Cyberaanvallen: ‘Een crisismanager moet inhoudelijk snappen waar het over gaat’

Gepubliceerd op 27 januari 2022 om 15:00

De kans dat een organisatie getroffen wordt door een cyberincident is 1 op 8. Maar het voorbereiden op en het oefenen van een cybercrisis wordt nauwelijks gedaan. “Het beperken van de schade zit in een goede voorbereiding”, stelt Job Kuijpers, CEO bij EYE Security.

Organisaties ontdekken een cyberincident vaak te laat. Op dat moment is er al iets aan de hand; er is veel geld verdwenen, data gestolen of alle systemen zijn op slot gezet door ransomware. Dat is het moment dat de processen stil komen te liggen en dat het duidelijk wordt dat een organisatie getroffen is. “In die eerste fase zien we vaak dat er paniek is en er intern spanningen ontstaan om een verantwoordelijke aan te wijzen”, zegt Kuijpers. "Dat is het moment dat een organisatie zich realiseert hoe afhankelijk het is van IT voor álle processen, niet alleen de primaire. En dat is ook vrij snel voelbaar buiten de organisatie.”

Juist in die eerste fase gaat er meestal veel mis, weet de CEO. “Daarom is het belangrijk om snel het crisisteam te alarmeren en een cybersecurity expert in te schakelen. Anders verlies je onnodig veel tijd doordat er onzekerheid is over de verantwoordelijkheden en hoe dit allemaal kon gebeuren. Ook zien we vaak dat de interne IT-organisatie eerst zelf zaken probeert op te lossen, al dan niet met behulp van de externe IT-leverancier. Maar daar wordt juist vaak grote schade aangericht door gebrek aan expertise en dat is bepalend voor het herstel. Men onderschat de professionaliteit van de aanvallers. Kun je binnen 24 uur weer up and running zijn of wordt dat een kwestie van dagen of zelfs weken?”

In hoeverre is het belangrijk dat een crisismanager technologische kennis heeft?

“Hoewel de rol van een crisismanager vooral coördinerend is, is het vooral bij cyber belangrijk dat hij het vermogen heeft om technologisch te snappen wat er aan de hand is. Een cyberaanval is bij uitstek een technisch probleem dat vooral technisch opgelost moet worden. In de praktijk zie ik vooral in dit soort situaties een gebrek aan kennis. Maar die kennis is wel noodzakelijk om de rust te bewaren en de feiten boven water te krijgen waarop je kunt baseren welke acties noodzakelijk zijn. Het vergt enige technische kennis om dit soort crises goed te kunnen managen.”

Waar ligt uiteindelijk de verantwoordelijkheid in een organisatie?

“Altijd bij de board. Je kunt niet de huidige risico- en schadecijfers hebben – bij grote organisaties komt de gemiddelde schade op 3,7 miljoen euro – zonder dat de board hier direct bij betrokken is. Een aanval raakt direct het belang van aandeelhouders, dus het is primair een taak van de board. Zij zijn verantwoordelijk voor een goede voorbereiding en het opstellen van een incident response plan.

Maar met alleen zo’n plan ben je er nog niet. Het is cruciaal dat je ervoor zorgt dat de mensen in je organisatie op de hoogte zijn van dat plan en weten hoe ze moeten handelen in geval van een cybercrisis. Daarom is het zo belangrijk om ook op boardniveau te oefenen met zo’n crisis, in bijvoorbeeld een table top oefening. Als board ben je verantwoordelijk voor het bouwen van een robuust operationeel proces. De kans dat er een cyberincident plaatsvindt, is 1 op 8, daar móet je als board op voorbereid zijn. Bovendien zijn dit de mensen die tijdens de crisis zelf de keuzes moeten maken over de te accepteren schade, kosten, alternatieve processen en het al dan niet betalen van losgeld.”

Hoe bereid je je als organisatie voor op een cybercrisis?

“Het begint altijd bij de technologie, want het is een technologisch probleem dat je ook op die manier moet oplossen. Om voorbereid te zijn, moet je kunnen zien wat er op je systemen gebeurt en wanneer dat afwijkt van de normale patronen. Op het moment dat je verdachte activiteiten ziet op je systemen, moet je kunnen ingrijpen en de professionals hebben die weten hoe ze de juiste dingen moeten doen.

Vergelijk het met een sprinklerinstallatie. Daarmee ben je in staat om direct te blussen wanneer er brand ontstaat. Als je op dat moment nog de brandweer moet gaan bellen, ben je rijkelijk laat. Juist die sprinklerinstallatie maakt het verschil. Dat is ook zo met een cyberaanval. Als je technisch goed voorbereid bent, kan dat het verschil zijn tussen de aanval afslaan of dagenlang stilstaan.”

Naast technische kennis en mensen, zijn er ook andere aspecten die je als crisismanager op je bord krijgt, zoals het informeren van de benodigde instanties, maar ook de medewerkers, klanten en leveranciers. Welke rollen moeten, naast een technische partij, aan tafel zitten bij een cybercrisis?

“De afdeling communicatie, of een extern bureau, is cruciaal. Zij moeten zowel intern als extern communiceren over wat er gebeurt, wat er gedaan wordt, of er mogelijk data is gelekt, maar ook over welke diensten bijvoorbeeld nog gegarandeerd kunnen worden. Ook moet je nadenken over de communicatie met bijvoorbeeld criminelen, in het geval van ransomware, en met overheidsinstanties en mogelijk de media.

Daarnaast is juridische ondersteuning belangrijk, voor alle aansprakelijkheden naar leveranciers, klanten en andere ketenpartijen. Maar ook op het gebied van de AVG. Welke verantwoordelijkheid heb je op welk moment en wanneer moet je welke zaken melden bij de Autoriteit Persoonsgegevens? Het is belangrijk dat deze afdelingen ook voorbereid zijn op een crisissituatie en daarmee hebben geoefend.”

Hoe belangrijk is het regelmatig oefenen van een cybercrisis?

“Enorm belangrijk. Je wilt zeker weten dat iedereen weet wat hij of zij moet doen, zodat de schade aan de voorkant al beperkt kan worden. Voorkomen is altijd beter dan achteraf repareren. Ook qua business continuïteit moet je vooraf nadenken over wat je kunt en gaat doen wanneer de systemen uitvallen. Zijn er alternatieven? Een oefening kan inzicht geven in hoe je snel weer up and running kunt zijn na een aanval. Niet alleen de board moet oefenen, ook procesmatig moet een cybercrisis regelmatig worden getraind. En dat is niets anders dan een brandoefening, gewoon om te borgen dat iedereen weet wat hij moet doen.”

Hoe pak je zo’n oefening aan?

“Er zijn verschillende organisaties die je daarbij kunnen helpen. Zij lopen een cyberincident van A tot Z helemaal door en voegen daar een table top oefening aan toe. Daarbij worden de verantwoordelijkheden helder gemaakt en wordt er gezorgd voor een degelijk incident response plan.

Het mooie van zo’n oefening is dat ook de hiaten worden blootgelegd waarmee je vervolgens als board en organisatie aan de slag kunt. Wat je dient te voorkomen is dat zo’n oefening beleidsmatig wordt gedaan zonder dat er bij wijze van spreken een sprinklerinstallatie en brandblussers worden geïnstalleerd. Dat geeft een vals gevoel van veiligheid.”

Tot slot, wat adviseer je crisismanagers wanneer ze zich geconfronteerd zien met een cybercrisis?

“Zorg dat je direct een technische incident response partij aan tafel krijgt en maak die een heel eind leidend in de informatieflow en de besluiten. In de technische aanval ligt de feitelijkheid en van daaruit volgt wat je juridisch en procesmatig moet doen. De basis daarvan is informatie, al het andere is ruis.”

Bron: decrisismanager.nl | Maaike Tindemans

Meer info over cybercrime 

Bekijk alle vormen en begrippen

 

Actuele aanvallen overzicht per dag

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer actueel cybercrime nieuws

Nederlanders en Belgen maken zich zorgen om digitale veiligheid

De Nederlandse veiligheidsindex van 2019 laat een stijging van zes punten zien, van 109 punten in 2018 naar 115 punten in 2019. Met name op het gebied van internetveiligheid zijn we ons meer zorgen gaan maken en een meerderheid van 54% vindt dat Nederlandse bedrijven onvoldoende maatregelen genomen hebben om hun persoonlijke data te beschermen, zelfs nadat de AVG vorig jaar van kracht werd.

Lees meer »

“Nederland kan ontwricht worden door Cyberaanvallen”

“Het maatschappelijke belang van cybersecurity is voor zowel de overheid als het bedrijfsleven zo groot dat er structureel toezicht moet zijn op de weerbaarheid van vitale organisaties. Met het oog op de nationale veiligheid moeten we een extra stap zetten om Nederland te beschermen tegen kwaadwillende landen of cybercriminelen.”

Lees meer »

Forse toename impersonatieaanvallen na Social engineering

Het aantal impersonatieaanvallen doormiddel van Social engineering is in een jaar tijd wereldwijd met bijna 70 procent toegenomen. Dat blijkt uit de nieuwste editie van het jaarlijkse State of Email Security-rapport van Mimecast. De conclusies zijn gebaseerd op onderzoek onder 1.025 IT-beslissers in diverse landen, waaronder Nederland.

Lees meer »

Senioren vaker slachtoffer van inbraak en cybercrime

Het aantal woninginbraken loopt al jaren terug. Deze daling is echter niet bij alle leeftijdscategorieën gelijk. Bij senioren is de dalende trend het minst sterk, waardoor zij naar verhouding het vaakst te maken krijgen met woninginbraken. Dit blijkt uit een analyse van thuiszorgorganisatie Zuster Jansen, op basis van de meest recente inbraakcijfers uit de Veiligheidsmonitor van het CBS.

Lees meer »

Check dan Klik!

Minister Grapperhaus (Justitie en Veiligheid) trapte vandaag tijdens de Landelijke Veiligheidsdag in Almere de publiekscampagne Eerst checken, dan klikken af. De campagne roept mensen op zich beter te beschermen tegen phishing en andere vormen van internetcriminaliteit. Ook tekenden Grapperhaus, staatssecretaris Keijzer (EZK) en een groot aantal bedrijven en brancheorganisaties het convenant ‘Preventie cybercriminaliteit’. Zij trekken samen op in de strijd tegen internetcriminaliteit.

Lees meer »

Cybercrimineel netwerk opgerold

Met een grote internationale politieactie is een netwerk van cybercriminelen uit de lucht gehaald. De daders wisten computers te besmetten met schadelijke software (malware). Zo roofden ze ongeveer 100 miljoen dollar, omgerekend circa 90 miljoen euro, van meer dan 41.000 slachtoffers. Meerdere verdachten zijn opgepakt, maar vijf Russische verdachten zijn nog voortvluchtig.

Lees meer »

Europese FBI tegen cybercrime en andere misdaad?

D66 wil dat er een "Europese FBI" komt die zich bezighoudt met de bestrijding van cybercrime en andere criminaliteit. De partij ziet een opsporingsactie naar cybercrime waarbij Nederland met andere EU-lidstaten samenwerkte en 81 mensen werden aangehouden als voorbeeld wat een dergelijke dienst kan bereiken.

Lees meer »