Hvad er KRISØV? KRISØV er den nationale krisestyringsøvelse KRISØV afholdes hvert andet år, serien er startet i 2003 Det overordnede formål er at øve og afprøve den strategiske del af krisestyringssystemet
Det nationale krisestyringssystem Tværgående krisestyringsfora Offentlige aktører Regeringens Sikkerhedsudvalg Regeringen Embedsmandsudvalget for Sikkerhedsspørgsmål Kriseberedskabsgruppen Departementer International Operativ Stab National Operativ Stab Det Centrale Operative Kommunikationsberedskab Styrelser De 12 lokale beredskabsstabe Kommandostadet i indsatsområdet Decentrale, statslige myndigheder, regioner og kommuner
Hvad gik KRISØV 2013 ud på? Større, koordineret cyberangreb Rettet mod kritiske samfundsfunktioner Mærkbare (simulerede) afledte konsekvenser Ustabil og uforudsigelig situation
Vigtige data bliver ændret Mobiltelefonerne ikke virker Energiforsyningen bliver ustabil Nettjenester ikke svarer Varslingsystemer viser forkert Offentlige transport holder stille Mail og internet går ned Side 5 Uvedkommende får adgang til følsomme informationer
Hvad vil vi have ud af øvelsen? Vurdere om krisestyringssystemet fungerer efter hensigten Komme med anbefalinger til ændringer, der kan styrke den samlede krisestyring Styrke bevidstheden og viden om cybertrusler, sårbarheder og afhængigheder mellem kritiske samfundsfunktioner
Hvem deltager? Tværgående krisestyringsfora Regeringens Sikkerhedsudvalg Embedsmandsudvalget National Operativ Stab Lokal Beredskabsstab, København Myndigheder Statsministeriet Forsvarsministeriet Justitsministeriet Udenrigsministeriet Rigspolitiet Beredskabsstyrelsen Politiets Efterretningstjeneste Forsvarets Efterretningstjeneste Center for Cybersikkerhed Sundhedsstyrelsen Forsvarskommandoen Statens IT Digitaliseringsstyrelsen Energistyrelsen Fødevarestyrelsen Søfartsstyrelsen Geodatastyrelsen Trafikstyrelsen Statens Seruminstitut Københavns Politi Region Hovedstaden Københavns Kommune Øvrige aktører Energinet.dk Dong Energy Metroen NETS DR Version2 Computerworld Den britiske ambassade Den norske ambassade Den svenske ambassade
Ikke fokus på tekniske løsninger Erfaring Det tager tid at afværge angreb, diagnosticere metoder og skader og reetablere it-systemer Derfor Ikke realistisk at forvente, at it-afdelinger og it-sikkerhedsmyndigheder m.fl. kan løse de problemer angrebene skaber i løbet af to dage
Klar til KRISØV2013 Tidspunkt Aktivitet 28 AUG Temadag: Cybertrusler og Cybersikkerhed 02 SEP Seminar: Krisekommunikation (DCOK) 13 SEP Klar-til-KRISØV-dag 18 SEP Seminar: Brug af sociale medier 29 OKT Orientering for øvelsestagere og kommunikationsfolk 04 NOV KRISØV generalprøve. Test af kommunikationsmidler 06-07 NOV KRISØV 2013
Ca. 500-1000 deltagere som enten ØVT (blåt hold) eller ØVL (rødt hold) ØVELSESLEDELSEN (Indspil/svar-celle + Mediecelle + Borgercelle) ØVELSESTAGERE R-SIK E-SIK Ministre Departementer Players action Indspil NOST/DCOK Styrelser LBS Decentrale statslige myndigheder Regioner og kommuner Medier Virksomheder Ambassader
Hjemmesider under øvelsen www.krisoev.dk Socialt medie Øvelsesmedier Forside m. adgang til øvrige sider + praktiske informationer Øvelsesledelsens nyhedsbureau Deltagernes øvelseshjemmesider
Hvordan fungerede spillet? Ikke én men flere drejebøger. Indspil fra ØVL, mediecelle, borgercelle og lokale indspillere. ØVL besluttede suverænt: Hvilke systemer, der blev angrebet Hvordan systemerne blev påvirket Om og hvornår systemerne kom tilbage i drift
Socialt medie Blokken KRISØV 2013
DR: Netartikler + Radio
Interaktion er afgørende for succes! Borgere Myndigheder Øvelsesledelse Medier
Evalueringen af KRISØV 2013
Tre fokusområder 1. Det tværgående samarbejde om krisestyringens generelle kerneopgaver for at håndtere konsekvenserne af større cyberangreb. 2. Udbyttet på strategisk-operationelt krisestyringsniveau mht. at styrke bevidsthed om cybertrusler og viden om sårbarheder og indbyrdes afhængigheder i kritiske samfundsfunktioner i forbindelse med større cyberangreb. 3. Opfølgningen på de øvelsestekniske anbefalinger fra KRISØV 2011 rapporten, herunder udbyttet for planlægningen og gennemførelsen af KRISØV 2013 samt anbefalinger til KRISØV 2015.
De fire øvelsestekniske anbefalinger fra KRISØV 2011: Gøre forberedende aktiviteter til en integreret del af øvelseskonceptet. Fokusere på færre, men større og dynamiske scenarier. Sikre at alle modtager indspil, der er relevante i forhold til scenariet. Videreudvikle mediespillet og indspil fra borgere.
Evalueringsdesignet Formålet er at forbedre krisestyringssystemet gennem læring. Evalueringen skal både afdække, hvad der fungerede godt og mindre godt under KRISØV 2013 for at opnå viden om, hvad der bør fastholdes, udbredes, videreudvikles eller ændres. Det er en tværgående evaluering. ØVT er selv ansvarlige for at evaluere, hvordan de varetog krisestyringen internt. Evalueringsdirektiv som formelt opdrag og godkendt i ØVL. For første gang nedsat en evalueringsgruppe med medarbejdere fra både Beredskabsstyrelsen og Rigspolitiet. For første gang udarbejdet koncept for debriefinger. For første gang afholdes et evalueringsseminar. 63 tilmeldte.
Informationsgrundlaget Skriftlige kilder og observationer fra øvelsen (6 observatører) 53 afrapporteringsskemaer fra ØVT og ØVL debriefinger 24 spørgeskemabesvarelser Et evalueringsseminar i morgen, 63 tilmeldte Bemærkninger ifm. kommende høring over rapportudkast
Evalueringsseminaret Seminaret tager primært form af tværfagligt gruppearbejde, der faciliteres af evalueringsgruppen og MeetingSphere. Vi skal nå frem til en bruttoliste med forslag til mulige konklusioner og anbefalinger i rapporten. Alle forslag er velkomne. Efter seminaret sorterer og udvælger evalueringsgruppen forslagene til brug i rapportudkastet. Bruttoliste nettoliste. Alle får mulighed for at kommentere resultaterne ifm. høring. Side 23
Foreløbige fund Vores gennemgang af materialet indikerer blandt andet at: Det nationale krisestyringssystem i sin eksisterende form kan sagtens bruges i en situation, hvor mange myndigheder og kritisk infrastruktur operatører udsættes for cyberangreb samtidigt. I NOST bar forløbet tydeligt præg af, at der efterhånden er tale om godt indarbejdede procedurer, hvor deltagerne indgår i et respektfuldt samarbejde. Klar fælles opfattelse af vigtigheden omkring mødedisciplin. En relativ stram mødeledelse blev positivt fremhævet sammen med sekretariatsvirksomheden og den generelle dynamik i staben. Samarbejdet i DCOK om medieovervågning og krisekommunikation oplevede et markant løft i forhold til tidligere KRISØV er. Men Side 24
Det blev stadigt vanskeligere at håndtere de mange informationer inden for de rammer, der var udstukket for opdateringer af det nationale situationsbillede. Justering dag 2 rettede kun delvist op på dette forhold. I DCOK blev der efterlyst mere struktur og styring, herunder afholdelse af faste stabsmøder samt brug af en fast skabelon for DCOK medie-situationsbilleder. Nye ad hoc deltagere efterspurgte bedre indledningsvis briefing og praktisk indføring i stabenes virke. Dermed fortsat behov for at forbedre plansæt, procedurer og dokumentskabeloner. Side 25
Det er stadig aktuelt!