Wat als de systemen van Studielink er ineens uit liggen en alle UT-studenten uitgeschreven zijn uit hun studie? En dat vervolgens een activistengroep alle ICT-kwetsbaarheden van de universiteit online zet? Het waren precies zulke doemscenario’s die de UT donderdag en vandaag voor de kiezen kreeg. Die oefenscenario’s maakten onderdeel uit van OZON (‘Oefening Zonder Onzinnige Naam’), een tweejaarlijks programma aangeboden door ICT-koepelorganisatie SURF aan universiteiten, hbo-, mbo- en onderzoeksinstellingen en UMC’s. Dit jaar deden 72 instellingen mee aan de oefening.
Halsoverkop naar de Spiegel
In het geval van de UT werden met name de diensten CES en – logischerwijs – LISA getroffen. Dienstdirecteuren Lieke Schreel (CES) en Jan-Laurens Lasonder (LISA) maakten deel uit van zowel het centrale als decentrale gelegenheidscrisisteam. ‘Ook al was het een oefening, het voelde heel echt. Ik moest gisterochtend mijn hele agenda voor die dag schrappen, toen ik uit een meeting werd gehaald en halsoverkop naar de Spiegel moest’, aldus Schreel. ‘Communiceren via Teams ging ook niet. We moesten zelfs een ruimte opeisen van mensen die nota bene die ruimte gereserveerd hadden. Dat hoort er allemaal bij.’
Door zulke oefeningen kan de UT zich wapenen tegen een eventuele cybercrisis, zoals de afgelopen jaren onder andere onderzoeksfinancier NWO en de Universiteit Maastricht overkwam. ‘Zo’n oefening geeft ook inzicht in de onderlinge afhankelijkheden van onze systemen, die door de jaren heen flink complexer en uitgebreider zijn geworden. En het is belangrijk om te weten wie wat doet: hoe communiceren we? En wie beslist waarover? Want dat moet ook in een mum van tijd gebeuren’, aldus Lasonder.
Escape room
In het verleden vonden soortgelijke oefeningen op veel kleinere schaal plaats, zegt hij. ‘Toentertijd alleen met een groepje vanuit LISA. Nu waren tientallen mensen betrokken vanuit meerdere afdelingen, met onder andere ook CvB-vicevoorzitter Machteld Roos. Wat wel een uitdaging bleek was de communicatie. Je hebt weinig informatie tot je beschikking, maar wil mensen toch informeren. Tegelijkertijd wil je niet te veel en niet te weinig bekendmaken.’
Hoewel er nog een officiële evaluatie moet komen, kijken Lasonder en Schreel positief terug op de oefening. ‘Het was leuk en bovenal ongelooflijk nuttig om te doen’, zegt Schreel. ‘Het was als het ontsnappen uit een grote escape room, met elke keer weer een nieuw incident of een nieuwe kwetsbaarheid waar we mee om moesten gaan. Maar het viel me op dat een aantal deelnemers de crisisprotocollen goed kende en kon uitvoeren, waardoor zelfs mensen die niet eerder met zo’n situatie in aanraking waren gekomen er goed in mee konden. Er werd ook goed samengewerkt tussen de teams. Ja hoor, hier zitten twee tevreden directeuren.’