Nieuwe aanpak voor cybercrisisbeheer

Als Senior Crisis Consultant in de cybersecurity-industrie zie ik een verschuiving in de manier waarop organisaties zich voorbereiden op een potentiële cybercrisis. Traditionele methoden voor Risk Assessment zijn niet langer toereikend. Ze leiden er vaak toe dat alleen maatregelen worden genomen voor de meest waarschijnlijke incidenten.

Het zijn echter meestal de onwaarschijnlijk geachte gebeurtenissen die de grootste impact veroorzaken, waarop organisaties niet zijn voorbereid. Regelgevers erkennen dit, dus hier is mijn wake-up call: bereid u voor op het ergste...

Ik zie twee grote uitdagingen voor organisaties:

  1. Bepalen wat het ergste scenario kan zijn en in welke mate u zich moet voorbereiden.
  2. De technische, operationele en tactische reactie koppelen aan strategisch crisismanagement.

Laten we eens kijken hoe u deze uitdagingen kunt aanpakken.

1. Voorbereiden op het ernstige maar plausibele

In een recente studie van het Agentschap voor Cybersecurity van de Europese Unie (ENISA) staat dat de EU "een tijdperk van permacrisis en polycrisis" doormaakt.

Wat betekent dit? Permacrisis wordt gedefinieerd als een lange periode van grote moeilijkheden, verwarring of lijden waar geen einde aan lijkt te komen. Polycrisis wordt gedefinieerd als het gelijktijdig optreden van verschillende catastrofale gebeurtenissen.

Helaas een nogal grimmig beeld. Dit betekent dat de uitdaging voor veel organisaties is om te bepalen hoe een crisis er in het ergste geval voor hen uitziet en welke middelen ze moeten investeren om zich hierop voor te bereiden. Vooral omdat regelgevende instanties in heel Europa, met NIS2, DORA en andere regelgeving in gedachten, veerkracht verwachten, zelfs voor de meest 'ernstige maar plausibele' gebeurtenissen.

Dat zal nooit gebeuren

Aangezien de verwachting is dat uw organisatie veerkrachtig blijft, zelfs in het ergste geval, zijn de vroegere risicogebaseerde benaderingen niet langer effectief. In mijn ervaring als crisismanager merk ik dat veel organisaties dit een moeilijk te accepteren concept vinden.

Ik kan me een paar voorbeelden uit mijn carrière herinneren waarbij ik een zeer ernstig scenario voorstelde als idee voor een crisisoefening, om dit vervolgens af te laten schieten met de mededeling 'dat zal nooit gebeuren'.

Maar in een paar opvallende voorbeelden, en toevallig, werd niet veel later bijna precies het voorgestelde scenario op een vergelijkbare manier werkelijkheid. Ik kan me voorstellen dat in 2016, vóór de Not-Petya-aanval op Maersk, hun risk assessments het scenario dat zich in juni 2017 ontvouwde hoogst onwaarschijnlijk zouden hebben genoemd, waardoor de wens om te investeren in veerkracht zou zijn beperkt.

De sleutel tot het oplossen van deze uitdaging

Dus wat moet u in plaats daarvan doen? De sleutel tot het oplossen van deze uitdaging is om er eerst voor te zorgen dat u een crisisraamwerk hebt dat aanpasbaar genoeg is om met elke soort crisis om te gaan. Gelukkig heeft een team van experts op het gebied van crisismanagement onlangs een nieuwe internationale standaard voor Crisis Management gecreëerd om organisaties hierbij te helpen. De norm heet ISO22361 en geeft details over hoe u een crisisraamwerk, -principes en -processen kunt implementeren volgens onderstaand diagram.

Image in image block

Casestudies bekijken

Een andere belangrijke manier om uw organisatie voor te bereiden op een regelrechte cybercrisis is het bestuderen van casestudy's over hoe cyberaanvallen andere organisaties hebben getroffen. Leer welke lessen zij hebben geleerd en bedenk vervolgens hoe die scenario's erger hadden kunnen zijn.

Oefen deze scenario's om te zien hoe uw organisatie zou reageren. Wat als er niet tegelijkertijd met de Petya-aanval op Maersk (waarbij een schone kopie van hun domeincontrollergegevens bewaard bleef) een stroomstoring was opgetreden in Ghana. Wat als een tweede Ransomware-aanval u kort na de eerste treft?

2. Operationele, tactische en strategische teams moeten zich samen voorbereiden

Het tweede grote probleem waar ik veel organisaties mee zie worstelen, is de samenwerking tussen Operationele, Tactische en Strategische teams. Een cybercrisis zoals een Ransomware-aanval vereist een gecoördineerde reactie vanuit de hele organisatie.

Dit is een uitdaging, omdat organisaties niet regelmatig reageren op cybercrisisgebeurtenissen (gelukkig maar!). Dit betekent dat technische en strategische teams in dergelijke scenario's zelden op elkaar reageren. Zelfs als ze crisisoefeningen houden, oefenen deze teams meestal onafhankelijk van elkaar en zelden tegelijkertijd.

In de praktijk zie ik vaak dat zelfs als ze tegelijkertijd oefenen, technische teams het soms moeilijk vinden om informatie op een beknopte, niet-technische manier door te geven zodat strategische teams het begrijpen en er hun beslissingen op kunnen baseren.

Voor een effectieve coördinatie is het essentieel dat uw reactieprocessen op operationeel niveau zijn afgestemd op de tactische en strategische reacties. Om dit mogelijk te maken, is het belangrijk om deze processen in alle lagen van de organisatie tegelijkertijd te oefenen. Dat is de enige manier om hun effectiviteit te bepalen, en dat vereist oefening.

Conclusie

In mijn werk als Senior Cyber Crisis Consultant zie ik dat veel organisaties nog steeds de voorbereiding onderschatten die nodig is voor een effectieve reactie op cybercrises. Ik ben van mening dat alle organisaties zich bewuster en grondiger zouden moeten voorbereiden op ernstige cyberincidenten die 'nooit zullen gebeuren'. U zou zich op die incidenten moeten voorbereiden in oefeningen met Operationele, Tactische en Strategische teams samen.

Cyber crisis management is niet langer slechts een vinkje op uw compliance lijst, maar een voorwaarde om te overleven.

Waarom kiezen voor Bureau Veritas Cybersecurity

Bureau Veritas Cybersecurity is uw specialist op het gebied van digitale veiligheid. Wij ondersteunen organisaties bij het in kaart brengen van risico’s, het verbeteren van hun verdediging en het naleven van wet- en regelgeving. Onze dienstverlening bestrijkt mens, proces en technologie: van awareness-trainingen en social engineering tot advies, compliance en technische beveiligingstests.

We werken in IT-, OT- en IoT-omgevingen en ondersteunen zowel digitale systemen als verbonden producten. Met ruim 300 cybersecurity-specialisten wereldwijd combineren we diepgaande technische kennis met internationale slagkracht. Bureau Veritas Cybersecurity is onderdeel van Bureau Veritas Group, wereldwijd actief in testen, inspectie en certificering.