Meteen naar de content
  • Praktijkvoorbeeld
  • |
  • Informatiebeveiliging en privacy
  • |
  • po
  • vo

Alle systemen plat! Het SPON-bestuur oefende een cybercrisis 

Een volgeschreven whiteboard, lege koffiebekers en een heleboel post-its in allerlei kleuren: dat was de tastbare opbrengst van de cybercrisisoefening op het Papendrechtse bestuurskantoor van SPON (Specialisten in Passend Onderwijs). “Je hoopt dat er een soort lichte paniek ontstaat, zodat je kunt zien of iedereen ook dan zijn rol goed vervult.”

Logo Kennisnet

Door de redactie

25 april 2024
7 minuten lezen
Kantoorruimte waarin een vrouw op whiteboard schrijft. Andere personen bestuderen documenten aan tafel.

Stel, het is de eerste dag na de vakantie. Je gaat naar je werk bij een onderwijsorganisatie en merkt dat je geen toegang meer hebt tot je bestanden. Gaandeweg haperen steeds meer systemen. De gegevens van de medewerkers en leraren op de scholen? Onbereikbaar. Dat Excel-bestand? Niet te openen. Dan realiseer je je: we hebben een crisis.

Korte NOZON-oefening

Zo begon het scenario waarmee het crisisteam van SPON testte of ze klaar waren voor een cybercrisis. Ze deden mee aan de NOZON, de simulatieoefening van SURF die plaatsvindt op it- of strategisch niveau. Naast dat volle whiteboard en de post-its waren er vooral veel niet-tastbare opbrengsten, vertellen bestuurder Christa van Delen en Ict-coördinator Debora van Loon.

Ondersteuning bij de oefening

SURF en Kennisnet ondersteunen de NOZON-oefeningen met trainingen voor degene die de oefening voorbereidt en voor de waarnemer. Ook krijgen de deelnemers handige materialen. Je krijgt hulp om zelf scenario’s te bedenken en kunt tijdens een terugkomdag de oefening evalueren. In 2024 deden twaalf scholen mee, maar in de nabije toekomst stelt Kennisnet NOZON voor de hele po- en vo-sector open.

Voorbereid zijn op een crisis

Waarom deed SPON mee aan de oefening? “Onze ict/AVG-coördinator Debora van Loon attendeert me regelmatig op actuele risico’s op het gebied van informatiebeveiliging en privacy, en op mogelijkheden om daaraan als organisatie aandacht te besteden”, vertelt Christa van Delen. “Zo kwam ook deze mogelijkheid van een korte cybercrisisoefening ter sprake.” Je kunt maar beter goed voorbereid zijn, zien ze bij SPON. Van Delen: “Je hebt geen invloed op het handelen van een ander – als een ander lelijk wil doen, dan doet-ie lelijk. Maar je kunt je wel voorbereiden op de manier waarop je daar vervolgens op reageert. Daarom hadden we bijvoorbeeld al een tool waarmee we onze medewerkers soms nep-phishingmails sturen, die steeds lastiger te herkennen zijn. Bewustwording is belangrijk. Ik ben er altijd voor om dingen klein uit te proberen. Daarom leek het me goed om de NOZON-oefening te doen.”

Ik ben er altijd voor om dingen klein uit te proberen. Daarom leek het me goed om de NOZON-oefening te doen

Bestuurder Christa van Delen

Casus bedenken

Debora van Loon werd kartrekker van de cybercrisisoefening, die ze voorbereidde tijdens een training door SURF en Kennisnet. “Daar heb ik samen met collega’s uit het land deze casus bedacht”, vertelt ze. “Vervolgens hebben we die samen met de beoogde waarnemers uitgewerkt.” Deze waarnemers hebben naast de oefenvoorbereiders een belangrijke rol. Om zoveel mogelijk te leren van de oefening, schijft de waarnemer gedurende de hele middag mee: wat valt op, wat gaat goed gaat en wat kan beter?

Bloedserieus crisisteam

De oefening verliep goed, vertelt Van Loon. “Beter dan verwacht. Ik was best zenuwachtig, het was voor het eerst dat we zo’n crisis oefenden. Maar toen ik het crisisteam bijeen riep, gingen de teamleden er gelijk bloedserieus in. We lazen samen de casus, bespraken de rollen en gingen aan de slag. De een was inhoudelijk expert en stelde vragen aan ict-support, de ander ging over de communicatie, er was een voorzitter en een secretaris. Ze bleven allemaal goed in hun rol.”

Beschouwende bestuurder

Het team benoemde de voorzitter van het vaste crisisteam, een van de schoolleiders van SPON, tot voorzitter van het cybercrisisoefenteam. Christa van Delen: “Als voorzitter van het college van bestuur ben ik vaak degene die de leiding heeft, maar nu nam ik de communicatie op me. Dat hielp heel erg, omdat ik daardoor met iets meer afstand gedwongen werd de juiste vragen te stellen en goed te luisteren. Als je iets naar buiten of naar je team gaat communiceren, dan moet je wel goed weten wat je communiceert. Ik was blij met die rol omdat ik daardoor heel beschouwend werd ingezet. Daarnaast is het bij externe communicatie ook logisch dat de bestuurder dat doet.”

Meerdere personen aan tafel overleggen

'Crisisoverleg' tijdens de cybercrisisoefening bij SPON

Het team van SPON werd tijdens de oefening verrast door hoe veel er gecommuniceerd moest worden. Debora van Loon: “Daar komt bij dat onze scholen vrij autonoom zijn. Dus wij kunnen vanuit het bestuurskantoor wel zeggen dat een directeur iets moet regelen, maar dan houden we toch contact om te vragen hoe het ervoor staat.”

Stapsgewijs steeds meer informatie

Kennisnet verstrekte de materialen om de oefening extra realistisch te maken. Zo zijn er ‘injects’, stukjes informatie voor het crisisteam in de vorm van een briefje of telefoontje. Dingen die misgaan, of die om actie vragen. ‘Je leverancier belt je op’, bijvoorbeeld. Of: ‘Een bezorgde directeur vraagt om meer uitleg’, of ‘Een journalist stelt vragen’. Debora van Loon: “Ik had wel dertig of veertig injects, maar ik realiseerde me dat ik die moest doseren omdat het anders te veel zou worden.” Hoeveel ‘problemen’ laat je los op de organisatie? Debora zocht naar een goede balans. “Je hoopt toch dat er een soort lichte paniek ontstaat, zodat je kunt zien of iedereen zijn rol goed vervult. Wat als een schoolleider enorm in de stress schiet?”

Structuur met de BOB-methode

De BOB-methode hielp het crisisteam om het hoofd koel te houden, vertelt Christa van Delen. BOB staat voor Beeldvorming, Oordeelsvorming en Besluitvorming. “Die methode gaf houvast. De secretaris schreef mee op het bord en daarbij bekeken we bij alle nieuwe input steeds: wat is de beeldvorming, welk oordeel hebben we daarover en welk besluit nemen we? Die structuur voorkwam dat we overvallen werden door telkens iets anders. Dit is wat we weten, dit is wat we ervan vinden, daarop gaan we dit doen. Komt er nieuwe informatie? Dan wordt het rijtje op het bord weer langer en dan oordeel je opnieuw: vinden we nog steeds hetzelfde? Vervolgens kun je opnieuw een besluit nemen.”

Natuurlijk kun je best een dagje lesgeven zonder ict, maar wij hebben leerlingen die vanwege hun motoriek altijd een scherm nodig hebben

Ict-coördinator Debora van Loon

Cybercrisis in het speciaal onderwijs

SPON heeft tien scholen en daarvan zijn er negen sbo, so of vso. Dat maakt een cybercrisis anders dan voor scholen voor regulier onderwijs, vertelt Debora van Loon. “Natuurlijk kun je best een dagje lesgeven zonder ict, maar wij hebben leerlingen die vanwege hun motoriek altijd een scherm nodig hebben. Bovendien komen bijna al onze leerlingen met busjes en taxi’s naar school, dus we kunnen hen niet zomaar naar huis sturen. En in het scenario van de NOZON-oefening konden we ook niet meer bij de medische gegevens van onze leerlingen.” Daarom heeft SPON deze gegevens ook op papier, achter slot en grendel in de klas.

Boerenverstand gebruiken

Nog meer opbrengsten? Christa van Delen: “Wat ik ook heb geleerd: soms moet je gewoon vertrouwen op je boerenverstand en pragmatische keuzes maken. Zoals in het geval van die medische gegevens: daar moeten we gewoon bij kunnen dus dat lossen we op. Deze oefening betrof een technische crisis, maar een crisis kan ook heel emotioneel zijn. Hoe hoger de emotionele betrokkenheid, hoe minder dat boerenverstand werkt, zeker als je ook nog emoties van andere moet managen. Als je dan als crisisteam keuzes moet maken, dan kun je maar beter voorbereid zijn.” Zo helpt een cybercrisisoefening je organisatie ook bij andere crises.

Tips

  • Bereid de oefening gedegen voor, met een goed scenario en een waarnemer om de leerpunten te noteren.
  • Gebruik als crisisteam de BOB-methode om overzicht te houden en het overleg te structureren.
  • Als voorbereider: doseer de injects en overvoer het crisisteam niet issues die om acute aandacht vragen.

Foutje bij het updaten

En wat was nou de oorzaak, van al die zogenaamd haperende systemen bij SPON? Een verkeerd vinkje in Windows, waardoor een in de vakantie uitgevoerde update verkeerd uitpakte en allerlei programma’s niet meer werkten. Een realistisch scenario, want zo’n technische fout komt vaker voor dan een hack of andere cyberaanvallen met kwade bedoelingen.

Wil je ook aan de slag met het oefenen van een cybercrisis?

Dat is een goed idee; jaarlijks oefenen is een belangrijke vereiste uit het Normenkader IBP.

De onderwerpen waarover wij publiceren

Artificial intelligence Beleid en organisatie Digitale geletterdheid Ethiek Informatiebeveiliging en privacy Informatiemanagement Leermiddelen Professionalisering leraar Technologische innovatie