De Veiligheidsregio Noord- en Oost-Gelderland (VNOG) werd op zaterdag 12 september 2020 getroffen door gijzelsoftware. Deze software zorgde voor een verstoring van interne computersystemen. Het Instituut Fysieke Veiligheid (IFV) is door het Programma Overleg Informatie (POI) gevraagd onderzoek te verrichten naar de leerpunten uit deze casus en tevens adviezen te geven aan veiligheidsregio’s.
Het was de eerste keer dat een veiligheidsregio te maken kreeg met een dergelijke cyberverstoring. Dat onderstreept de behoefte om van het incident te leren; leerervaringen kunnen bijdragen aan het verder versterken van de incidentrespons en gevolgbestrijding bij cyberverstoringen, zowel van de VNOG zelf, als van andere veiligheidsregio’s. Het POI heeft daarom opdracht gegeven voor dit onderzoek, als onderdeel van het Programma Informatievoorziening 2020-2025. De veiligheidsregio’s werken in dit programma aan hun gezamenlijke ambitie op informatievoorziening, waarin veel aandacht wordt gegeven aan informatieveiligheid.
Cybercrisis anders dan andere crises
Voor dit onderzoek is gekozen om met drie thema’s te werken. Ten eerste is bekeken in welke mate cyberverstoringen anders zijn dan klassieke flitsrampen. En als dit het geval is, hoe kunnen veiligheidsregio’s zich dan op dit soort cybercrises voorbereiden? Daarbij is er gekeken naar de crisisorganisatie. Veiligheidsregio’s dienen te beschikken over een flexibele crisisorganisatie en over relevante crisisnetwerken. Het derde thema is de crisiscommunicatie. De vraag is of de communicatie over een cybercrisis anders is dan communicatie over ‘reguliere’ crises. Er is onderzocht of er factoren zijn waarmee men bij een cyberverstoring (extra) rekening moet houden in de communicatie, welke uitgangspunten zijn gebruikt in de interne en externe communicatie over een cyberverstoring en of er in alle openheid kan worden gecommuniceerd of dat er juist een zekere mate van geslotenheid gewenst is.
Adequaat gehandeld
De hoofdbevinding van het IFV is dat de VNOG deze cyberverstoring adequaat heeft bestreden. Zij heeft de gijzelsoftware vanaf het allereerste begin uitermate serieus genomen, heeft snel opgeschaald en direct externe hulp ingeschakeld. In de crisisrespons was de VNOG sterk afhankelijk van externe specialistische ondersteuning en expertise. De VNOG slaagde erin om die technische expertise snel te mobiliseren in de vorm van bijstand van het Nationaal Cyber Security Centrum (NCSC) en andere experts. Naast het feit dat de VNOG ontzettend veel goed heeft gedaan, heeft de regio ook geluk gehad.
Wanneer de benodigde expertise niet tijdig kan worden georganiseerd, er sprake is van zeer geavanceerde of aanhoudende aanvallen en technisch handelingsperspectief ontbreekt, kan het verloop van een dergelijk incident er heel anders uitzien. Veiligheidsregio’s zullen, zo blijkt uit het onderzoek, gezamenlijk afspraken moeten maken over specialistische IT ondersteuning bij langdurige cyberverstoringen. Senior onderzoeker Laurens van der Varst (IFV): “Duidelijk is dat veiligheidsregio’s dit soort cyberverstoringen (en de voorbereiding erop) uiterst serieus dienen te nemen. Cyberdreigingen zoals gijzelsoftware zijn per slot van rekening ‘here to stay”’. Een vervolg zal door het IFV gegeven worden door leertafels op te gaan zetten om de ervaringen te delen. Duidelijk is geworden dat cyberverstoringen de hele organisatie en alle medewerkers raken, in het bijzonder IT medewerkers die een grote verantwoordelijkheid voelen. Het is niet puur een technische operatie. De onderzoekers vragen dan ook aandacht voor de sociaal-emotionele impact van gijzelsoftware.
Bekijk het volledige rapport Gijzelsoftware VNOG. Evaluatie van de crisisrespons