Rekoert: “Voor kleinere gemeenten zoals Beverwijk is deelname aan de Overheidsbrede Cyberoefening zeer leerzaam. Zelf kunnen we een dergelijke crisissituatie niet organiseren. In 2020 deden we voor het eerst mee. We hadden toen nauwelijks een calamiteitenplan. Er is een crisisteam ingericht en we hebben duidelijke afspraken op papier gezet over wie wat doet bij een cyberaanval. De oefening zet ons ook onder druk om onze documentatie en processen op orde te hebben. Ik vind het essentieel dat elke gemeente of organisatie oefent om te ontdekken wat beter kan.”

Leermomenten

Tijdens de Overheidsbrede Cyberoefening van 2023 kreeg de fictieve gemeente Rommeldam te maken met een kwetsbaarheid in de IT-systemen. Lukte het Beverwijk om onder tijdsdruk de juiste beslissingen te nemen? Rekoert: “Het ging goed, maar tijdens de oefening kwamen er verschillende interne verbeterpunten naar voren, zoals het maken van aantekeningen en het belang van snel beslissingen nemen. Ook confronteer je jezelf met je eigen zwakheden; zo moet ik mezelf steviger opstellen zodat andere deelnemers mij niet overstemmen. Daarnaast was er soms verwarring over ICT-afkortingen. Het is belangrijk dat iedereen begrijpt wat er wordt gezegd, vooral in een crisissituatie. Ik merk dat wij ieder jaar beter worden. In het eerste jaar ging het rommelig. We waren vooral veel aan het praten en alles ging door elkaar. Nu werken we met structuur en zijn we veel beter voorbereid. Maar vergeleken met het landelijke niveau dat je in de studio ziet, hebben we nog stappen te zetten.”

”Je ervaart hoe snel een situatie kan escaleren.”CISO Remco Rekoert

Risicobewustzijn

De oefening biedt ook de gelegenheid om te zien hoe verschillende afdelingen samenwerken. De CISO geeft een voorbeeld: “Bij ons ontstond onduidelijkheid over wie verantwoordelijk was voor het communiceren van gevoelige informatie. Door dit soort situaties te oefenen, leer je wie je tegenover je hebt, want onze communicatieadviseur en de ICT-afdeling werken normaal niet samen. Ik denk dat deelnemers aan de oefening een beter bewustzijn hebben gekregen van hoe serieus cyberdreigingen zijn en hoe snel iets kan escaleren. Maar mensen buiten ons crisisteam merken hier niets van. We proberen dit jaar iets te organiseren zodat meer collega’s onze oefening kunnen volgen. Hierdoor groeit het risicobewustzijn door de hele organisatie.”

Tips voor nieuwe deelnemers

De gemeente Beverwijk doet dit jaar weer mee. Rekoert heeft tips voor andere deelnemers: “We hebben altijd een notulist die tijdens de oefening aantekeningen maakt, en een observator die rondloopt en zijn bevindingen noteert. Durf na afloop eerlijke feedback te geven, ook aan hoge functionarissen. Positieve kritiek helpt iedereen om te leren en beter te worden. Probeer van tevoren te bedenken wat je uit de oefening wilt halen. Bij de komende oefening gaan we bijvoorbeeld onze communicatieadviseur de tijd geven om een persbericht op te stellen. Dit moet realistisch gebeuren, zodat we er daarna over kunnen discussiëren. Realiseer je dat het mooie van deze oefening is dat er niets fout kan gaan, ongeacht je resultaten. Het pakt dankzij de geleerde lessen altijd goed uit.”

Doe mee

Het ministerie van ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) organiseert op 4 november 2024 de 6e Overheidsbrede Cyberoefening. Overheidsorganisaties kunnen met een speciale toolkit simultaan mee-oefenen. Het team van deelnemende organisaties zal dezelfde uitdagingen aangaan als het crisisteam in de studio. Kijk voor meer informatie op de website van het Overheidsbreed Cyberprogramma. (1) Hier zijn ook diverse interessante webinars en een Masterclass te vinden.

(1) https://www.weerbaredigitaleoverheid.nl/home/

Gerelateerd nieuws

Klaas Knot ziet kansen en risico’s in AI

Tijdens zijn toespraak op 11 juli op de bijeenkomst van de IMF/Wereldbank-kiesgroep in Moldavië sprak Klaas Knot, als voorzitter van de Financial Stability Board (FSB), over de mogelijke invloed van Artificial Intelligence (AI) op de economie en het financiële stelsel.

Governanceweb

Het opstellen van KPI’s voor de inkoop van Jeugdhulp, waar let je op?

Gemeenten willen met de inkoop van jeugdhulp of maatschappelijke ondersteuning doelen bereiken. Kritische prestatie indicatoren of KPI’s zijn een belangrijk hulpmiddel om de voortgang te bewaken en de activiteiten te structureren. In de praktijk gaat het vaak mis bij het opstellen van goede KPI’s. Hoe kan het wel?

Zorg & Sociaal

'Een beetje netcongestie is gezond.'

Ben Voorhorst besteedde bij Tennet een heel werkzaam bestaan aan het Nederlandse stroomnet. Toch heeft de kersverse gepensioneerde (‘ik doe alleen nog klussen waarbij ik niet te veel moet’) een verrassend frisse en optimistische kijk op de ogenschijnlijk grootste plaag van de energietransitie: het op gezette tijden vollopen van het stroomnet (netcongestie). ‘Ik zeg niet dat er geen problemen zijn, maar lang niet altijd en overal. Bovendien zijn de meeste van de knelpunten echt oplosbaar.’

Klimaat

ACM: Veel bedrijven voldoen nog niet aan Europese digitale wetgeving

Veel aanbieders van online diensten hebben hun zaken nog niet op orde als het gaat om de naleving van de verplichtingen uit de Digital Services Act (DSA) en de Platform-to-Business Verordening (P2B). Dat blijkt uit een recente steekproef van de Autoriteit Consument & Markt (ACM), waarbij de autoriteit enkele tientallen bedrijven onder de loep nam. “Er is nog werk aan de winkel voor bedrijven”, aldus ACM-bestuursvoorzitter Martijn Snoep.

Data & Privacy