- “Als ik weer gebeld word dat er een ransomware-aanval gaande is, dan neem ik ontslag."
- “Het incident is inmiddels zes maanden geleden en ons IT-team is nog steeds onrustig."
- “Als ik thuis ben, dan ben ik alleen en dan komt de impact van het incident pas echt binnen."
Verschillende opmerkingen die ik tijdens incidenten heb gehoord. Het went niet. Elke situatie is anders, iedere organisatie is anders en iedereen reageert anders. Ik heb security incidenten meegemaakt waarbij het onbeschikbaar zijn van de bedrijfsprocessen mensenlevens in gevaar bracht. En tegelijkertijd kom ik ook organisaties tegen waarbij een onbeschikbaarheid van een weekend of week acceptabel is wegens het type dienstverlening of de vakantieperiode. De ene organisatie beschermt haar medewerkers tegen lange, intense werkdagen tijdens de afhandeling van het security incident, terwijl de andere organisatie vraagt medewerkers bijna non-stop door te werken en op zoek te gaan naar de schuldige.
Overeenkomsten zijn er ook
En toch zijn er overeenkomsten. De focus ligt op het beperken van de schade en het zo snel mogelijk weer operationaliseren van bedrijfsprocessen. Men wil weten hoe dit incident heeft kunnen gebeuren. De beschikbaarheid van de back-ups is cruciaal. De betrokkenen willen zo snel en zo veel mogelijk informatie ontvangen over de impact voor hen. En de cybercriminelen proberen de druk te verhogen.
Door deze overeenkomsten kunnen organisaties zich voorbereiden om security incidenten zo snel en effectief mogelijk af te handelen. Voor mij – onderdeel van een Computer Emergency Response Team - geldt dat ook, waarbij ik flexibel om wil blijven gaan met de unieke factoren van elk incident. Natuurlijk kijk ik naar business impact en de schade die hierbij hoort. Maar óók het herkennen van de impact op persoonlijk vlak is van groot belang. Security incidenten en crisissen kunnen namelijk een enorme impact hebben op personen, de getroffen organisatie, stakeholders en soms ook de maatschappij. Door hier aandacht aan te besteden kunnen de korte, maar ook lange termijn gevolgen van een security incident verkleind worden.
Onzekerheid en onvoorspelbaarheid: zorg voor meer grip en inzicht
Hoe lang duurt het herstel? Werken mijn back-ups? Wat als er data gestolen wordt uit mijn omgeving? Zijn er specialisten beschikbaar die mij kunnen helpen? Wat als mijn klanten claims gaan indienen? Welke impact heeft dit incident op onze reputatie?
veelvoorkomende vragen binnen organisaties
Angst voor een cyberaanval komt vaak voort uit onzekerheid of twijfel over antwoorden op vragen zoals deze in combinatie met het onvoorspelbare karakter van cybercriminelen. Tegelijkertijd zien we hoe organisaties steeds meer grip en inzicht krijgen ten aanzien van hun risico’s. Regelmatig spreken we met klanten die zich zorgen maken over de impact van een security incident en daar iets aan willen doen voordat het zover is. Zij treffen security-maatregelen zoals het instellen van multifactor-authenticatie en antiphishing-beveiligingsfuncties om de kans op een succesvolle aanval te verkleinen. Daarnaast begrijpen zij ook dat 100% security niet bestaat. Er worden dus ook maatregelen geïmplementeerd om een aanval zo snel mogelijk te detecteren en om hierop te reageren zoals het 24/7 monitoren van de active directory, firewalls en endpoints.
En dan? Zelfs dan heb je geen garantie dat je geen security incident gaat meemaken. Betekent dit dat de angst terecht is? Of dat je meer preventieve en detectieve maatregelen moet nemen? Nee, bepaalde risico’s accepteer je. Voor deze risico’s kan je voorbereidingen treffen die je zelfverzekerder maken dat jouw organisatie en team er klaar voor is.
Bereid je voor op een security incident
Ook wij merken dat de gesprekken met klanten over security incidenten verschuiven van “wordt mijn organisatie gehackt?” naar “wanneer wordt mijn organisatie gehackt?”. Ik adviseer bedrijven om nog een stap verder te gaan en zich voor te bereiden op een security incident. Zorg ervoor dat jullie organisatie "incident response ready" is en mocht het zover komen, dat de impact van een security incident geminimaliseerd wordt.
Hoe je dat kunt doen? Het is verstandig om dit te doen op basis van risico’s en dreigingen die voor jullie organisatie relevant zijn. Vanuit daar kun je incidentscenario’s en de gewenste acties uitwerken. Denk hierbij aan de acties die je als organisatie uit wilt voeren na het ontdekken van een ransomware-aanval. Hoe stop je de aanval? Wie controleert of de back-up nog beschikbaar is? Naar welke stakeholders wil je communiceren? En wat wil je communiceren? Deze scenario’s en bijbehorende acties link je aan een incident response plan. Door de scenario’s te oefenen zorg je er niet alleen voor dat de betrokkenen op de hoogte zijn van wat er van ze verwacht wordt, maar ben je ook in staat om verbeterpunten te identificeren. Deze voorbereiding en concrete afspraken zorgen voor een zekerder gevoel voor en tijdens incidenten en een lagere impact op de betrokkenen en organisatie.
Laten we van elkaar leren, elkaar helpen en ervoor zorgen dat de voorbereiding op een incident wél went.
Lisa de Wilde adviseert en ondersteunt organisaties die zich willen voorbereiden op security incidenten en crisissen en/of die slachtoffer zijn geworden van cybercriminelen.