De kans dat een organisatie getroffen wordt door een cyberincident is 1 op 8. Maar het voorbereiden op en het oefenen van een cybercrisis wordt nauwelijks gedaan. “Het beperken van de schade zit in een goede voorbereiding”, stelt Job Kuijpers, CEO bij EYE Security.
Organisaties ontdekken een cyberincident vaak te laat. Op dat moment is er al iets aan de hand; er is veel geld verdwenen, data gestolen of alle systemen zijn op slot gezet door ransomware. Dat is het moment dat de processen stil komen te liggen en dat het duidelijk wordt dat een organisatie getroffen is. “In die eerste fase zien we vaak dat er paniek is en er intern spanningen ontstaan om een verantwoordelijke aan te wijzen”, zegt Kuijpers. "Dat is het moment dat een organisatie zich realiseert hoe afhankelijk het is van IT voor álle processen, niet alleen de primaire. En dat is ook vrij snel voelbaar buiten de organisatie.”
Juist in die eerste fase gaat er meestal veel mis, weet de CEO. “Daarom is het belangrijk om snel het crisisteam te alarmeren en een cybersecurity expert in te schakelen. Anders verlies je onnodig veel tijd doordat er onzekerheid is over de verantwoordelijkheden en hoe dit allemaal kon gebeuren. Ook zien we vaak dat de interne IT-organisatie eerst zelf zaken probeert op te lossen, al dan niet met behulp van de externe IT-leverancier. Maar daar wordt juist vaak grote schade aangericht door gebrek aan expertise en dat is bepalend voor het herstel. Men onderschat de professionaliteit van de aanvallers. Kun je binnen 24 uur weer up and running zijn of wordt dat een kwestie van dagen of zelfs weken?”
In hoeverre is het belangrijk dat een crisismanager technologische kennis heeft?
“Hoewel de rol van een crisismanager vooral coördinerend is, is het vooral bij cyber belangrijk dat hij het vermogen heeft om technologisch te snappen wat er aan de hand is. Een cyberaanval is bij uitstek een technisch probleem dat vooral technisch opgelost moet worden. In de praktijk zie ik vooral in dit soort situaties een gebrek aan kennis. Maar die kennis is wel noodzakelijk om de rust te bewaren en de feiten boven water te krijgen waarop je kunt baseren welke acties noodzakelijk zijn. Het vergt enige technische kennis om dit soort crises goed te kunnen managen.”
Waar ligt uiteindelijk de verantwoordelijkheid in een organisatie?
“Altijd bij de board. Je kunt niet de huidige risico- en schadecijfers hebben – bij grote organisaties komt de gemiddelde schade op 3,7 miljoen euro – zonder dat de board hier direct bij betrokken is. Een aanval raakt direct het belang van aandeelhouders, dus het is primair een taak van de board. Zij zijn verantwoordelijk voor een goede voorbereiding en het opstellen van een incident response plan.
Maar met alleen zo’n plan ben je er nog niet. Het is cruciaal dat je ervoor zorgt dat de mensen in je organisatie op de hoogte zijn van dat plan en weten hoe ze moeten handelen in geval van een cybercrisis. Daarom is het zo belangrijk om ook op boardniveau te oefenen met zo’n crisis, in bijvoorbeeld een table top oefening. Als board ben je verantwoordelijk voor het bouwen van een robuust operationeel proces. De kans dat er een cyberincident plaatsvindt, is 1 op 8, daar móet je als board op voorbereid zijn. Bovendien zijn dit de mensen die tijdens de crisis zelf de keuzes moeten maken over de te accepteren schade, kosten, alternatieve processen en het al dan niet betalen van losgeld.”
Hoe bereid je je als organisatie voor op een cybercrisis?
“Het begint altijd bij de technologie, want het is een technologisch probleem dat je ook op die manier moet oplossen. Om voorbereid te zijn, moet je kunnen zien wat er op je systemen gebeurt en wanneer dat afwijkt van de normale patronen. Op het moment dat je verdachte activiteiten ziet op je systemen, moet je kunnen ingrijpen en de professionals hebben die weten hoe ze de juiste dingen moeten doen.
Vergelijk het met een sprinklerinstallatie. Daarmee ben je in staat om direct te blussen wanneer er brand ontstaat. Als je op dat moment nog de brandweer moet gaan bellen, ben je rijkelijk laat. Juist die sprinklerinstallatie maakt het verschil. Dat is ook zo met een cyberaanval. Als je technisch goed voorbereid bent, kan dat het verschil zijn tussen de aanval afslaan of dagenlang stilstaan.”
Naast technische kennis en mensen, zijn er ook andere aspecten die je als crisismanager op je bord krijgt, zoals het informeren van de benodigde instanties, maar ook de medewerkers, klanten en leveranciers. Welke rollen moeten, naast een technische partij, aan tafel zitten bij een cybercrisis?
“De afdeling communicatie, of een extern bureau, is cruciaal. Zij moeten zowel intern als extern communiceren over wat er gebeurt, wat er gedaan wordt, of er mogelijk data is gelekt, maar ook over welke diensten bijvoorbeeld nog gegarandeerd kunnen worden. Ook moet je nadenken over de communicatie met bijvoorbeeld criminelen, in het geval van ransomware, en met overheidsinstanties en mogelijk de media.
Daarnaast is juridische ondersteuning belangrijk, voor alle aansprakelijkheden naar leveranciers, klanten en andere ketenpartijen. Maar ook op het gebied van de AVG. Welke verantwoordelijkheid heb je op welk moment en wanneer moet je welke zaken melden bij de Autoriteit Persoonsgegevens? Het is belangrijk dat deze afdelingen ook voorbereid zijn op een crisissituatie en daarmee hebben geoefend.”
Hoe belangrijk is het regelmatig oefenen van een cybercrisis?
“Enorm belangrijk. Je wilt zeker weten dat iedereen weet wat hij of zij moet doen, zodat de schade aan de voorkant al beperkt kan worden. Voorkomen is altijd beter dan achteraf repareren. Ook qua business continuïteit moet je vooraf nadenken over wat je kunt en gaat doen wanneer de systemen uitvallen. Zijn er alternatieven? Een oefening kan inzicht geven in hoe je snel weer up and running kunt zijn na een aanval. Niet alleen de board moet oefenen, ook procesmatig moet een cybercrisis regelmatig worden getraind. En dat is niets anders dan een brandoefening, gewoon om te borgen dat iedereen weet wat hij moet doen.”
Hoe pak je zo’n oefening aan?
“Er zijn verschillende organisaties die je daarbij kunnen helpen. Zij lopen een cyberincident van A tot Z helemaal door en voegen daar een table top oefening aan toe. Daarbij worden de verantwoordelijkheden helder gemaakt en wordt er gezorgd voor een degelijk incident response plan.
Het mooie van zo’n oefening is dat ook de hiaten worden blootgelegd waarmee je vervolgens als board en organisatie aan de slag kunt. Wat je dient te voorkomen is dat zo’n oefening beleidsmatig wordt gedaan zonder dat er bij wijze van spreken een sprinklerinstallatie en brandblussers worden geïnstalleerd. Dat geeft een vals gevoel van veiligheid.”
Tot slot, wat adviseer je crisismanagers wanneer ze zich geconfronteerd zien met een cybercrisis?
“Zorg dat je direct een technische incident response partij aan tafel krijgt en maak die een heel eind leidend in de informatieflow en de besluiten. In de technische aanval ligt de feitelijkheid en van daaruit volgt wat je juridisch en procesmatig moet doen. De basis daarvan is informatie, al het andere is ruis.”
Bron: decrisismanager.nl | Maaike Tindemans
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer actueel cybercrime nieuws
"Misschien worden nu geen aanvallen gepleegd, maar zie je straks enorme piek als de rust een beetje terugkeert"
Ziekenhuizen in de regio hebben hun digitale beveiliging verscherpt vanwege corona. Dat gebeurt met extra analyses van mogelijke dreigingen, zoals misleidende e-mails. Internetcriminelen grijpen het virus (covid-19) op tal van manieren aan om geld te verdienen.
Groep hackers EasyJet verdacht van eerdere aanvallen op luchtvaartbedrijven
De massale dataroof bij EasyJet zit zo vernuftig in elkaar dat dezelfde groep hackers wordt verdacht die eerder andere luchtvaartbedrijven aanviel. Het persbureau Reuters haalt twee anonieme bronnen aan die aanwijzingen hebben dat de roof het werk is van Chinese criminelen.
Hackers leggen ‘duizenden’ Israëlische websites lam en tonen beelden van vernietiging Tel Aviv
Veel Israëlische websites zijn donderdag getroffen door een grote cyberaanval. Dat maakten de autoriteiten bekend. Op veel sites verschenen beelden van de stad Tel Aviv die in brand stond. Onduidelijk is hoeveel sites zijn gehackt, maar meerdere Israëlische media spreken van ongeveer duizend.
Meer reguliere cybercrime onderzoeken in 2019 door Nederlandse politie
De politie heeft vorig jaar veel meer reguliere cybercrime-onderzoeken uitgevoerd dan als doel was gesteld. Dat blijkt uit de jaarverslagen van de politie en het ministerie van Justitie en Veiligheid. Het doel was 310 reguliere onderzoeken naar cybercrime. Dat werden er 381. Het gaat hierbij om onderzoeken op regionaal niveau. In 2018 ging het nog om 299 gerealiseerde onderzoeken, terwijl het doel 310 onderzoeken was.
Israël en Iran vallen elkaar aan met cyberaanvallen
Israël zat achter een cyberaanval die een grote haven in Iran verstoorde, naar aanleiding van een poging van de Revolutionaire Garde om een Israëlische waterfaciliteit te infiltreren.
Nieuwe bluetooth-aanval gevaarlijk voor smartphones en laptops
Smartphones, laptops, koptelefoons en andere apparaten die van bluetooth gebruikmaken zijn kwetsbaar voor een nieuwe aanval waardoor een aanvaller zonder interactie van het slachtoffer verbinding met zijn of haar apparaat kan maken. De aanval wordt BIAS genoemd, wat staat voor 'Bluetooth Impersonation AttackS', en is ontwikkeld door onderzoekers van École Polytechnique Fédérale de Lausanne (EPFL).
Techsector belangrijkste doelwit cybercriminelen
Malware wordt complexer. Dat moet blijken uit het securityrapport van NTT. De software die wordt gebruikt om bedrijven wereldwijd aan te vallen wordt ook steeds vaker geautomatiseerd.
49% toename aan verkoop cybercrime handleidingen op het darkweb
Uit onderzoek van 'Terbium Labs' blijken cybercrime handleidingen goed voor bijna de helft (49%) van de gegevens die op het darkweb werden verkocht, gevolgd door persoonlijke gegevens met15,6%.
Online gamers aantrekkelijk doelwit voor cybercriminelen
In de afgelopen maanden hebben Nederlanders zich in de quarantaineperiode massaal gestort op het oppakken van oude hobby’s in en rondom het huis: van koken tot het spelen van traditionele (bord)spellen en ander vermaak. Een groot deel van de Nederlanders heeft er echter voor gekozen zich te storten op een virtuele ontsnapping aan de werkelijkheid: online gamen.
Help! Ik ben opgelicht !!
De politie neemt elke dag aangiften op van veel zaken als vernieling, diefstal of mishandeling en oplichting. Bij oplichting wordt op een slinkse manier het vertrouwen gewonnen van veel mensen "we zien als politie dat er op deze manier veel geld wordt overgemaakt naar oplichters. Veel mensen maken tegenwoordig gebruik van sociale media zoals Facebook, Instagram en Snapchat. En ook handelen we bijna allemaal wel via Marktplaats of E-bay. Bij al deze online activiteiten laten we (meestal onbewust) informatie achter, die bruikbaar is voor oplichters. Hieronder enkele voorbeelden." aldus de politie
FBI bereikte op 12 maart '5 miljoen aangiftes'
In 20 jaar tijd heeft de FBI maar liefst 5 miljoen aangiftes ontvangen van Amerikanen die het slachtoffer zijn van cybercrime. Als de Amerikaanse veiligheidsdienst iets heeft geleerd in deze periode, is dat de online omgeving continu verandert en dat cybercriminelen met de tijd meegaan. Nu het coronavirus de gemoederen bezighoudt, maken hackers overuren.
Gamechangers: houd jongeren weg bij cybercrime
Speciale games moeten helpen jongeren uit de cybercriminaliteit te houden.