De kans dat een organisatie getroffen wordt door een cyberincident is 1 op 8. Maar het voorbereiden op en het oefenen van een cybercrisis wordt nauwelijks gedaan. “Het beperken van de schade zit in een goede voorbereiding”, stelt Job Kuijpers, CEO bij EYE Security.
Organisaties ontdekken een cyberincident vaak te laat. Op dat moment is er al iets aan de hand; er is veel geld verdwenen, data gestolen of alle systemen zijn op slot gezet door ransomware. Dat is het moment dat de processen stil komen te liggen en dat het duidelijk wordt dat een organisatie getroffen is. “In die eerste fase zien we vaak dat er paniek is en er intern spanningen ontstaan om een verantwoordelijke aan te wijzen”, zegt Kuijpers. "Dat is het moment dat een organisatie zich realiseert hoe afhankelijk het is van IT voor álle processen, niet alleen de primaire. En dat is ook vrij snel voelbaar buiten de organisatie.”
Juist in die eerste fase gaat er meestal veel mis, weet de CEO. “Daarom is het belangrijk om snel het crisisteam te alarmeren en een cybersecurity expert in te schakelen. Anders verlies je onnodig veel tijd doordat er onzekerheid is over de verantwoordelijkheden en hoe dit allemaal kon gebeuren. Ook zien we vaak dat de interne IT-organisatie eerst zelf zaken probeert op te lossen, al dan niet met behulp van de externe IT-leverancier. Maar daar wordt juist vaak grote schade aangericht door gebrek aan expertise en dat is bepalend voor het herstel. Men onderschat de professionaliteit van de aanvallers. Kun je binnen 24 uur weer up and running zijn of wordt dat een kwestie van dagen of zelfs weken?”
In hoeverre is het belangrijk dat een crisismanager technologische kennis heeft?
“Hoewel de rol van een crisismanager vooral coördinerend is, is het vooral bij cyber belangrijk dat hij het vermogen heeft om technologisch te snappen wat er aan de hand is. Een cyberaanval is bij uitstek een technisch probleem dat vooral technisch opgelost moet worden. In de praktijk zie ik vooral in dit soort situaties een gebrek aan kennis. Maar die kennis is wel noodzakelijk om de rust te bewaren en de feiten boven water te krijgen waarop je kunt baseren welke acties noodzakelijk zijn. Het vergt enige technische kennis om dit soort crises goed te kunnen managen.”
Waar ligt uiteindelijk de verantwoordelijkheid in een organisatie?
“Altijd bij de board. Je kunt niet de huidige risico- en schadecijfers hebben – bij grote organisaties komt de gemiddelde schade op 3,7 miljoen euro – zonder dat de board hier direct bij betrokken is. Een aanval raakt direct het belang van aandeelhouders, dus het is primair een taak van de board. Zij zijn verantwoordelijk voor een goede voorbereiding en het opstellen van een incident response plan.
Maar met alleen zo’n plan ben je er nog niet. Het is cruciaal dat je ervoor zorgt dat de mensen in je organisatie op de hoogte zijn van dat plan en weten hoe ze moeten handelen in geval van een cybercrisis. Daarom is het zo belangrijk om ook op boardniveau te oefenen met zo’n crisis, in bijvoorbeeld een table top oefening. Als board ben je verantwoordelijk voor het bouwen van een robuust operationeel proces. De kans dat er een cyberincident plaatsvindt, is 1 op 8, daar móet je als board op voorbereid zijn. Bovendien zijn dit de mensen die tijdens de crisis zelf de keuzes moeten maken over de te accepteren schade, kosten, alternatieve processen en het al dan niet betalen van losgeld.”
Hoe bereid je je als organisatie voor op een cybercrisis?
“Het begint altijd bij de technologie, want het is een technologisch probleem dat je ook op die manier moet oplossen. Om voorbereid te zijn, moet je kunnen zien wat er op je systemen gebeurt en wanneer dat afwijkt van de normale patronen. Op het moment dat je verdachte activiteiten ziet op je systemen, moet je kunnen ingrijpen en de professionals hebben die weten hoe ze de juiste dingen moeten doen.
Vergelijk het met een sprinklerinstallatie. Daarmee ben je in staat om direct te blussen wanneer er brand ontstaat. Als je op dat moment nog de brandweer moet gaan bellen, ben je rijkelijk laat. Juist die sprinklerinstallatie maakt het verschil. Dat is ook zo met een cyberaanval. Als je technisch goed voorbereid bent, kan dat het verschil zijn tussen de aanval afslaan of dagenlang stilstaan.”
Naast technische kennis en mensen, zijn er ook andere aspecten die je als crisismanager op je bord krijgt, zoals het informeren van de benodigde instanties, maar ook de medewerkers, klanten en leveranciers. Welke rollen moeten, naast een technische partij, aan tafel zitten bij een cybercrisis?
“De afdeling communicatie, of een extern bureau, is cruciaal. Zij moeten zowel intern als extern communiceren over wat er gebeurt, wat er gedaan wordt, of er mogelijk data is gelekt, maar ook over welke diensten bijvoorbeeld nog gegarandeerd kunnen worden. Ook moet je nadenken over de communicatie met bijvoorbeeld criminelen, in het geval van ransomware, en met overheidsinstanties en mogelijk de media.
Daarnaast is juridische ondersteuning belangrijk, voor alle aansprakelijkheden naar leveranciers, klanten en andere ketenpartijen. Maar ook op het gebied van de AVG. Welke verantwoordelijkheid heb je op welk moment en wanneer moet je welke zaken melden bij de Autoriteit Persoonsgegevens? Het is belangrijk dat deze afdelingen ook voorbereid zijn op een crisissituatie en daarmee hebben geoefend.”
Hoe belangrijk is het regelmatig oefenen van een cybercrisis?
“Enorm belangrijk. Je wilt zeker weten dat iedereen weet wat hij of zij moet doen, zodat de schade aan de voorkant al beperkt kan worden. Voorkomen is altijd beter dan achteraf repareren. Ook qua business continuïteit moet je vooraf nadenken over wat je kunt en gaat doen wanneer de systemen uitvallen. Zijn er alternatieven? Een oefening kan inzicht geven in hoe je snel weer up and running kunt zijn na een aanval. Niet alleen de board moet oefenen, ook procesmatig moet een cybercrisis regelmatig worden getraind. En dat is niets anders dan een brandoefening, gewoon om te borgen dat iedereen weet wat hij moet doen.”
Hoe pak je zo’n oefening aan?
“Er zijn verschillende organisaties die je daarbij kunnen helpen. Zij lopen een cyberincident van A tot Z helemaal door en voegen daar een table top oefening aan toe. Daarbij worden de verantwoordelijkheden helder gemaakt en wordt er gezorgd voor een degelijk incident response plan.
Het mooie van zo’n oefening is dat ook de hiaten worden blootgelegd waarmee je vervolgens als board en organisatie aan de slag kunt. Wat je dient te voorkomen is dat zo’n oefening beleidsmatig wordt gedaan zonder dat er bij wijze van spreken een sprinklerinstallatie en brandblussers worden geïnstalleerd. Dat geeft een vals gevoel van veiligheid.”
Tot slot, wat adviseer je crisismanagers wanneer ze zich geconfronteerd zien met een cybercrisis?
“Zorg dat je direct een technische incident response partij aan tafel krijgt en maak die een heel eind leidend in de informatieflow en de besluiten. In de technische aanval ligt de feitelijkheid en van daaruit volgt wat je juridisch en procesmatig moet doen. De basis daarvan is informatie, al het andere is ruis.”
Bron: decrisismanager.nl | Maaike Tindemans
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer actueel cybercrime nieuws
Aanval hoeven niet altijd geraffineerd te zijn om succes te hebben
Hackers en cybercriminelen gaan steeds geraffineerder te werk bij het uitvoeren van cyberaanvallen. Doordat burgers te weinig of geen beveiligingsmaatregelen nemen en onvoldoende opletten, zijn steeds meer aanvallen succesvol. Het bestrijden van cybercrime is dan ook ‘een forse uitdaging’ die ‘een blijvende inspanning’ vraagt. Dat schrijft demissionair minister van Justitie en Veiligheid Ferd Grapperhaus in een brief aan de Tweede Kamer.
Cyber Security Beeld Nederland 2021: "De schade van ransomware is groot"
In het zojuist verschenen Cyber Security Beeld Nederland (CSBN) is dit jaar een apart hoofdstuk gewijd aan ransomware en het complexe ondergrondse criminele ecosysteem daaromheen.
We hebben meer slagkracht nodig, samenleving steeds ingewikkelder
Het nieuwe kabinet moet structureel, dus jaarlijks, 1,3 miljard euro steken in de politie, het Openbaar Ministerie, de rechters, de reclassering en Slachtofferhulp. “We hebben meer slagkracht nodig”, zegt voorzitter van het College van procureurs-generaal van het OM Gerrit van der Burg in Goedemorgen Nederland op NPO 1.
Het aantal jeugdige daders van cybercrime dat in het strafrecht terecht komt neemt toe
Er is een toename van het aantal Nederlandse jongeren dat wegens een cyberdelict wordt veroordeeld, zo blijkt uit onderzoek van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC), het kennisinstituut voor het ministerie van Justitie en Veiligheid. Onder cyberdelicten worden verschillende zaken verstaan, zoals het inbreken op online accounts, phishing, verspreiden van malware, oplichting en cyberpesten.
De gezamenlijke Europese cybereenheid is een bouwsteen om onszelf te beschermen
De Europese Commissie heeft gisteren de oprichting van een gezamenlijke Europese cybereenheid aangekondigd voor de aanpak van grote cyberincidenten. De op te richten Joint Cyber Unit moet cybersecurity communities bij elkaar brengen en samenwerking bevorderen. "Alle relevante partijen in de EU moeten voorbereid zijn om collectief te reageren en relevante informatie op een 'need to share' in plaats van een 'need to know' basis te delen", aldus de EC.
Versoepeling corona maatregelen = Kansen voor cybercriminelen
Op 26 juni vervalt het advies om zoveel mogelijk thuis te werken. Deze versoepeling van de coronamaatregelen brengt risico’s met zich mee voor de (digitale) beveiliging van organisaties. Cybersecurity experts adviseren leidinggevenden en IT-afdelingen om extra alert te zijn op enkele specifieke aanvalsmethoden.
"Onderwijsinstellingen die het risico op cybercriminaliteit nu nog onderschatten nemen een groot risico"
Terwijl onderwijsinstellingen steeds vaker onder vuur komen te liggen van cybercriminelen wordt de dreiging daarvan door onderwijsbestuurders ernstig onderschat. Dit blijkt uit een onderzoek van Kantar onder bestuurders en IT-specialisten binnen het voortgezet en MBO-onderwijs in opdracht van Breens Network.
Al jaren aan het waarschuwen voor kwetsbare overheidswebsites
Al in 2018 had Cybercrimeinfo al diverse overheidswebsites die een zeer hoog risico liepen om gehackt te worden persoonlijk gewaarschuwd, echter werd daar helaas nauwelijks gehoor aangegeven. Anno 2021 zou je toch wel verwachten, nu er veel meer aandacht is in de media, dat dit niet meer het geval zou zijn. Maar helaas. Gelukkig nu 3 jaar na dato worden er kamervragen gesteld over dit onderwerp. Hieronder een overzicht van gemeenten die risico's lopen.
Ondernemers onderschatten het risico van cybercrime
De kosten van cyberaanvallen zijn vorig jaar geëxplodeerd. Vooral sectoren die sterk inzetten op digitale dataverwerking en communicatie, zoals de industrie, de retail en de zorg, blijken kwetsbaar. Diefstal van data en het gijzelen van systemen nemen hals over kop toe. Ondanks deze toegenomen dreiging blijft de risicoperceptie van cybercrime onder ondernemers laag.
Aantal brute-force aanvallen gericht op RDP in Nederland meer dan verdubbeld
Cybersecurity bedrijf ESET heeft haar eerste Threat Report van 2021 gepubliceerd. Het Threat Report, dat het huidige dreigingslandschap in kaart brengt op basis van belangrijke statistieken van detectiesystemen en opmerkelijke voorbeelden van cybersecurity-onderzoek, kijkt naar het eerste trimester van 2021 en toont ook Nederlandse statistieken en trends.
CZ betalingsherinnering is phishing!
Op moment van schrijven krijgen we veel vragen binnen op Cybercrimeinfo.nl over een betaling herinneringsmail van CZ. Deze is niet verstuurt door CZ, al lijkt dit wel! Cybercriminelen hengelen naar je logingegevens van je bank, om vervolgens je rekening te plunderen.
Om digitale ontwrichting te voorkomen, is meer inzet van bedrijven en dwingend optreden van overheden nodig
Om digitale ontwrichting te voorkomen, is meer inzet van bedrijven en dwingend optreden van overheden nodig. De aanval met ransomware bij Colonial Pipeline toont de grote kwetsbaarheid van de samenleving.