Interview met Vincent van Bemmel, CISO bij Securesult, over de crisisoefening met 20 gemeenten.
Onlangs namen 20 gemeenten deel aan een grootschalige crisisoefening waarin werd getest hoe de lokale driehoek – burgemeester, politie en Openbaar Ministerie – omgaat met een cybercrisis. Onze eigen CISO-collega Vincent van Bemmel was hierbij aanwezig. We spraken hem over de belangrijkste inzichten en leerpunten.
Wat was het doel van deze crisisoefening?
Vincent van Bemmel: “Het doel was om gemeenten bewust te maken dat een cybercrisis niet alleen een IT-uitdaging is, maar vooral een bestuurlijke kwestie. De openbare orde kan ernstig worden verstoord bij een cyberaanval, en dat vraagt om snelle en doordachte besluitvorming in de crisisdriehoek. Deze oefening hielp lokale besturen om te ervaren hoe ze in zo’n situatie moeten handelen.”
Wat maakte deze oefening zo bijzonder?
Vincent: “Allereerst de schaal. Er waren 9 oefengroepen met in totaal 12 basisteamdriehoeken, elk met een burgemeester, een teamchef van de politie en een vertegenwoordiger van het Openbaar Ministerie. Daarnaast was het scenario zeer realistisch en complex, waardoor de deelnemers echt werden uitgedaagd om snel beslissingen te nemen.”
Kun je iets meer vertellen over het scenario?
Vincent: “De oefening begon met een digitale dreiging als gevolg van maatschappelijke onrust binnen een gemeente. Vervolgens escaleerde het snel van een DDoS-aanval naar ransomware, waarbij gevoelige data van burgers werd gegijzeld en gelekt. Uiteindelijk werd ook de operationele technologie (OT) bedreigd, wat impact kon hebben op kritieke infrastructuur. Tot slot speelden ook persoonlijke bedreigingen en publieke onrust een rol.”
Welke uitdagingen kwamen naar voren tijdens de oefening?
Vincent: “Er waren verschillende dilemma’s. Hoe ga je bijvoorbeeld om met een ransomware-aanval waarbij gestolen gegevens van burgers op straat belanden? Wanneer grijp je als lokaal bestuur in met een noodverordening? En hoe ziet de samenwerking tussen burgemeester en politie er in de praktijk uit tijdens zo’n crisis? Dit zijn vragen waarop je voorbereid moet zijn.”
Wat waren de belangrijkste leerpunten?
Vincent: “Voor mij was één ding glashelder: Business Continuity Management is een keten, en die is zo sterk als de zwakste schakel. Elke partij – van IT tot bestuur – moet voorbereid zijn en weten wat te doen. De verschillende beslismomenten en dilemma’s kwamen goed naar voren, maar de oefening liet ook zien dat we integraler moeten testen. De crisisdriehoek is slechts één deel van de keten; andere schakels moeten hier ook bij worden betrokken.”
Wat betekent dit voor de toekomst?
Vincent: “Het is essentieel dat gemeenten blijven oefenen en hun aanpak blijven verbeteren. Dit is geen eenmalige oefening, maar een continu proces van testen, evalueren en bijsturen. Cyberdreigingen evolueren, dus onze aanpak moet dat ook doen.”
Heb je nog een tip voor andere gemeenten of organisaties die zich willen voorbereiden op een cybercrisis?
Vincent: “Ja! Zorg dat iedere schakel in de keten weet wat zijn of haar rol is. Een crisis is geen moment om nog na te denken over wie wat doet – dat moet van tevoren al helder zijn. Oefen regelmatig, leer van andere organisaties en durf kritisch naar je eigen weerbaarheid te kijken.”
Hoe kunnen gemeenten elkaar helpen om weerbaarder te worden?
Vincent: “Door open te zijn over incidenten en ervaringen te delen. Cybersecurity is een collectieve uitdaging. Hoe meer we leren van elkaar, hoe sterker we samen staan.”
*****
Wil jouw gemeente ook beter voorbereid zijn op een cybercrisis? Neem contact met ons op voor een maatwerktraining of crisisoefening.
