De KB is een veelzijdige organisatie: de nationale bibliotheek heeft niet alleen een heel groot boekenmagazijn, maar heeft ook een reusachtige fysieke collectie. Daarnaast heeft de KB allerlei diensten, zoals Delpher, waarin ruim 2 miljoen Nederlandse kranten en tijdschriften online te vinden zijn.
Die vragen allemaal om hun eigen vorm van bescherming, weet adviseur crisisbeheersing Milou Dekker. ‘Wij moeten onder andere voldoen aan de cyberbeveiligingswet. Daarin staat bijvoorbeeld dat je duidelijke afspraken moet maken over wie toegang heeft tot welke informatie. Ook moet je helder hebben wie wat doet wanneer iets misgaat.’
Hoe werkt een simulatie van een cyberaanval?
Het liefst sta je bij dat laatste niet te lang stil. Toch worden bibliotheken weleens aangevallen. Denk bijvoorbeeld aan de British Library, die een paar jaar geleden werd gehackt, waardoor bestanden verloren gingen. ‘Tegen zulke situaties proberen wij ons te wapenen,’ vertelt Dekker. ‘Dat doen we bijvoorbeeld door onze medewerkers zo goed mogelijk te trainen. Alle medewerkers van de KB krijgen een awarenesstraining, waardoor ze bijvoorbeeld phishingmails leren herkennen. Daarnaast hebben we een apart team dat weet wat er moet gebeuren wanneer zich een probleem voordoet.’
Hoe bereid je je het beste voor op zo’n probleem? Dat kan bijvoorbeeld met een simulatieoefening: een soort toneelspel waarin je naspeelt wat er gebeurt wanneer je oog in oog staat met een digitaal gevaar. ‘Een deel zet het probleem in gang, bijvoorbeeld door naar de afdeling te bellen met een alarmerend bericht. Vervolgens kijken we hoe de medewerkers daarop reageren.’
Dat toneelspel wordt van tevoren goed uitgedacht, benadrukt Dekker. ‘Allereerst moet het een realistisch scenario zijn: er moet een kans bestaan dat dit probleem zich in het echt voordoet. Daarnaast moet het aansluiten bij wat je wilt trainen, bijvoorbeeld of medewerkers wel goed opschalen wanneer het probleem duidelijk wordt. Verder moet het een hoge impact hebben: het probleem moet grote gevolgen hebben. En natuurlijk mag het probleem niet te makkelijk op te lossen zijn.’
Hoe zorg je dat collega's betrokken blijven bij cybersecurity?
Het bedenken van zo’n scenario is vaak al een heel goede oefening, ziet Dekker. ‘Niet iedereen is elke dag met alle risico’s bezig. Door daarover na te denken, word je je al bewust van wat er allemaal mis kan gaan.’
Medewerkers vinden zulke oefeningen vaak best spannend, weet Dekker uit eigen ervaring. ‘We proberen het daarom ook leuk te maken, bijvoorbeeld door grapjes in het scenario te stoppen. Daarnaast is het belangrijk om een veilige omgeving te creëren: het is niet erg om een fout te maken, daar leer je juist van.’
Laatst speelde haar afdeling zelf nog een scenario na, waarbij iemand met verkeerde bedoelingen toegang had gekregen tot het netwerk en bij belangrijke systemen kon. ‘Zo iemand is vaak niet per se op zoek naar informatie, maar naar geld,’ weet Dekker. ‘Diegene dreigt vaak kostbare data op straat te gooien als je geen vergoeding betaalt. Op zo’n moment zoek je naar manieren om het probleem in te dammen. Hoe zorgen we er bijvoorbeeld voor dat onze dienstverlening richting de klant overeind blijft?’
Waarom moet je cybertrainingen blijven herhalen?
Dit scenario komt helaas steeds vaker voor, ziet Dekker. ‘Alle bedrijven moeten zich hiertegen beschermen. Aan de andere kant drijven we op die manier samen ook de standaard op: hoe weerbaarder we onszelf maken, des te harder moeten we met elkaar werken om die standaard hoog te houden.’
Trainingen als deze moet je vaak herhalen: één à twee keer per jaar oefenen is belangrijk om de maatregelen fris in het geheugen te houden. Daarbij stel je per team vast wat belangrijk is om te trainen, bijvoorbeeld op het gebied van ICT of marketing en communicatie. ‘Het hoeft niet ingewikkeld te zijn,’ benadrukt Dekker. ‘Je kunt bijvoorbeeld gebruikmaken van de ervaring van andere instellingen. Verder heeft de overheid allerlei standaardoefeningen beschikbaar. Ook kun je via het Nationaal Cyber Security Centrum (NCSC) of het Engelse National Cyber Security Centre een crisisoefening doen. En samen een scenario bedenken kan ook al enorm helpen. Zie dat vooral als een creatieve oefening – en aan creativiteit is bij culturele instellingen vaak geen gebrek.’
Cyberscenario’s voor culturele instellingen
Voor elk type culturele instelling schuilt het gevaar van een cyberaanval op een andere plek. Je kunt bijvoorbeeld denken aan de volgende scenario’s.
Theater: theaters verzamelen veel data van hun bezoekers, en hebben dus veel privacygevoelige gegevens in hun bezit. Wat doe je wanneer er een gegevenslek boven tafel komt?
Musea: musea herbergen vaak kostbare voorwerpen. Wat doe je wanneer iemand de controle krijgt over jouw beveiligingssystemen?
Festivals: wat gebeurt er wanneer je kassasysteem het opeens niet meer doet of de website plotseling uitvalt? Dan is het belangrijk om snel actie te ondernemen.
Waaraan voldoet een goed scenario?
Wil je zelf aan de slag met een scenario? Denk aan de volgende criteria.
Kies een realistisch scenario. Oefen met een situatie die echt kan voorkomen in jouw organisatie.
Bepaal je doel. Wat wil je testen? Focus bijvoorbeeld op communicatie, besluitvorming of technische kennis.
Zorg voor impact. Het scenario moet gevolgen hebben, anders leren mensen minder.
Maak het niet te makkelijk. Een goede oefening vraagt om nadenken en samenwerken.
Creëer een veilige sfeer. Zorg voor een open sfeer waarin iedereen kan leren.
Betrek verschillende teams. Cyberincidenten raken vaak meerdere afdelingen tegelijk.
Evalueer samen. Bespreek na afloop wat goed ging en wat beter kan.
Welke partijen kun je inhuren?
Er zijn veel verschillende partijen die je kunnen helpen bij een cybercrisisoefening. Denk bijvoorbeeld aan Northwave, Fox-IT, Berenschot en Bureau Veritas. Vaak kun je kiezen tussen een goedkopere standaardoefening en een grotere volledig gesimuleerde oefening met scenario op maat.
Direct aan de slag met cyberweerbaarheid
- Organiseer minimaal één cybercrisisoefening per jaar.
- Betrek verschillende afdelingen bij de oefening.
- Kies een realistisch scenario dat past bij jouw organisatie.
- Evalueer na afloop wat goed ging en wat beter kan.
- Gebruik bestaande oefenscenario's van bijvoorbeeld het NCSC.
Werk aan een veilige digitale basis tijdens onze online workshop!
Cyberaanvallen komen steeds vaker voor in de cultuursector. Organisaties krijgen te maken met phising, ransomware en datalekken. Tijdens onze online workshop 'Cybersecurity in de cultuursector' werk je in vier duidelijke stappen aan een plan van aanpak voor een veilige digitale werkomgeving. Je ontvangt direct toepasbare handvatten en zet de eerste stappen in de richting van een digitaal veerkrachtige organisatie.
Meer artikelen per onderwerp
