De zorgsector gaat begin volgend jaar uitgebreide oefeningen houden met cyberdreigingen. Nieuw is dat niet alleen regionale teams die zich bezighouden met crisisbeheersing deelnemen, maar ook landelijke crisisstructuren.
Oscar Koeroo, ciso bij het ministerie van Volksgezondheid, Welzijn en Sport (VWS), kondigde dit aan tijdens OneConference in Den Haag. Een van de voornaamste thema’s op dit internationale cybersecurity-evenement is de aanpak van grote crisissituaties.
Koeroo ging in op de vraag hoe het beste in zulke gevallen is samen te werken. Het vergt nogal wat voorbereiding om bij cyberrampen efficiënt te kunnen communiceren, zeker als daar grote teams bij zijn betrokken. Op kleine schaal binnen de eigen organisatie lukt het meestal wel om de communicatie gesmeerd te laten lopen, maar lastig wordt het als een crisis zich als een olievlek uitbreidt. Koeroo: ‘Dan is belangrijk te voorkomen dat we elkaar gaan overbelasten. Als alles naar hetzelfde punt gaat omdat iedereen bijvoorbeeld gewend is naar het Nationaal Cyber Security Centrum te communiceren, krijg je gegarandeerd een overbelasting op één plek.’ Landelijk liggen de communicatielijnen redelijk goed vast. Regionaal komen de veiligheidsregio’s in beeld. Moeilijker wordt het als de crisis niet twee naast elkaar gelegen regio’s bestrijkt, maar bijvoorbeeld Limburg en Friesland. Koeroo: ‘Weten we elkaar dan te vinden?’
Vliegtuigongeluk
Met verschillende soorten situaties moet worden rekening gehouden. Koeroo zei dat bij de meeste rampen zoals een watersnood of een vliegtuigongeluk alles tot in de puntjes is geregeld. Maar bij een cybersecuritycrisis is dat minder het geval. ‘We weten het zelf ook niet honderd procent’, aldus Koeroo. ‘Dat komt ten dele doordat we niet kunnen leunen op veel ervaringen uit het verleden. Wat dat betreft zijn we nog steeds aan het leren.’ Uit het lek rond Log4j2, een tool die veel in zorgsystemen werd gebruikt, zijn wel nuttige lessen getrokken. Uiteindelijk heeft deze kwetsbaarheid vorig jaar niet tot grote schade geleid. ‘Maar het had ook erger kunnen uitpakken en landelijk kunnen misgaan.’
Mede naar aanleiding van dit incident is in de zorgsector sinds afgelopen zomer intensief geoefend. In Zuid-Holland Zuid hebben het Ghor, Roaz en het Traumacentrum Zuidwest-Nederland meerdere trainingen gehouden. Die waren gericht op één regio. Het ministerie van VWS sluit hierop aan door interregionaal en landelijk te oefenen. Want een crisis kan eerst lokaal ergens sluimeren om vervolgens landelijk last te veroorzaken. Daarom is het zaak ook oefeningen te houden waarbij allerlei variaties van besturingen zijn betrokken. Koeroo: ‘Je kunt wel vooraf afspraken maken, maar dan heb je hier nog geen ervaring mee.’ De ciso besloot zijn betoog dan ook met de oproep uitgebreid te oefenen met complexe situaties. ‘Juist daar kunnen we veel van leren.’