Zoeken

Cybercrisisbeheer: hoe bereid je je voor op een cyberaanval?

Cyberaanvallen hebben niet alleen gevolgen voor kritieke IT-systemen, maar ook voor diensten, reputatie, fusies en overnames, financiële markten, merkwaarde, compliance en nog veel meer. Wanneer je meest kritieke systemen uitvallen, moet je in staat zijn om deze ontwrichtende en onvoorziene gebeurtenis te beheersen. Helaas heb je niet veel tijd om beslissingen te nemen en elke beslissing zal de ernst van de crisis beïnvloeden. Bovendien sta je er niet alleen voor bij het nemen van die beslissingen. Effectief cybercrisisbeheer vereist samenwerking tussen verschillende teams, waaronder IT-, communicatie-, juridische en relevante professionals. 

Hoe ontstaat een cybercrisis?

Een crisis doet zich meestal voor wanneer een succesvolle strategische uitbuiting van kwetsbaarheden de activiteiten van een bedrijf verstoort. Deze zwakke plekken kunnen in je software, netwerken of menselijk gedrag zitten (bijv. klikken op een phishing-link). Via deze kwetsbaarheden krijgen ze toegang tot je systeem/netwerk. Binnen jouw omgeving kunnen ze dan een proces van zijwaartse beweging beginnen, waarbij ze het systeem grondig onderzoeken om meer inzicht te krijgen in belangrijke en gevoelige gegevens van jouw bedrijf.

Zodra ze duidelijk weten op welke waardevolle activa ze zich moeten richten, verstoren ze je systemen en gebruiken ze versleuteling om ervoor te zorgen dat je gegevens ontoegankelijk worden. Dit creëert natuurlijk een gevoel van urgentie en paniek. Het ideale moment voor criminelen om losgeld te eisen in ruil voor gegevens of een belofte om je gegevens niet openbaar te maken.

Hoe bereid je je voor op een cybercrisis?

Inzicht in kwetsbaarheden is cruciaal voor crisisvoorbereiding. Het uitvoeren van technische en organisatorische audits helpt bij het identificeren van potentiële risico's en het prioriteren van kritieke beschermende maatregelen op basis van mensen, processen en hulpmiddelen. Enkele voorbeelden van deze maatregelen zijn awareness training, business continuity planning inclusief essentiële updates en back-ups, en, last but not least, een crisismanagementplan en oefeningen. Crisismanagement moet zich richten op een snelle reactie, het implementeren van noodmaatregelen en het veiligstellen van kritieke bedrijfsmiddelen.

Crisisvoorbereiding richt zich ook op de psychologische en organisatorische impact, zodat werknemers onder druk weloverwogen beslissingen kunnen nemen. Het uitvoeren van deze simulaties is erg belangrijk om je crisisteam voor te bereiden. Crisismanagementoefeningen simuleren cyberaanvallen en kunnen variëren in duur en complexiteit. Scenario's moeten realistisch en relevant zijn om alle belanghebbenden erbij te betrekken en de meest waarschijnlijke bedreigingen met significante gevolgen te benadrukken. Zorg ervoor dat al deze belanghebbenden er klaar voor zijn, van technische first responders tot functionele teams en strategische besluitvormers. De oefeningen testen hun kennis, ontwikkelen automatisme en verbeteren communicatievaardigheden via verschillende platforms (omdat de gebruikelijke platforms onbeschikbaar en onveilig kunnen zijn in het geval van een crisis).

Analyse na de oefening maakt het mogelijk te leren van fouten, aanbevelingen te doen en een actieplan op te stellen voor voortdurende verbetering. Daarnaast zorgen regelmatige updates van het crisismanagementbeleid, trainingssessies en jaarlijkse oefeningen voor een voortdurende paraatheid.

Wat te doen tijdens een cybercrisis?

Op een gegeven moment komt iemand naar je toe om te zeggen dat er iets niet klopt. Dit kan de overheid zijn, de CISO, je SOC (extern) team, een klant, of erger nog: de aanvaller. Het eerste wat je moet doen is nagaan of dit waar is of niet. Het kan een incident zijn dat je relatief eenvoudig kunt beheren, of het kan een crisis zijn. Als het een crisis is, heeft het een enorme impact en moet je de juiste crisiseenheid mobiliseren. Dat kan je operationele crisiseenheid zijn of een crisiseenheid met beslissingsbevoegdheid of beide. Zij moeten op het juiste moment de juiste beslissing nemen, vaak geadviseerd door (externe) beveiligingsexperts zoals een CSIRT (Cyber Security Incident Response Team).

Het is belangrijk dat het bedrijf, voordat het mitigatieproces begint, beslist welke top (5) acties het moet ondernemen. Dit voorkomt dat jouw CSIRT zijn focus voortdurend verlegt, wat kan leiden tot onjuist gebruik van middelen en verlies van overzicht en tijd tijdens het incident.

Verder is het cruciaal om alle betrokken partijen (autoriteiten, werknemers, klanten...) zo snel en duidelijk mogelijk te informeren. Zorg ervoor dat je weet of je bedrijf moet voldoen aan de NIS2-richtlijn. Dit kan betekenen dat je gebonden bent aan strikte tijdschema's (binnen 72 uur). Het monitoren van jouw omgeving om er zeker van te zijn dat de crisis echt voorbij is, is cruciaal.

Wat gebeurt er na de cybercrisis?

Het is moeilijk te zeggen wanneer een crisis echt voorbij is. Het kan echter een langdurig effect hebben. Als de hitte voorbij is, moet je herstellen en je voorbereiden op de volgende crisis. Wanneer je evalueert, moet je de hoofdoorzaak van de crisis en hoe je ermee omging beoordelen. Het active directory domein en alle applicaties moeten worden hersteld en beveiligd. Werk de flows, documentatie en toekomstige crisisoefeningen bij om een continu verbeterplan op te zetten, inclusief geleerde lessen, een routekaart voor beveiliging, bewustwordingstraining, etc.

Ben jij voorbereid om te reageren op een cybercrisis? Hier is een checklist.

Het vermogen van een bedrijf om te reageren op een crisis en de negatieve gevolgen (voor het bedrijf, de activiteiten, het personeel, het imago en de reputatie) te beperken, hangt af van de mate van voorbereiding en training. Dit is in het kort de procedure die je moet volgen om je zo goed mogelijk voor te bereiden op een cybercrisis:

  • Analyseer de zwakke punten van het bedrijf.
  • Identificeer de meest gevoelige gegevens.
  • Stel een crisisbeheersplan op.
  • Richt een crisiscel op en benoem de leden en hun vervangers.
  • Bepaal hun rollen, verantwoordelijkheden en grenzen.
  • Denk na over de coördinatie tussen de leden en de crisisbeheerseenheden.
  • Train elk lid in crisismanagement en nieuwe beveiligde communicatiemiddelen.
  • Maak een oefenscenario op basis van een bekende kwetsbaarheid en de meest waarschijnlijke dreiging met de grootste impact.
  • Observeer de acties van elke persoon en noteer ze zorgvuldig.
  • Voer de oefening uit met prikkels die ontworpen zijn om de spanning van een crisis na te bootsen.
  • Voer aan het einde van de oefening een postmortale analyse uit.
  • Schrijf een jaarverslag en een actieplan voor voortdurende verbetering.
  • Houd regelmatig trainingssessies.
  • Voer minstens één keer per jaar crisismanagementoefeningen uit.
  • Werk alle bovengenoemde documenten regelmatig bij.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11