Zoeken

Een cyberaanval overleven: 6 tips van een gijzelingsonderhandelaar

Een cyberaanval is een van de meest stressvolle situaties die je als organisatie kunt meemaken. Jouw data, je reputatie, je klanten, je geld: alles staat op het spel. Hoe ga je om met zo'n crisis? Hoe houd je de controle over je emoties, je team en je beslissingen? Hoe communiceer je met de aanvallers en hoe zorg je voor een goede afloop? Dit kun je leren van een gijzelingsonderhandelaar van de politie.

Kirk Kinnell is als ‘Head of Hostage en Crime Negotiation’ bij de Schotse politie gespecialiseerd in het omgaan met gijzelingen, ontvoeringen en andere levensbedreigende situaties. Hij gaf tijdens Orange Cyberdefense Live 2023 in België een sessie over de analogie tussen zijn werk en het managen van een cyberaanval. Dit zijn de zes lessen die organisaties kunnen leren van zijn ervaringen:

1. Ken je kwetsbaarheden

Voordat je in een crisis belandt, moet je weten wat je zwakke punten zijn. Waar ben je gevoelig voor? Wat zijn je triggers? Wat maakt je bang of boos? Dit zijn namelijk kenmerken die aanvallers tegen je kunnen gebruiken. Ze zullen proberen om je onder druk te zetten, om je te manipuleren en te intimideren. Als je weet wat je kwetsbaarheden zijn, kun je daar op voorsorteren en voorkomen dat je in de val loopt.

Zo werkt het ook voor organisaties als het gaat om een cybersecuritystrategie. Een e-commerceplatform dat online betalingen verwerkt, loopt het risico omzet te verliezen als de website uitvalt of als de klanten niet kunnen afrekenen. Een productiebedrijf loopt het risico dat volledige productielijnen stilvallen, en een ziekenhuis kan door een cyberaanval wellicht geen goede zorg meer verlenen. Dit kan gebeuren door cyberaanvallen zoals DDoS of hacking van het betaalsysteem. De cybercriminelen kunnen dan geld vragen om de aanval te stoppen of om de data terug te geven. Om het risico op zo’n situatie te verminderen, is het belangrijk om het platform goed te beveiligen en een noodplan te hebben voor het geval dat er iets fout gaat.

2. Beheers je stress

Stress is een natuurlijke reactie op een bedreiging. Maar het kan ook een obstakel zijn voor rationeel denken. Stress zorgt ervoor dat er cortisol vrijkomt in je lichaam, een hormoon dat het denkvermogen verstoort. Het blokkeert namelijk neurotransmitters die verantwoordelijk zijn voor de verwerking van informatie.

Stel dat jouw ziekenhuis getroffen wordt door een ransomware-aanval. De patiëntendossiers zijn versleuteld en de medische apparatuur werkt niet meer. Dit is een levensbedreigende situatie die veel stress veroorzaakt. Stress kan leiden tot paniek, fouten en slechte beslissingen.

Daarom is het belangrijk om stress te beheersen tijdens een crisis. De sleutel ligt in een strakke voorbereiding. Door een strakke securitystrategie en regelmatige cyberoefeningen weet je wat je moet doen als er een ransomware-aanval plaatsvindt. Je hebt een crisisplan, een communicatiestrategie en een herstelprocedure. Dat kan de stressreactie flink verminderen en dat komt de besluitvaardigheid ten goede.

3. Weet wat je doel is

Een crisis vraagt om snelle en effectieve beslissingen. Maar hoe maak je die als er zoveel onzekerheid en chaos is? Door te weten wat je doel is. Wat wil je bereiken? Wat is het beste scenario? Wat is het slechtste scenario? Wat is het meest waarschijnlijke scenario? Door deze vragen vooraf te beantwoorden, kun je in tijden van crisis snel prioriteiten stellen, opties afwegen en acties ondernemen. Je doel geeft je richting en focus.

Het is bij een cyberaanval in elk geval essentieel om de aanval te stoppen en het lek te dichten. Daarvoor is het waardevol te weten wie de aanvallende partij is. Dit kan namelijk een indicatie geven over de gehanteerde werkwijze. Dat maakt het opsporen van het lek gemakkelijker.

4. Vermijd impulsieve reacties

Een crisis kan allerlei instinctieve reacties oproepen: vechten, vluchten of bevriezen. Deze reacties zijn gebaseerd op angst, woede of paniek. Ze zijn niet gebaseerd op logica, intuïtie of kennis. Ze kunnen leiden tot fouten, conflicten of problemen juist vergroten.

Daarom moet je impulsieve reacties vermijden tijdens een crisis. Mensen zijn geneigd problemen direct te willen oplossen, maar in een ernstige crisissituatie is het verstandig niet meteen instinctief te handelen. Hoe doe je dat? Door te ademen, door te pauzeren, door te reflecteren. Door afstand te nemen van de situatie en te kijken naar het grotere plaatje.

Stel jezelf bijvoorbeeld de volgende vragen:

  • Wat is de situatie en hoe heeft dit effect op mijn organisatie?
  • Wat willen we als organisatie bereiken en welke zaken moet ik daarvoor uitzetten?
  • Welke rol heb ik zelf in deze crisis, en wat laat ik over aan anderen?
  • Welke middelen heb ik nodig om de crisis te stoppen?
  • Waar en wanneer vinden de acties in relatie tot elkaar plaats?
  • Wat moet ik echt doen en waarom?
  • Welke ‘controlemaatregelen’ moet ik inzetten?

Daarnaast is het verstandig om je als organisatie te laten bijstaan door een cybersecurity bedrijf die ervaring heeft met incident response. Zij behouden de rust, hebben veel kennis en ervaring, en kijken met een objectieve en professionele blik naar de situatie.

5. Verzamel feiten, onderscheid risico's van dreigingen en prioriteer

Een crisis kan gepaard gaan met veel ruis, geruchten en desinformatie. Je kunt niet alles geloven wat je hoort of ziet. Je moet feiten verzamelen en verifiëren. Je moet ook het verschil weten tussen risico's en dreigingen. Risico's zijn mogelijke gebeurtenissen die schade kunnen veroorzaken. Dreigingen zijn daadwerkelijke acties die schade veroorzaken of gaan veroorzaken.

Als je op alle risico's reageert, raak je overweldigd en verlies je het overzicht. Als je alleen op dreigingen reageert, ben je te laat en loop je achter de feiten aan. Daarom is goed prioriteren van je focusgebieden zo cruciaal. Welke risico’s zijn zo ernstig dat ze moet proberen te voorkomen? En welke dreigingen moet je acuut proberen weg te nemen?

Bij een ransomware-aanval is het bijvoorbeeld belangrijk te achterhalen wie de aanvallers zijn, wat ze willen, hoe ze zijn binnengekomen, en welke systemen zijn getroffen. Je moet ook inschatten hoe groot de kans is dat ze meer schade aanrichten of dat ze hun dreigementen waarmaken. Zijn de aanvallers bijvoorbeeld onderdeel van een bekende cybercrime-groepering? Dan kun je informatie inwinnen over hun methoden en werkwijzen, en de ernst van de situatie beter inschatten.

Crisis, maar niet in je hoofd

Tot slot: een crisis is een organisatorische term, maar het hoeft geen crisis in je hoofd te zijn. Als je deze lessen toepast, kun je beter omgaan met een cyberaanval of een andere noodsituatie. Je kunt jezelf, je team en je organisatie beter beschermen en versterken. Je kunt een gijzelingsonderhandelaar in de boardroom worden.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11