Crisisoefeningen: bent u klaar voor een cyberaanval?
Oefen ook wat te doen bij cyberincidenten
6 oktober 2021 -
Elke manager kan ermee te maken krijgen: een cyberaanval legt het hele bedrijf plat. "Tijdens een cyberincident moeten alle afdelingen samenwerken als een ingespeeld team," zegt Erno Doorenspleet, CTO van KPN Security. "Met een goede crisisoefening voorkomt u fouten, vertragingen en onnodige schade."
Brandoefeningen zijn de gewoonste zaak van de wereld. Doorenspleet: "We doen dit zodat mensen de procedures kennen voor een rampscenario. Waar zijn de branduitgangen? Welke spullen nemen we mee? Welke route lopen we? Wie heeft de leiding en begeleidt de werknemers naar buiten? Zo’n oefening voorkomt paniek als er daadwerkelijk een brand is. We handelen dan immers niet op basis van gevoel of instinct, maar volgen een doordacht en geoefend plan."
Crisisoefeningen voor cyberaanvallen zijn nog niet zo ingeburgerd. Zo blijkt uit onderzoek van het Ponemon Institute dat minder dan een kwart van de IT-professionals wereldwijd een adequaat stappenplan heeft voor een beveiligingsincident. Bijna de helft van hen test het plan niet regelmatig. "Deze crisisoefeningen verdienen meer aandacht," stelt Doorenspleet. "Een cyberincident zoals een ransomwarebesmetting heeft een enorme impact op de business. Een goede voorbereiding scheelt zoveel ellende."
Maak én test een crisisplan
De CTO van KPN Security adviseert elke manager om samen met IT een crisisplan te maken voor een cyberaanval. "Wat is de rol- en taakverdeling? Wie heeft de leiding? Welke systemen zijn cruciaal voor de bedrijfsvoering en wat doen we als deze niet beschikbaar zijn? Op welke alternatieven kunnen we terugvallen? Hebben we back-ups van bedrijfskritische data en waar staan die? Hoe communiceren we onderling en met externe partijen zoals klanten en de pers? Al deze zaken werkt u in detail uit."
Het plan zelf is slechts een deel van het verhaal. Doorenspleet: "Het is zeer belangrijk om de afspraken ook in de praktijk te testen. Is het plan uitvoerbaar? Welke verbeterpunten zijn er? Wellicht blijkt dat de verklaring voor de media op een server staat die door gijzelsoftware versleuteld is. Of de aangewezen crisisleider wordt zenuwachtig, terwijl het hoofd marketing juist wél het hoofd koel houdt. Dit soort dingen komt vaak pas aan het licht tijdens een crisisoefening."
Eisen aan een effectieve crisisoefening
Een effectieve crisisoefening voldoet volgens Doorenspleet aan de volgende eisen:
1. Elke afdeling doet mee
Tijdens een cyberaanval is teamwork essentieel. "De gehele organisatie moet samenwerken," zegt Doorenspleet. "Elke medewerker en afdeling heeft hierin zijn eigen rol. Zo controleert legal de externe communicatie en staat de financiële afdeling klaar als er hulp van buitenaf moet worden ingekocht. De klantenservice beantwoordt vragen van klanten. De hr-afdeling informeert werknemers én denkt mee: kan de aanval het werk zijn van een teleurgestelde (ex-)medewerker?"
De CTO benadrukt dat de deelnemers aan de crisisoefening een afspiegeling van de organisatie moeten zijn. "Daarnaast is het zinvol om partners en leveranciers bij de oefening te betrekken. Kennen zij de procedures voor een ernstig cyberincident? Het is goed mogelijk dat een cyberaanval begint bij een van uw ketenpartners. Of dat een leverancier als eerste ziet dat er iets mis is."
2. De oefening is realistisch
Er zijn verschillende soorten crisisoefeningen. Een relatief goedkope optie is een tafelsessie waarin risicomanagement centraal staat. "Zo’n sessie heeft zeker zin, maar er komt geen echte druk bij kijken. Bij een crisisoefening wilt u juist kijken hoe mensen handelen in een stressvolle situatie. Een tafelsessie is doorgaans niet realistisch genoeg."
"Een cyberincident levert stress op voor alle betrokkenen," licht Doorenspleet toe. "Bedrijfssystemen zijn niet beschikbaar. Werknemers en klanten raken gefrustreerd. Journalisten willen weten wat er speelt. De telefoon staat roodgloeiend. Een goede crisisoefening simuleert deze situatie, bij voorkeur in een nagemaakte bedrijfsomgeving. Bijvoorbeeld door de deelnemers continu te bestoken met klachten en vragen."
Al die prikkels doen wat met het menselijk lichaam. "Door het stresshormoon cortisol vallen de deelnemers terug op wat ze in de basis hebben geleerd. Hun ware aard komt naar boven. Ik heb weleens meegemaakt dat mensen boos opstaan en beginnen te vloeken. Dat gebeurt alleen als de oefening realistisch is. Brandweermannen oefenen ook niet op een grasveldje, maar in een brandend testgebouw dat de dreigende situatie nabootst."
3. Geen eenmalige oefening
Een organisatie is altijd in beweging. Van vertrekkende medewerkers tot nieuwe applicaties: in een jaar tijd verandert er van alles op het gebied van mensen en technologie. "Daarom heeft een eenmalige crisisoefening niet zoveel zin," aldus Doorenspleet. "Het vergroten van de digitale weerbaarheid is een continu proces. Organiseer dus minimaal eens per jaar een crisisoefening, en bij voorkeur twee keer of meer."
Periodieke crisisoefeningen kunt u aanvullen met een incidentele oefening als daar aanleiding toe is. "Stel dat uw organisatie voor een aantal belangrijke bedrijfsprocessen is overgestapt naar een andere softwareleverancier. Dan sluit een groot deel van het plan niet meer aan bij de nieuwe werkelijkheid. In dat geval is het wel zo handig om een nieuw plan te maken én te testen."
4. Een onafhankelijke specialist
Een professionele crisisoefening kunt u niet zelf uitvoeren. Doorenspleet: "Dat is werk voor specialisten. Zo’n partij stelt een geloofwaardig scenario op dat u onder begeleiding van experts doorloopt, in een speciaal hiervoor ontworpen testomgeving. Zorg er wel voor dat u een onafhankelijke partner selecteert. Een fabrikant van securityoplossingen is vaak niet objectief. Met een dergelijke partner begint u mogelijk aan een verkapt verkooptraject."
Heeft uw organisatie geen budget voor een echt goede crisisoefening? "Begin dan vooral klein. Zet bijvoorbeeld een e-mailserver uit en breng de gevolgen hiervan in kaart. Wat kunt u in zo’n situatie doen om operationeel te blijven? Zelfs een crisistraining met een beperkte scope kan nieuwe inzichten opleveren die de schade helpen te beperken."
Niets doen is in ieder geval geen optie, vindt Doorenspleet. "Elke organisatie, ongeacht omvang of branche, loopt het risico getroffen te worden door een cyberaanval. Met een crisisoefening bereidt u uw team voor op deze ingrijpende situatie. Zo worden er geen foute keuzes gemaakt en bent u snel weer back in business."
