Onvermijdelijke cyberaanvallen: goede voorbereiding is halve werk
9 augustus 2024 12:04
Bijna dagelijks zijn er berichten over cyberdreigingen in de media. Van hackers die politici afluisteren en honderden gigabytes aan persoonsgegevens die op straat komen te liggen tot televisiezenders voor kinderen waarop Russische staatspropaganda te zien is en zogenaamd strenge beveiligingssystemen die met slechts één gekraakt wachtwoord complete chaos veroorzaken. Je hoeft geen cybersecurity expert te zijn om te constateren dat bedrijven van alle groottes en bedrijfstakken continu onder vuur liggen. Het is dan ook geen verrassing dat vier op de vijf bedrijven in Nederland verwacht in 2024 slachtoffer te zijn van een cyberaanval. Toch blijkt uit hetzelfde onderzoek dat maar een kwart van de bedrijven in Nederland hierop voorbereid is. Hoe kunnen bedrijven zich beter voorbereiden op de onontkoombare cyberaanval en sterker uit de crisis kunnen komen wanneer ze eenmaal getroffen worden?
1. Richt een cyberbeveiligingsunit op
“Dat maar een kwart van de bedrijven voorbereid is op een cyberaanval is op zijn zachtst gezegd alarmerend”, aldus Anouck Teiller, CSO bij HarfangLab. “Zeker met het oog op het toenemende gebruik van nieuwe technologieën en kunstmatige intelligentie, die innovatieve mogelijkheden bieden, maar ook nieuwe kwetsbaarheden met zich meebrengen als er geen voorzorgsmaatregelen worden genomen op het gebied van cybersecurity. Een gestructureerde cyberbeveiligingsstrategie is essentieel om niet verrast te worden door het volgende incident. De eerste stap hierin is het opzetten van een crisisteam. Dit team is verantwoordelijk voor het organiseren van crisismanagement, het coördineren van cyberherstel en het tegelijkertijd in de gaten houden van de operationele bedrijfsvoering.”
“Hoewel veel taken kunnen worden uitbesteed in het geval van een cybercrisis, is dit niet mogelijk voor het crisisteam. Dit heeft onder andere te maken met het feit dat alleen de bedrijfsleiding bevoegd is om beslissingen te nemen die de toekomst van het bedrijf hevig kunnen beïnvloeden. De implementatie van een crisismanagementteam is daarom cruciaal. Want vooral tijdens een aanval staan beveiligingsteams onder enorme druk.”
2. Duidelijke rolverdeling
Een duidelijke rolverdeling binnen het crisisteam is volgens Teiller bijzonder belangrijk in een crisissituatie. “Elk teamlid moet zijn verantwoordelijkheden begrijpen en in staat zijn deze op de juiste manier te vervullen. Binnen het crisisteam kunnen verschillende rollen worden onderscheiden, waaronder de crisismanager, die de crisismanagementstrategie bepaalt en orkestreert, de CIO, die de informatieoverdracht tussen de eenheden coördineert, en de manager crisismanagement, die de maatregelen bewaakt en coördineert. Een duidelijke rolverdeling helpt misverstanden te voorkomen en de efficiëntie van de crisisrespons te verhogen. Een goed georganiseerde teamstructuur maakt een soepele samenwerking en snelle besluitvorming mogelijk, wat cruciaal is om de situatie onder controle te krijgen.”
3. De juiste CIO-kandidaat
“De juiste kandidaat vinden voor de rol van CIO is cruciaal voor een goed functionerende crisiseenheid”, benadrukt Teiller. “Vooral in tijden van crisis is het van het grootste belang dat de CIO in staat is om informatiestromen te coördineren en de teams effectief aan te sturen. Zodra de crisis zich voordoet en zolang die duurt, kunnen excessieve eisen het eigenlijke crisismanagement in gevaar brengen: De persoon die verantwoordelijk is voor het informatiemanagement moet daarom de teams zo goed mogelijk begeleiden. Deze rol vereist iemand die de technische aspecten begrijpt en in staat is om op een eenvoudige manier informatie te rapporteren aan het managementteam. De rol van CIO kan worden ingevuld door de CISO, waarbij de CIO vaak ook de crisismanager is. Deze beslissing hangt volledig af van de capaciteit van de organisatie en de technische expertise van de CIO.”
4. Crisisscenario's opstellen
Bij het toewijzen van rollen in het crisisteam moet rekening worden gehouden met de potentiële risico's en gevaren waaraan het bedrijf is blootgesteld. “Een voorbereidende cyberrisicoanalyse maakt het mogelijk om deze gevaren en mogelijke scenario's en hun effecten in meer detail te analyseren. Op basis van deze bevindingen kunnen verschillende procedures worden ontwikkeld om geschikte beslissingen, processen en betrokken partijen te identificeren. Als er bijvoorbeeld sprake is van een datalek, moet de juridische afdeling van het bedrijf worden opgenomen in het crisisteam. Deze kent namelijk de wettelijk verplichte stappen en is daarom een belangrijke partner voor de coördinator van het crisisteam.”
5. Strategische en operationele eenheid
“De crisiseenheid bestaat uit twee delen: een strategisch en een operationeel deel”, legt Teiller uit. “De strategische crisiseenheid combineert verschillende functies, zoals management, communicatie en juridische afdelingen en andere bedrijfsafdelingen zoals HR en Finance. Deze eenheid is verantwoordelijk voor het voorbereiden van de basis voor crisismanagement door de impact van een crisis op het bedrijf te beoordelen. Dit omvat de beoordeling van potentiële impact op de bedrijfsactiviteiten, klanten en de reputatie van het bedrijf.”
“De strategische eenheid beantwoordt vragen over de reactie van het bedrijf op een crisis, over juridische en strategische beslissingen en over de interne en externe communicatie over de crisis. Voordat de operationele eenheid wordt geactiveerd, evalueert en beslist de strategische eenheid over elke stap. De operationele eenheid volgt de instructies van de strategische eenheid en voert de gedefinieerde maatregelen uit. Ze bestaat uit crisisexperts op het gebied van IT en cyberoperaties, waaronder cybermanagers zoals SOC-managers en infrastructuurmanagers, maar ook cyberexperts en andere ondersteunende functies. Afhankelijk van de omvang van de crisis moet een operationele bedrijfseenheid worden geactiveerd, die bijvoorbeeld de HR-afdeling, juridische afdeling, communicatieafdeling en logistieke afdeling kan omvatten. De selectie van de betrokken afdelingen hangt af van de specifieke aard van de crisis.”
6. Informatie opslaan en delen
“Zodra de leden van de crisiseenheden zijn toegewezen aan de hand van de geïdentificeerde scenario's, moeten zij geïnformeerd worden over hun rol en hun actiegebied duidelijk te definiëren. Hun contactgegevens moeten worden opgeslagen in een adressenbestand en gedupliceerd in twee verschillende omgevingen. Dit zorgt ervoor dat de informatie beschikbaar is, zelfs als de gebruikelijke informatiesystemen niet toegankelijk zijn tijdens een crisis. In dat geval moet er dus een systeem worden opgezet om deze informatie in een noodmodus toegankelijk te maken.”
7. Laat ruimte voor wendbaarheid
“Ondanks dat een duidelijke verdeling tussen de crisiseenheden belangrijk is, is het essentieel om de wendbaarheid van de eenheden te waarborgen. Voorkomen moet worden dat er te veel deelnemers betrokken zijn, om zodoende het reactievermogen niet aan te tasten. Daarnaast moeten de leden voldoende autonomie hebben op hun respectievelijke gebieden, zodat de crisiseenheid niet wordt vertraagd door langdurige validatieprocessen.”
Veilig door de volgende cybercrisis
Volgens Teiller staan cyberbeveiligingsteams voor uiteenlopende en lastig voorspelbare uitdagingen. “De overvloed aan nieuwe technologieën biedt veel nieuwe mogelijkheden, waarvan ook cybercriminelen profiteren. Om voorbereid te zijn op de volgende crisissituatie, is het cruciaal voor bedrijven om potentiële crisisscenario's van tevoren door te spelen en de betrokkenen altijd in staat te stellen behendig te handelen. Een proactieve aanpak om de cyberbeveiliging te versterken is daarom essentieel om voorbereid te zijn op mogelijke aanvallen. Door een crisisteam op te zetten, leggen bedrijven de basis voor een betere cyberbeveiliging.”
Reacties op dit artikel
Reactie plaatsen? Log in met uw account.