Ik heb de website gezien. De characters voor gameplay, Mirjam, Brian, Nanette en Stan wekken niet de indruk te gaan (be)kennen uit welk glas water ze gedronken hebben. Daar zijn ze namelijk veel te jong voor. De belangrijkste vraag is, waarom Rijkswaterstaat deze promo en deze gameplay verspreidt, en welke actieknoppen ze hiermee willen activeren.

Een ervaren crisis team heeft hier geen beep aan.
Een onvervaren crisis team krijgt de verkeerde instructies.

De eerste actie bij signalen van een ransomware uitbraak is een complete lockdown internet uit systemen uit personeel op hun plaats niet laten vertrekken of arriveren tot gecleared is. CERT of ander team moet onmiddelijk ingeschakeld worden en enig extern team dient opgeroepen te worden. Teamleads dienen onmiddelelijk na te gaan bij alle betrokkenen buiten het crisisteam om of er bijzonderheden zijn opgevallen zodat dit gebundeld per afdeling richting crisis team, CERT of auditor kan voor meeweging omtrent de analyse en mitigations.

Je gaat niet eerst overleg voeren wat er gedaan moet worden elke seconde telt en elke seconde dat de lijnen en systemen up zijn is een mogelijkheid tot exfiltratie van data, infratie via andere vectors en vervuiling van logs. Enige schade door het afsluiten van het netwerk is minder dan het risico tot schade door connecties up te houden.

Een crisis protocol bestaat ook niet uit 1 bladzijde met een mooi grafiekje dat is een draaiboek. In dat draaiboek heb je afzonderlijke kaarten zitten voor soort incidenten je kunt niet op basis van 1 basis richtlijn opschalen en de gene die opschaalt weet al groot en deels welke stappen gevolgd worden.

Een crisis team hoeft ook niet uit te leggen wat de gunstige of minst gunstige geval is aan de betrokken crisismanagers. Het is er om op te lossen ieder in dat team moet van elkaar al weten wat worst case scenario is voor elke afdeling voor aanvang van een situatie. Dat moet vervolgens in je crisis management documentatie al beschreven staan en groot en deels in je hoofd zitten als lid. Naast een compleet up to date systeem, applicatie en processen overview die binnen minuten ieder voor zijn neus kan hebben.

Als je al niet van te voren weet of al je back-ups op 1 netwerk bevinden of secundair worden opgeslagen heb je al gefaald als IT director. Dat zijn zaken die je onderzoekt *voor* je uberhaubt een contract aangaat met een leverancier dat zit in de ontwerp fase van je infrastructuur.

Je gaat ook niet pas beginnen met het maken van een intern en extern communicatie plan die heb je klaar liggen waar je simpelweg het onderwerp datum en personen en leveranciers in aanpast. De opzet is van te voren al goedgekeurd door HR, communicatie en staat klaar op een compleet losse omgeving want je kunt er niet van uit gaan dat je interne systemen nog goed functioneren. Tegelijk moet HR, communicatie als belteam iedere manager benaderen en wijzen op de situatie. Tijdelijke radio stilte extern tot meer duidelijk is meestal de norm. Radio stilte intern en richting partners is a big no go.

Social media teams dienen een template klaar te hebben die op nog te benaderen kanalen kan worden gebruikt.
"Wegens omstandigheden is X momenteel niet bereikbaar. Meer informatie volgt later. Excuses voor onderbreking."

Op de vraag of er losgeld moet worden betaald nee simpelweg nee.
Daar is geen overleg over nodig dat is een keiharde voorwaarde. Als er een lid in het crisisteam zit die dat voorstelt dan is er iets goed mis met je keuze in crisis managers.
Betaal je dan zeg maar dag tegen je verzekering. En zoals wel correct aangegeven gelukkig in de video is er geen enkele garantie dat je er iets verder mee opschiet.


Een bedrijfs crisis simulatie in dit geval van ransomware is niet iets dat je met een video of simpele game af kan doen dat vergt pentesting en redteam event het liefst onaangekondigd om je zwakheden in kaart te brengen het is net als een onaangekondigde brandoefening je gaat hele andere reacties waarnemen dan als je het van te voren aangeeft onder het genot van een kop koffie.


Dit is geen game dit is een 80s training video montage met welgeteld 9 vragen waar cruciale informatie ontbreekt en ernstige fouten worden begaan in de zogenaamd juiste aanpak naast de slechte aanpak.

Als je een bedrijf wilt helpen als manager hier mee om te gaan alsjeblieft schakel experts in die je kunnen helpen bij het maken van een aanpak en personeel training geven waar nodig. Dit bereidt je niet voor en geeft hele slechte verwachtingen over wat er echt bij een crisis management situatie komt kijken.

De game is een eenvoudige instap die overleg stimuleert en mensen betrokken maakt met een crisis zonder dat dit grote voorbereiding nodig heeft of dat je afhankelijk bent van een consultant die het spel begeleid. De game is al veel gespeeld met zeer goede resultaten en doet precies wat het moet doen.

Het is heel makkelijk om van alles te vinden, maar speel het daadwerkelijk een keer met een groep relevante personen en kom dan je met je conclusies.

En wat moet het precies doen? Een realistisch scenario als simulatie geven?

Waar is de DPO in dit team en verhaal?. 750 medewerkers (video) (of 450 want spelhandleiding documentatie wijkt af onder 1.3 Metafoor:) actief in essentiele sector vallend onder NIS / NIB-richtlijn (straks NIS2) en niet processen in orde al hebben? DPO is dus verplicht mist in dit complete verhaal.

Dan vervolgens Castra valt automatisch ook onder de NIS als Digital Service Provder (DSP)
Hoeveel klanten zijn potentieel getroffen (wordt niet besproken wordt gezegd alle wat geen data is) is wel noodzakelijk om te weten of dit een verplichting melding moet zijn richting CSIRT-DSP en dat is informatie wat weer noodzakelijk is voor je dossier als het datalek door externe is ontstaan nog niet te hebben over de verzekering kwestie.

Dit was origineel ontwikkeld voor Ministerie van Infrastructuur en Waterstaat niet voor het MKB toch?
Dan waarom wordt een essentieel bedrijf aangehaald in een simulatie en vervolgens in de verhaallijn benaderd alsof het een MKB is als de originele doelgroep van de training een ministerie betreft en vermoedelijk aanverwante essentiele sector partners.

Daar beoordeel ik het op. Niet op dat het nu vrij gegeven is voor MKB maar hoe dit als een relevant scenario ooit kon dienen voor de originele doelgroep. Want als dat al niet klopt dan hoe is het accuraat voor andere groepen.


En nee ik ga dit niet in een team testen. Ik heb de spel handleiding gelezen. Als ik met deze vragen kom richting leden over ransomware denkt men hier dat ik een grap maak. Ik ben niet je doelgroep van de training we maken gebruik van NEN-EN-ISO 22301 in combi met ISO 27001. Maar ik zie ook geen enkele informatie waar ik wat aan had gehad als ik zou beginnen met een nog op te zetten crisis management team ergens in mijn carrière. Ik vind dit niveau van orientatie ver ondermaats gekeken naar de originele doelstelling en groep.

En laten we wel wezen dat is een mening maar wel eentje die ik geef met het kritisch oog als iemand die ransomware situaties heeft afgewikkeld. En als dit ook maar 1/10 was wat daarbij kwam kijken dan had me dat weken aan tijd bespaard en rapporteren. Maar de realiteit is het is allemaal niet zo eenvoudig en er is niks laagdrempelig aan en zonder begeleiding kom je hier niet uit als team tenzij het al je werkgebied is. Was het maar zo maar dat is leven in een sprookje en dat doen helaas genoeg bedrijven al.

Doe er mee wat je wilt. Mijn conclussie blijft dit geeft verkeerde instructies en ik heb niks gehoord van tegen argumenten waarom die conclussie fout zou zijn. Ik zie een verkoop praat antwoord terug en daar zijn we niet voor op dit forum.

Disclaimer: Ik schrijf altijd onder eigen naam en niet anoniem. Ik heb geen rol bij de inhoud van het scenario of het oefenen daarvan, wel aan het faciliteren ervan.

Een deel van de vragen zijn niet aan mij om te beantwoorden, maar hier is wat ik zie.

Als je een groep mensen bij elkaar brengt om het hebben over een een crisis situatie en ziet wat daarbij komt kijken is dit al een aanzet om kritisch te kijken wat er in het eigen bedrijf beschikbaar is. Jij reageert als een expert terwijl de deelnemers dit niet zijn. Ook als een crisis zich ontvouwt schakel je als het goed is zo snel mogelijk experts in. Maar zoals we bij diverse voorbeelden uit de praktijk zien, heeft niet elke organisatie dit op een rijtje. Ook zie je dat bij een crisis soms belangrijke stappen vergeten worden, dit scenario is een prima startpunt voor veel organisaties om bewust te worden dat er wat mist, welke onderdelen een crisis bevat en dat daar veel bij komt kijken.

Je hebt het over allemaal normen, maar veel medewerkers in een organisatie zijn daar helemaal niet bekend mee of bedreven in om die toe te passen en het spelen van een scenario leidt in zo'n geval tot bewustwording.

In feite schrijf je het zelf al "Maar de realiteit is het is allemaal niet zo eenvoudig en er is niks laagdrempelig aan en zonder begeleiding kom je hier niet uit als team tenzij het al je werkgebied is. "

Daarmee maak je in feite het punt wat ik wil maken.

Dus wees blij met jouw kennis en ervaring, maar iets milder met het oordelen over andermans kennis en ervaring.

Er zijn maar zeer weinig organisaties klaar voor een ransomware aanval. Dit is een middel om weer een stapje verder daarin te komen en uit de praktijk blijkt dat dit middel organisaties in actie brengt en als zeer positief wordt ervaren.

Andersom gevraagd: Hoe zou een scenario er volgens jou uit moeten zien, maar toch breed toepasbaar zijn? Wat zou jij willen zien wat organisaties doen?

Ik vind het initiatief om dit laagdrempelig en gratis aan te bieden een enorm goede stap en hopelijk vanuit de bevindingen wordt het zelfs mooier en beter. Ik snap dat niet iedereen er positief tegenaan kijkt, maar hou ook een open blik. Je kunt me altijd bereiken als je een verder dialoog wilt. Ik krijg geen meldingen van reacties, dus kans dat ik die dan mis hier.