SSH Utrecht beheert studentenhuisvesting en alles wat daarbij komt kijken: van huurprocessen en bewonersdata tot gebouwgebonden systemen die steeds vaker online hangen. Met zo’n brede internetstack, van backoffice-applicaties tot camera’s en zonnepanelen, groeit ook de impact van een cyberincident. Daarom zocht SSH een manier om cyberrisico’s niet alleen op papier te managen, maar echt te ervaren: wat gebeurt er als het misgaat, wie moet wat beslissen, en waar zitten de gaten?
De uitdaging
De belangrijkste uitdaging zat niet in onwil, maar in nonchalance die er soms ongemerkt insluipt wanneer het dit thema betreft. Maar SSH werkt dagelijks met veel persoonsgegevens en operationele afhankelijkheden en daarom is het een belangrijk agendapunt. Daarnaast speelde mee dat SSH al wel onderdelen had opgesteld, maar dat een praktijktoets ontbrak: wat werkt er echt onder druk, als je keuzes moet maken met incomplete informatie?
Doelstellingen:
SSH wilde met de training en oefeningen vooral bereiken dat:
- bewustwording tastbaar wordt: wat betekent een hack concreet voor SSH, medewerkers en bewoners?;
- besluitvorming onder druk geoefend wordt, inclusief escalatie en rolverdeling;
- bestaande plannen gespiegeld worden aan een realistische situatie;
- er concrete verbeteracties uitkomen rondom crisismanagement, leverancierslijnen, back-ups en overzicht in systemen.
Waarom CCRC?
De keuze voor CCRC was opvallend eenvoudig: SSH had eerder via de gemeente Utrecht een vergelijkbare sessie gevolgd en was direct overtuigd van de aanpak. De combinatie van praktijkvoorbeelden, energie en interactie maakte het onderwerp toegankelijk én urgent, zonder te vervallen in bangmakerij.
De aanpak
De aanleiding kwam vanuit de Raad van Commissarissen (RvC) en het MT: zijn we eigenlijk wel ‘in control’ als het gaat om ransomware en cyberdreigingen? Daarom startte SSH bovenin de organisatie:
- MT + RvC in een crisissimulatie met besluitvorming, risico en governance
- Daarna middelmanagement in meerdere sessies, om verschillen in perspectief en reacties te zien en de organisatie breder weerbaar te maken.
De oefening werd bovendien op maat gemaakt: SSH bracht de eigen context in (systemen, architectuur en partners/leveranciers), waarna CCRC een scenario uitschreef dat daarop aansloot.
Het resultaat
De grootste winst zat niet in een ingenieuze oplossing, maar in het effect op houding en gedrag: mensen voelden de druk en zagen hoeveel er op ze afkomt bij een incident. Dat maakte kwetsbaarheid en afhankelijkheden ineens heel concreet.
Ook in de teamsessies was de impact zichtbaar: managers reageerden verbaasd en gaven aan direct anders te gaan werken, bijvoorbeeld kritischer voordat ze ergens op klikken of data delen.
De opvolging
Na de sessies is SSH met een kleinere groep verder gegaan op crisismanagement en het doorvertalen van inzichten naar beleid en borging. Concreet werd er gekeken naar:
- een ‘map uit de kast’ die iedereen kan pakken: wie bel je, wat doe je, welke stappen zet je?
- betere borging van afspraken met leveranciers en beveiligde lijnen;
- back-up/contingency-planning en overzicht over cloud vs. on-premise applicaties;
- het structureel herhalen van bewustwording (niet éénmalig, maar als leerlijn).