De kans dat een organisatie getroffen wordt door een cyberincident is 1 op 8. Maar het voorbereiden op en het oefenen van een cybercrisis wordt nauwelijks gedaan. “Het beperken van de schade zit in een goede voorbereiding”, stelt Job Kuijpers, CEO bij EYE Security.
Organisaties ontdekken een cyberincident vaak te laat. Op dat moment is er al iets aan de hand; er is veel geld verdwenen, data gestolen of alle systemen zijn op slot gezet door ransomware. Dat is het moment dat de processen stil komen te liggen en dat het duidelijk wordt dat een organisatie getroffen is. “In die eerste fase zien we vaak dat er paniek is en er intern spanningen ontstaan om een verantwoordelijke aan te wijzen”, zegt Kuijpers. "Dat is het moment dat een organisatie zich realiseert hoe afhankelijk het is van IT voor álle processen, niet alleen de primaire. En dat is ook vrij snel voelbaar buiten de organisatie.”
Juist in die eerste fase gaat er meestal veel mis, weet de CEO. “Daarom is het belangrijk om snel het crisisteam te alarmeren en een cybersecurity expert in te schakelen. Anders verlies je onnodig veel tijd doordat er onzekerheid is over de verantwoordelijkheden en hoe dit allemaal kon gebeuren. Ook zien we vaak dat de interne IT-organisatie eerst zelf zaken probeert op te lossen, al dan niet met behulp van de externe IT-leverancier. Maar daar wordt juist vaak grote schade aangericht door gebrek aan expertise en dat is bepalend voor het herstel. Men onderschat de professionaliteit van de aanvallers. Kun je binnen 24 uur weer up and running zijn of wordt dat een kwestie van dagen of zelfs weken?”
In hoeverre is het belangrijk dat een crisismanager technologische kennis heeft?
“Hoewel de rol van een crisismanager vooral coördinerend is, is het vooral bij cyber belangrijk dat hij het vermogen heeft om technologisch te snappen wat er aan de hand is. Een cyberaanval is bij uitstek een technisch probleem dat vooral technisch opgelost moet worden. In de praktijk zie ik vooral in dit soort situaties een gebrek aan kennis. Maar die kennis is wel noodzakelijk om de rust te bewaren en de feiten boven water te krijgen waarop je kunt baseren welke acties noodzakelijk zijn. Het vergt enige technische kennis om dit soort crises goed te kunnen managen.”
Waar ligt uiteindelijk de verantwoordelijkheid in een organisatie?
“Altijd bij de board. Je kunt niet de huidige risico- en schadecijfers hebben – bij grote organisaties komt de gemiddelde schade op 3,7 miljoen euro – zonder dat de board hier direct bij betrokken is. Een aanval raakt direct het belang van aandeelhouders, dus het is primair een taak van de board. Zij zijn verantwoordelijk voor een goede voorbereiding en het opstellen van een incident response plan.
Maar met alleen zo’n plan ben je er nog niet. Het is cruciaal dat je ervoor zorgt dat de mensen in je organisatie op de hoogte zijn van dat plan en weten hoe ze moeten handelen in geval van een cybercrisis. Daarom is het zo belangrijk om ook op boardniveau te oefenen met zo’n crisis, in bijvoorbeeld een table top oefening. Als board ben je verantwoordelijk voor het bouwen van een robuust operationeel proces. De kans dat er een cyberincident plaatsvindt, is 1 op 8, daar móet je als board op voorbereid zijn. Bovendien zijn dit de mensen die tijdens de crisis zelf de keuzes moeten maken over de te accepteren schade, kosten, alternatieve processen en het al dan niet betalen van losgeld.”
Hoe bereid je je als organisatie voor op een cybercrisis?
“Het begint altijd bij de technologie, want het is een technologisch probleem dat je ook op die manier moet oplossen. Om voorbereid te zijn, moet je kunnen zien wat er op je systemen gebeurt en wanneer dat afwijkt van de normale patronen. Op het moment dat je verdachte activiteiten ziet op je systemen, moet je kunnen ingrijpen en de professionals hebben die weten hoe ze de juiste dingen moeten doen.
Vergelijk het met een sprinklerinstallatie. Daarmee ben je in staat om direct te blussen wanneer er brand ontstaat. Als je op dat moment nog de brandweer moet gaan bellen, ben je rijkelijk laat. Juist die sprinklerinstallatie maakt het verschil. Dat is ook zo met een cyberaanval. Als je technisch goed voorbereid bent, kan dat het verschil zijn tussen de aanval afslaan of dagenlang stilstaan.”
Naast technische kennis en mensen, zijn er ook andere aspecten die je als crisismanager op je bord krijgt, zoals het informeren van de benodigde instanties, maar ook de medewerkers, klanten en leveranciers. Welke rollen moeten, naast een technische partij, aan tafel zitten bij een cybercrisis?
“De afdeling communicatie, of een extern bureau, is cruciaal. Zij moeten zowel intern als extern communiceren over wat er gebeurt, wat er gedaan wordt, of er mogelijk data is gelekt, maar ook over welke diensten bijvoorbeeld nog gegarandeerd kunnen worden. Ook moet je nadenken over de communicatie met bijvoorbeeld criminelen, in het geval van ransomware, en met overheidsinstanties en mogelijk de media.
Daarnaast is juridische ondersteuning belangrijk, voor alle aansprakelijkheden naar leveranciers, klanten en andere ketenpartijen. Maar ook op het gebied van de AVG. Welke verantwoordelijkheid heb je op welk moment en wanneer moet je welke zaken melden bij de Autoriteit Persoonsgegevens? Het is belangrijk dat deze afdelingen ook voorbereid zijn op een crisissituatie en daarmee hebben geoefend.”
Hoe belangrijk is het regelmatig oefenen van een cybercrisis?
“Enorm belangrijk. Je wilt zeker weten dat iedereen weet wat hij of zij moet doen, zodat de schade aan de voorkant al beperkt kan worden. Voorkomen is altijd beter dan achteraf repareren. Ook qua business continuïteit moet je vooraf nadenken over wat je kunt en gaat doen wanneer de systemen uitvallen. Zijn er alternatieven? Een oefening kan inzicht geven in hoe je snel weer up and running kunt zijn na een aanval. Niet alleen de board moet oefenen, ook procesmatig moet een cybercrisis regelmatig worden getraind. En dat is niets anders dan een brandoefening, gewoon om te borgen dat iedereen weet wat hij moet doen.”
Hoe pak je zo’n oefening aan?
“Er zijn verschillende organisaties die je daarbij kunnen helpen. Zij lopen een cyberincident van A tot Z helemaal door en voegen daar een table top oefening aan toe. Daarbij worden de verantwoordelijkheden helder gemaakt en wordt er gezorgd voor een degelijk incident response plan.
Het mooie van zo’n oefening is dat ook de hiaten worden blootgelegd waarmee je vervolgens als board en organisatie aan de slag kunt. Wat je dient te voorkomen is dat zo’n oefening beleidsmatig wordt gedaan zonder dat er bij wijze van spreken een sprinklerinstallatie en brandblussers worden geïnstalleerd. Dat geeft een vals gevoel van veiligheid.”
Tot slot, wat adviseer je crisismanagers wanneer ze zich geconfronteerd zien met een cybercrisis?
“Zorg dat je direct een technische incident response partij aan tafel krijgt en maak die een heel eind leidend in de informatieflow en de besluiten. In de technische aanval ligt de feitelijkheid en van daaruit volgt wat je juridisch en procesmatig moet doen. De basis daarvan is informatie, al het andere is ruis.”
Bron: decrisismanager.nl | Maaike Tindemans
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer actueel cybercrime nieuws
Stelling: Het gebruik van wachtwoorden is een verouderde beveiligingstechniek die zijn langste tijd heeft gehad
Iedere seconde vinden er ergens ter wereld wel nieuwe pogingen plaats van cybercriminelen om websites, diensten, bedrijven of consumenten te hacken. Niet geheel onverwachts is er dus ook een toenemende kans op gelekte wachtwoorden, waardoor cybercriminelen eenvoudig toegang tot bedrijfsgegevens krijgen, aldus Beyond Identity, een leverancier van wachtwoordloze oplossingen voor identiteitsbeheer. Vorige maand meldde CyberNews dat er een bestand met de naam 'RockYou2021.txt' op een populair hackersforum is gezet. Daarbij gaat het om een verzameling van 8,4 miljard wereldwijd gelekte wachtwoorden. Ook in Nederland is het lekken van wachtwoorden schering en inslag.
De belangrijkste cyberdreigingen voor Industrial Control Systems
Het beveiligen van industriële beheersystemen (Industrial Control Systems / ICS) is van vitaal belang. Onder meer de beveiliging van endpoints, de systemen waarop eindgebruikers vertrouwen, moet hierbij voldoende krijgen. In een rapport waarschuwt Trend Micro voor de risico’s en zet de belangrijkste dreigingen op een rijtje.
10 jaar Cybersecuritybeeld Nederland: basis beveiligingsmaatregelen nog altijd niet op orde
Al tien jaar publiceert de overheid het Cybersecuritybeeld Nederland (CSBN) waarin cyberdreigingen en de kwetsbaarheid van de Nederlandse digitale infrastructuur centraal staan. De boodschap is al die tijd nagenoeg niet veranderd, en dat is dat organisaties basale beveiligingsmaatregelen nog altijd niet op orde hebben. Er ontstaat echter een kloof tussen bedrijven die wel en niet digitaal weerbaar zijn, zo laat de Nationaal Coördinator Terrorismebestrijding (NCTV) weten.
"Het vormt een enorme bedreiging voor de samenleving"
Steeds minder mensen zijn slachtoffer van een misdrijf en de meeste criminaliteitscijfers dalen al jaren. Er is één grote uitzondering: cybercrime. "Het vormt een enorme bedreiging voor de samenleving."
De grootste cyberaanvallen van 2021
De afgelopen jaren is het moeilijk geworden om het feit te negeren dat het digitale leven waar we allemaal deel van uitmaken volledig kwetsbaar is voor cybercriminelen. Hackers zijn blij met bijna elke mogelijkheid om geld te verdienen of plezier te hebben - van het creëren van een gratis lidmaatschap van een sportschool voor hun hele gezin tot het hacken van energiesystemen van hele landen.
De meest voorkomende soorten cyberaanvallen in 2021
Het aantal cyberincidenten in 2021 is beangstigend, ook al zijn er pas zes maanden verstreken. Inbreken in een waterleidingnet in Florida en proberen het water te vergiftigen voor 15.000 inwoners. Een cyberaanval op het kanaal 9News Australia heeft ochtendshows geannuleerd. Een ransomware-aanval veroorzaakte de sluiting van de grootste brandstofpijpleiding in de VS en kostte $ 5 miljoen. En dat is slechts een deel van het droevige nieuws voor nu.
"Onverantwoorde en destabiliserende gedrag in cyberspace"
De Europese Unie en de Verenigde Staten zeggen dat Chinese staatshackers cyberaanvallen hebben uitgevoerd door misbruik te maken van kwetsbaarheden in Microsoft Exchange Server. Daarmee hebben ze de economie, democratie en samenleving ernstige schade toegebracht. Ze zeggen er alles aan te doen om samen met internationale partners ‘kwaadaardig gedrag in cyberspace’ te bestrijden.
Cyberweerbaarheid verhogen op 'automatiserings- en control systemen' met de 'Security Checker'
Een publiek-privaat samenwerkingsverband introduceerde afgelopen maandag de 'Security Check Procesautomatisering'. Dit is een interactieve zelfscan die is ontwikkeld om Nederlandse organisaties met ICS-SCADA systemen handvatten te bieden in het weerbaarder maken van deze systemen. Het samenwerkingscollectief presenteert de tool aan Hester Somsen, plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid en aan Jos de Groot, directeur van de Directie Digitale Economie van het ministerie van Economische Zaken en Klimaat.
Onderhandeling tussen slachtoffer en cybercriminelen van REvil
Terwijl computeranalisten van over de hele wereld hun vaardigheden ter beschikking stellen voor de gemeenschap, heeft REvil de afgelopen dagen geprobeerd rechtstreeks zaken te doen met enkele van hun slachtoffers.
Wereldwijde ransomware aanval: hackers ontsleutelen voor $50 miljoen
Vrijdag 2 juli werden bedrijven wereldwijd getroffen door een ransomware-aanval. De aanvallers claimen meer dan een miljoen computers te hebben versleuteld en eisen 70 miljoen dollar voor een generieke decryptietool waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. De exacte aanvalsvector was eerst nog onbekend, maar alles wees al snel naar het programma VSA van softwarebedrijf Kaseya. Managed serviceproviders (MSP's) gebruiken deze software om de systemen van hun klanten op afstand te beheren. In dit artikel geeft 'Security' een overzicht van de aanval en de laatste ontwikkelingen. Het artikel zal dan ook steeds worden bijgewerkt.
Kwetsbaarheden bij ziekenhuizen en GGD
Twee weken geleden hadden we het over de kwetsbaarheden bij overheidswebsites, maar hoe zit het eigenlijk bij ziekenhuizen?
"De Nederlandse politie heeft voortdurend een belangrijke rol in dit soort internationale onderzoeken"
Door een grootschalige en internationaal gecoördineerde actie zijn politie-eenheden uit diverse landen erin geslaagd om de VPN-provider DoubleVPN offline te halen. Politiediensten uit onder meer Duitsland, het Verenigd Koninkrijk, Canada en de Verenigde Staten zeggen dat hackers en cybercriminelen de VPN-service gebruikten om ransomware-aanvallen en andere digitale misdrijven uit te voeren. Nu de gehele infrastructuur van DoubleVPN platligt, is het criminele circuit een gevoelige klap toegebracht.