AVR over de aanmelding voor Cybernautics-FERM | Interview Martin Geerders
AVR neemt Cybernautics-FERM minstens zo serieus als wij, en stuurt op 12 juni een team medewerkers naar onze cybercrisisoefening. We gingen in gesprek met Martin Geerders, Manager ICT bij AVR, om te vragen hoe het staat met de voorbereiding en de verwachtingen. Daarnaast trokken we uiteraard de parallel met het ‘real world scenario’ van de grootschalige brand op de locatie van AVR in Rozenburg.
“Als operationele organisatie hebben we al een grote vuurdoop gehad. Ik maak me dan ook geen zorgen over hoe we gaan reageren op een cyberincident – maar blijven oefenen is ook dan heel waardevol. Het zelfvertrouwen van een organisatie komt niet uit een handboek.”
Oefenen, oefenen, oefenen
“Voor ons als organisatie is deelnemen aan Cybernautics-FERM op 12 juni heel relevant, en dan zowel de oefening zelf als de training vooraf. Oefenen kun je simpelweg niet vaak genoeg doen. Je wordt vaak overspoeld door handleidingen en richtlijnen en frameworks, maar praktisch oefenen biedt echte waarde. En dat helpt je ook om de rest op orde te krijgen. We werken intern doorlopend aan incident respons plannen en trainingen, en daar wil je scherp op blijven. We weten bovendien dat Geraldine en jullie team dat heel goed doen, dus daar laten we ons komende maanden graag door inspireren.”
“Qua voorbereiding, het maakt wat mij betreft eigenlijk niet uit of je er helemaal klaar voor bent. We weten bij AVR dat trainen en oefenen als geen ander helpt – als je het maar vaak genoeg doet.”
“Daarnaast is het enorm waardevol om die ervaring met collegabedrijven te delen. Als AVR zijn we ook host geweest van de FERM Ontbijtsessie waarin Royal Dirkzwager te gast was voor hun verhaal over de ransomware. Ook daaruit bleek dat de community-functie van FERM onovertroffen is. Als je van een incident wil leren, en de bedrijven uit de regio hopelijk voor zo’n scenario wil behoeden, is het kennisnetwerk ideaal.”
Dynamiek van een crisis
“Het doorlopen van een praktische oefening geeft een goed inzicht in je staat van paraatheid. We hebben vorig jaar onze volledige detectie en respons en operations center naar het hoogste niveau getild, dus we worden 24/7 goed in de gaten gehouden. Preventie en detectie zit dus wel goed. Maar recovery, het herstel van een potentieel incident, dat is iets wat je zelf moet regelen – en moet ervaren, oefenen.”
“De techniek staat klaar voor het technische herstel, maar bij een incident spelen er ook hele andere zaken. Stress, tijdsdruk, de impact. Mensen buiten de reguliere beslisboom gaan meedoen – je moet de autoriteiten betrekken, directie en aandeelhouders meenemen, het NCSC, de verzekering. Dat soort processen zijn heel complex. Wie ga je bellen, wie gaat wie bellen, wat is de boodschap, wat zijn de maatregelen?”
“Als jouw bedrijf wankelt en je logistiek gaat plat, dan heeft dat impact op je omgeving – en dat is ook iets wat je in een realistische setting mee moet maken. Je afhankelijkheid van de keten, maar ook in hoeverre je op elkaar kunt bouwen.
Je hebt zoveel kleinere ketenpartners die essentieel zijn voor je continuïteit – en die hebben echt geen CISO. Op deze manier, in de bijzondere publiek-private samenwerking van FERM waarbij de hele keten betrokken is, kunnen we ze daarin meenemen.”
– Martin Geerders, Manager ICT, AVR
Zelfvertrouwen
“In het najaar hadden we die grote brand. Als operationele organisatie hebben we al een grote vuurdoop gehad. Ik maak me dan ook geen zorgen over hoe we gaan reageren op een cyberincident – dat is deels schouderophalen, ‘kom maar op’, want je hebt al iets ergers meegemaakt. Dat is vervelend, maar ook prettig. Toch is blijven oefenen heel belangrijk.”
“Dat laatste bleek ook in die fysieke crisis. Het datacenter stond bijvoorbeeld letterlijk op het punt om onder water te verdwijnen. Twee blusboten, een miljoen kuub water, je kunt het je bijna niet inbeelden. Je merkt dan dat er mensen opstaan en de schouders eronder zetten, om in dit geval met een schroevendraaier de back-up er fysiek uit te halen en naar een hogere verdieping te brengen. Ik denk, met andere woorden, dat we goede mensen hebben die in geval van nood ook adequaat reageren, zeker, maar het is heel prettig om ze dat zelf ook te laten ervaren. Want uiteindelijk komt het zelfvertrouwen niet uit een handboek. Omgaan met stress, tijdsdruk en impact leer je ook niet op papier – dat moet je meemaken.”
Bouncebackability
“Als jouw bedrijf wankelt en je logistiek gaat plat, dan heeft dat bovendien direct impact op je omgeving – en dat is ook iets wat je in een realistische setting mee moet maken. Je afhankelijkheid van de keten, maar ook in hoeverre je op elkaar kunt bouwen. Je hebt zoveel kleinere ketenpartners die echt essentieel zijn voor je continuïteit – en die hebben echt geen CISO. Op deze manier – in de bijzondere publiek-private samenwerking van FERM, waarbij de hele keten betrokken wordt – kunnen wij ze meenemen in het geheel.”
“Dat is ook onze verantwoordelijkheid in het kader van de NIS2: de kleinere organisaties naar een hoger plan tillen, hun bouncebackability aan de tand voelen en ondersteuning bieden in cyberweerbaarheid. Ik kom zeer regelmatig op andere plekken dan de haven en daar wordt echt met jaloezie gekeken naar hoe wij het met FERM voor elkaar hebben in Rotterdam.”
Teamprestatie
“Interessant om nog te vermelden is het feit dat het BOB-proces uit het FERM Incident Responsplan ook bij die brand leidend was – dat hebben we letterlijk toegepast. ‘Wat is er aan de hand, hoe schatten we dat in, wat gaan we doen’. Het is een bijzonder waardevol praktisch handvat. Een goed draaiboek voor je incident respons heeft twee niveaus, technisch en organisatorisch. Die eerste behandelt zaken als welk moment netwerk afsluiten, firewall inrichten, echt je IT-kant, dus ook detectie en herstel. Maar daar zit dan een organisatorische laag boven waarin afgestemd wordt wanneer welke maatregelen worden afgeroepen, wie daar over gaat, en hoe dat ingevuld wordt.”
“We weten uit ervaring dat je dat laatste moet oefenen, in het proces: wie doet wat, wanneer. Dat is waarom jullie aan organisaties vragen om bij voorkeur een team van drie te sturen, bijvoorbeeld vanuit management en IT, maar ook communicatie. En waarom wij met een afgewogen afvaardiging komen, organisatorisch gezien. Want je moet ook als team opereren.”
“Als we nog eens naar het incident van september kijken is dat weer heel relevant. Neem je bijvoorbeeld de keuze om de uitwijkprocedure in te gang zetten; het hele netwerk overzetten naar een andere locatie? Druk je op die knop, dan verlies je ook data. Een back-up is niet in real-time, er zijn dus consequenties. Dat doe je dus alleen in geval van nood – maar het water stond letterlijk aan de drempel. Gaan we het doen? Het is bijna een film. De een brengt zandzakken, de ander die schroevendraaier voor de back-ups. Het framework kan er zijn, maar je hebt het nog niet gedaan, nog niet daadwerkelijk meegemaakt. Oe-fe-nen!”
Meer informatie en aanmelden? Kijk op ferm-rotterdam.nl/cybernautics
Sluit je aan bij FERM
Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.
Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.
Besluit je na 3 maanden om participant te blijven, dan krijg je 1/3 van de fee ook direct als voucher retour.
Vind FERM ook op LinkedIn