangen. En weer te omarmen, om weer beter te worden.
Speaker 2:En
Speaker 1:met het oog op morgen tot slot. We hebben nog een dag begaan hier in Rotterdam. Ja. Hoe kijk jij naar morgen? Ik zie je handen wrijven, maar dat kan toeval zijn.
Speaker 2:Denk dat het geen toeval is. Ik kijk wel uit naar het verder escaleren. Waarom? Omdat dat zijn situaties die niet vaak voorkomen. Dus ik kan me er zomaar iets bij voorstellen dat morgen de crisis groter wordt dan dat het nu is.
Speaker 2:En dat je op een punt komt waarin je niet vaak komt. En dat is grootschalig uitzetten van systemen. Het betrekken van de gemeentesecretaris. Het betrekken van misschien wel een wethouder.
Speaker 1:Het belang van iedereen daarin betrekken in dat soort verstrekkende besluiten wordt natuurlijk naarmate je verder escaleert naar boven toe opschaalt, alleen maar groter.
Speaker 2:Zeker. En kleinschalig oefenen in je eigen team, dat is goed te organiseren. Het oefenen in een wat grotere context binnen de afdeling gaat ook nog wel. Maar je ziet dat op het moment dat je andere directies of andere clusters of gemeentesecretaris wil betrekken, dan is het lastiger. En dan is het wel mooi om dit soort crises te gebruiken.
Speaker 2:Om dit soort dingen te fijn tunen en te ervaren ook.
Speaker 1:Ja, leuk. Het is in ieder geval leuk om wat van mee te krijgen, ook vanuit mijn kant, om die energie te zien die zo'n gezamenlijke vijand, zeg maar.
Speaker 2:Mag ik dan een wedervraag stellen?
Speaker 1:Ja, zeker.
Speaker 2:Jij bent vandaag ook wel een beetje vlieg op de muur geweest. Wat zie jij dan gebeuren? Wat is jouw visie daarop?
Speaker 1:Wat ik zag gebeuren is dat vanuit de techniek men eigenlijk heel snel gaat. Daar zit expertise, er wordt onderzoek gedaan, er zitten allemaal technischkundige mensen, waardoor er op een gegeven moment een beeld ontstaat. Dit en dit is er aan de hand, we moeten een impactonderzoek doen, we moeten kijken waar het zit. En dan wordt er eigenlijk al vrij snel ook gesproken over het scenario misschien moeten we dit wel gaan gaan tijdelijk gaan uitzetten. Omdat we net zeiden van dat dat in de ogen van een informatiebeveiliging is het uitzetten, dan neem
Speaker 2:je de
Speaker 1:dreiging ook mee. Ja precies. Dus dat ligt best wel snel op tafel. En wat dus mij opviel dat ik dacht ja wow, maar het sluit aan bij wat jij eerder zei van ja, maar wacht even, dat heeft verstrekkende consequenties in sommige gevallen voor bedrijfsprocessen. Die gaan dat misschien niet heel erg op prijs stellen.
Speaker 1:Als wij hier met alle goede bedoelingen die we hebben besluiten om delen van infra of delen van servers of wat dan ook of applicaties tijdelijk uit te zetten. Dus ik zie dat niet synchroon oplopen. Dus ik zie dat de techniek heel rap gaan en ook heel snel de noodzaak en de bereidwilligheid hebben om dingen te container, te isoleren. Met als uiterste optie dan ook het uitzetten. Maar het gaat mij ook om andere maatregelen.
Speaker 1:En ik denk: ja, maar dit gaat over applicaties die ondersteunen primaire processen in die clusters. Er zijn een hele hoop andere mensen die hier misschien wat over te zeggen willen hebben, maar op zijn minst geïnformeerd moeten worden dat dit staat te gebeuren en welke argumenten dan daar onder liggen. Ik ben erg benieuwd als we morgen deel 2 verder oppakken met elkaar, waarvan we allebei vermoeden dat die escalatie verder doorzet, dan zal dus aan het daglicht komen dat we op een andere plek staan. Zeker. Ik ben benieuwd of Van der gaat, gelukkig is het allemaal fictief.
Speaker 1:Van der Rels bedoel ik mee dat we dus toch vanuit de techniek het lef hebben om bepaalde beslissingen te nemen die misschien ons aan de businesskant niet helemaal aan dank worden afgenomen. Daar gaat ie weer. Of het lukt ons toch om de techniek even pas op de plaats te houden, de boel op een rij te zetten en op zijn minst even de communicatiekanalen te bewandelen, als iedereen op zijn minst geïnformeerd is. Nog wat anders dan aan iedereen toestemming of wat dan ook te vragen. Maar dat het niet als een als een bommetje uit de lucht komt vallen dat er dingen ja, afgesloten worden tijdelijk of niet meer functioneren of wat dan ook.
Speaker 1:Dus dat is mijn observatie. Ik ben echt benieuwd hoe dat morgen verder zal gaan.
Speaker 2:Jazeker. En ik ook, want het is eigenlijk een beetje hetzelfde als wat ik net ook zei over dat je vanuit security perspectief ook altijd die functionele perspectieven moet meenemen. En die business moet in ieder geval in je achterhoofd moeten hebben over wat actie die ik nu uitvoer. Welk effect heeft dat nou op wie dan ook, zeg maar. Het is soms best wel lastig in te schatten.
Speaker 2:Ja, zeker. Omdat het We hebben het over een hele grote omgeving. En soms is het vinden van een eigenaar of van een bepaalde applicatiebeheerder is al ingewikkeld. Laat staan wie is dan de treffende directeur of afdelingshoofd die er ook iets van vindt. Ja, is wel een gepuzzel.
Speaker 2:Maar dat gepuzzel moet niet betekenen dat je het niet doet. Het is alleen een grotere uitdaging. Van tevoren ook goed inzichtelijk krijgen van hoe ziet nou eigenlijk mijn omgeving eruit? Wie zijn nou eigenlijk mijn eigenaren? Dus er zit in cyber ook een heel groot stukje gewoon voorwerk.
Speaker 2:Is mijn CMDB op orde?
Speaker 1:Ja, asset management.
Speaker 2:Ja, asset management. Dus de hele wereld van dagdagelijks werk komt in de cybercrisis ook wel bij elkaar. Des te beter je dat aan de voorkant hebt geregeld, des te beter je asset management, asset management, communicatie enzovoort hebt geregeld. Des te makkelijker het is om een cybercrisis af te wenden.
Speaker 1:Nou, We gaan morgen meemaken in hoeverre dat lekker loopt en dat iedereen een beetje binnen de lijntjes kleurt. Voor zover die lijntjes gedefinieerd hebben.
Speaker 2:Ja, soms wel, soms niet.
Speaker 1:Remco, mag ik jou enorm bedanken. Graag gedaan. Voor dit inkijkje in hoe een cybercrisesoefening er in Rotterdam op hoofdlijnen uitziet. Wat er dan beoefend wordt en waarom dat belangrijk is. Ja, superleuk.
Speaker 1:Tot slot wens ik jou en mij veel succes en maar ook veel plezier bij deel 2 van de oefening.
Speaker 2:Nou, dank je wel en bedankt voor de uitnodiging.
Speaker 1:Graag gedaan. En daarmee is aflevering 8 alweer afgelopen. Jammer, jammer, jammer. Maar over een maand is er weer een nieuwe aflevering van Keep Talking. En dan ga ik in gesprek met iemand die overstapte van een gemeente naar een ziekenhuis.
Speaker 1:Ja, wat daar het verhaal achter is, dat hoor je over een maand. Hopelijk tot de volgende keer.
