Verslag contactbijeenkomst 17 september 2020: ‘Harmonization of Management of Change and lessons learned of the cyber attack at the University of Maastricht'
25 september 2020 0 comments
Pitbulls en duivelse dilemma’s
In september werd de tweede contactbijeenkomst in het Corona-jaar gehouden. Deze avond stonden twee belangwekkende onderwerpen op de agenda.
Allereerst de resultaten van een enquête over Management of Change en de best practices die daarbij ontdekt zijn. Als tweede de ervaringen met de cyberaanval op de Universiteit Maastricht vorig jaar, met het verlammende effect op alle normale activiteiten, de ethische dilemma’s om eruit te komen en de verkozen openheid in communicatie daaromheen.
NAP-voorzitter Frank van Ewijk opende de avond en constateerde dat er minder mensen dan normaal aanwezig waren, zelfs met de sterk vergrote zaal. Het bestuur had die vanmiddag overleg gehad over wat het beste format zou kunnen zijn om in het ‘nieuwe normaal’ toch met elkaar in contact te kunnen blijven. De oplossing was nog niet gevonden maar dit onderwerp blijft op het netvlies van het bestuur staan. Vanwege corona was voor deze bijeenkomst een aantal maatregelen genomen om de vereiste afstand te houden. Bijvoorbeeld geen wisseling van tafels bij de verschillende gangen en ook slechts 4 mensen aan de grote tafels.
Management of Change: de beste praktijken
De eerste twee sprekers waren Katy Teesink, senior procesingenieur bij Fluor, en via een Teams verbinding Pier Jan Hettema, corporate senior safety expert bij DSM. Als onderdeel van de SIG Process Safety hebben beiden onderzocht hoe het Management of Change proces (MoC) wordt aangepakt door verschillende bedrijven. Daarbij is een enquête gehouden onder de leden van de SIG en bij bedrijven die deel uitmaken van Deltalinqs, om de verschillende ervaringen, benaderingen en beste praktijken te vergelijken.
Om nog even op te frissen wat MoC inhoudt, werd het filmpje van de ramp uit 1974 bij een nylonproducent in Flixborough getoond. MoC is een van de belangrijkste onderdelen van process safety en deze ramp laat zien dat een beetje morrelen aan de installatie tot rampen kan leiden. In het geval van Flixborough was een reactor met cyclohexaan uit bedrijf genomen en daarna weer simpel aan elkaar gekoppeld. Dat leidde op den duur tot het lekken van cyclohexaan met uiteindelijk een explosie met 27 doden, vele gewonden en grote gevolgen voor de wijde omgeving.
Om de resultaten van de enquête te delen, werd een aantal vragen uit die enquête ook voorgelegd aan de zaal. Op de vraag ‘Hoe denken we dat we het MoC proces uitvoeren?’ kon geantwoord worden uit een brede range van “Wat is dat, MoC?’ tot en met ‘het MoC proces is geankerd in ons bedrijf’. De meeste stemmen uit de zaal kwamen terecht op “MoC uitvoering is okay, maar verbeteringen zijn mogelijk’, geheel conform de uitkomsten uit de enquête. De twee bedrijven die de hoogste uitkomst hadden mochten van Katy nog even toelichten hoe dat bij hun bedrijf zit. Pier Jan gaf nog aan dat uit de enquête bleek dat veel bedrijven zichzelf wel redelijk goed beoordelen, maar dat bij nadere beschouwing toch wel opmerkingen zijn te maken.
Op de vraag ‘Wàt beschouw je als een change bij het MoC’ kwam een veelheid van antwoorden. Zoveel mensen in de zaal, zo veel verschillende antwoorden. Pier Jan en Katy vatten het samen onder de kreet ‘Anything not like for like’. De vier hoofdcategorieën daarbij zijn: tijdelijke situatie, noodsituaties, organisatiewijzigingen en technische wijzigingen.
Pitbull
Op de vraag ‘Wie is eigenaar van het MoC proces?’ kon worden gekozen uit een veelheid van functionarissen. De spreiding van antwoorden was hierbij groot. Een goed teken, volgens Katy en Pier Jan. Belangrijk is niet zozeer wie verantwoordelijk is maar dat het één persoon is, dus niet een diffuse verantwoordelijkheid. Een persoon, met mandaat, geautoriseerd om door te duwen en vasthoudend. Een pitbull zoals Pier Jan deze persoon later omschreef.
Op de vraag ‘Wie moet een change melden/aanbrengen?’ bleek dat het beste was dat iedere functionaris dat in principe zou moeten kunnen doen. Hetzelfde gold voor ‘Wie is lid van het MoC team?’; belangrijk daarbij is dat ook een specialist aanwezig is in het team die de documentatie en as-builts kent, maar ook weet van de licenties en de afspraken met de overheid.
Katy en Pier Jan eindigden met drie tips. Allereerst zorg voor goede actieopvolging, met een degelijk systeem van registratie en opvolging. Ten tweede, zorg voor eigenaarschap bij één persoon, ofwel de pitbull zoals eerder genoemd. Als laatste, zorg voor MoC awareness. Iedere laag in de organisatie moet herkennen dat er een verandering gaat optreden en dat hiervoor een degelijk MoC proces nodig is. Zomaar wat morrelen en niet opgemerkte veranderingen kunnen leiden tot problemen met veiligheid of kwaliteit.
Lessen uit een cyberaanval
De tweede spreker was Fons Elbersen, woordvoerder en bestuursadviseur van de Universiteit Maastricht. Hij sprak over de ervaringen bij de cyberaanval eind 2019 op de Universiteit Maastricht. Daarbij werden ongeveer alle ICT-systemen gegijzeld en daarmee kwamen zo ongeveer alle universitaire werkzaamheden van examensmaken en studentenondersteuning tot en met onderzoeken stil te liggen. Alleen de externe website werkte nog, wat uiteindelijk een perfect communicatiemiddel bleek te zijn. De aanval begon, heel slim, op kerstavond, toen alle ICT-ondersteuning en externe diensten net weg waren op vakantie. De eigenlijke start was in oktober dat jaar toen een medewerker een phishing mail opende. Die actie is toen niet opgemerkt. Daarmee konden professionele, criminele hackers de aanval voorbereiden door grote stukken van het ICT-landschap langzaam te infiltreren met malware. Malware die werd geactiveerd op kerstavond.
Ethische vragen
Om tot een besluit te komen heeft het crisisteam overleg gepleegd met ondermeer de Raad van Toezicht van de universiteit, de inspectie en het ministerie. Uiteindelijk moest het crisisteam zelf tot een keuze komen, wat bepaald niet eenvoudig is. Enerzijds geldt het ethische principe dat criminelen niet beloond mogen worden. Anderzijds wordt een hele universiteit lamgelegd met al zijn 20.000 studenten, met examens die op stapel stonden en alle wetenschappelijke experimenten. Een duivels dilemma waarbij men niet over een nacht ijs kon gaan. Het kon geen besluit zijn van het type ‘1+1=2 en neem je verlies’. Studenten worden opgeleid tot kritische burgers en ethiek staat ook hoog in het vaandel bij wetenschappers; als Alma Mater moet je in die geest ook handelen.
De Universiteit Maastricht heeft besloten om open en eerlijk te communiceren over datgene dat aan de hand was. Een geluk bij een ongeluk hierbij was dat de externe website nog wel werkzaam was. Zo kon men communiceren over de ICT-infrastructuur die niet goed in elkaar zat, over de dilemma’s en de afwegingen, de dagelijkse voortgang naar de achterban en buitenwereld. Die openheid heeft ook goed gewerkt naar bijvoorbeeld de journalistiek. Ook na afloop heeft de universiteit besloten het verhaal verder te vertellen vanuit de idealistische overtuiging dat de universiteit een plek is waar dingen kunnen worden geleerd. Maar ook om het onderwerp van cyberaanvallen en de bijhorende ervaring, politiek te agenderen, omdat deze aanvallen steeds vaker voorkomen. Daarbij behoort ook het besef dat de tegenpartij geen hackende pubers meer zijn maar steeds professioneler worden.
FoxIT vermoedt dat bij de Universiteit sprake was van een bekende Russische professionele hackersgroep, gezien de sporen die zijn achtergelaten en de methode van werken. Die groep heeft het businessmodel om na betaling de systemen weer vrij te geven aan ‘de klant’ en om geen data te stelen. Maar ook dat was in het begin allemaal niet zeker en moest proefondervindelijk uitgezocht worden. Deze groep ziet zichzelf als een soort Robin Hood en de leden worden beschouwd als glamourboys. Overigens gaven ze na afronding van de betaling ook nog een top 10 van tips om cybergijzeling in de toekomst te voorkomen. Er zijn ook heel andere groepen actief die het spel heel wat ruwer spelen en waarbij bijvoorbeeld minder scrupuleus met de verkregen data wordt omgegaan.
Lessen
Fons vatte de lessen aan het eind nog eens samen. Allereerst is awareness heel belangrijk. Het schijnt dat 20% van de mensen nog op een phishing mail reageert; het kan dus ieder bedrijf overkomen. Ten tweede zorg dat de ICT-spullen op orde zijn met voldoende branddeuren, detectoren en virusscanners. Tenslotte, doe het niet alleen. Ga bijvoorbeeld samenwerken in je branche; dat kan ook schelen in het delen van investeringen, mensen en kennis.
NAP SIG PS - Management of Change Eindrapport