“In het bedrijfsleven plannen we voor succes. In cybersecurity moeten we plannen voor mislukking” zei een Fortune 500-directeur onlangs tegen me, waarin hij de nauwe afstemming tussen bedrijfsdoelstelling en cybersecurity samenvatte.
Een cyberbreuk kan onbeschrijfelijke schade veroorzaken aan de activiteiten, verkoop, reputatie en aandelenprijs van een bedrijf. Het kan ook plotseling de succesvolle carrière van een CEO of CSO beëindigen, zoals bij sommige cyberaanvallen in de afgelopen jaren is gebeurd.
Allianz Risk Barometer 2020 – het grootste risico-onderzoek ter wereld – erkende in feite kritische bedrijfsonderbrekingen veroorzaakt door inbreuken op cyberveiligheid als het grootste risico voor organisaties.
Goed plan
Hoewel je nooit kunt voorspellen wanneer je wordt getroffen door een cybersecuritycrisis, kan je tijd kopen door een goed gerepeteerd en effectief cyberbestendigheidsplan op te stellen. Dat is essentieel om de ergste gevolgen van een aanval te verzachten, terwijl de normale gang van zaken door blijft gaan. Dat wordt een hot topic voor Chief Risk Officers, Chief Information Security Officers en bedrijfsbesturen, terwijl ze kijken hoe ze kunnen terugkomen van cyberaanval.
Een goede voorbereiding op een cybercrisis is het halve werk. Om snel te kunnen reageren en schade op de lange termijn te voorkomen, moeten bedrijven een cyberaanval simuleren om de juiste verantwoordelijkheden, mogelijke gaten in het proces of technologische problemen te achterhalen. Dit kan een oefening met elkaar inhouden, waarbij relevante leidinggevenden zich rond een tafel verzamelen om te weten te komen hoe een scenario zich zou kunnen ontvouwen.
Een goede voorbereiding op een cybercrisis is het halve werk.
Zelfs voor diegene die het best voorbereid is, kan een cybercrisis op elk moment toeslaan. Wat moet je doen als je de CEO bent van een gehackt bedrijf?
Regel 1: Neem het bevel. Dit is persoonlijk.
Rol je mouwen op. Alleen het werk delegeren aan het IT-team tijdens een cybercrisis kan gevaarlijk zijn voor het bedrijf en voor jou persoonlijk. Een aantal CEO’s van grote bedrijven hebben dit recent op de harde manier geleerd. Cyberrisico heeft niet alleen invloed op jouw IT-netwerk, maar ook op jouw algehele bedrijf.
Operationele verstoringen en proceskosten hebben een onmiddellijk effect op jouw reputatie als deze niet correct worden geprioriteerd. Het is daarom niet verwonderlijk dat aandeelhouders persoonlijke consequenties gaan zoeken voor bedrijven die betrokken zijn bij een cybercrisis. Effectief beheer van een cybercrisis omvat betrokkenheid op directieniveau op zowel COO- als CFO-niveau. Maar een CEO is vaak de beste persoon om het te beheren.
Regel 2: Het draait allemaal om communicatie.
Wanneer het bedrijf wordt getroffen door een cyberaanval, wil niemand in het nieuws zijn en worden uitgedaagd door het publiek en de pers. Was het slechte cyberbeveiliging of een hacker van een nationale staat? Begrijp je echt de volledige omvang van gelekte gegevens? Zijn er nog andere achterdeuren die de aanvallers kunnen gebruiken voor sabotageactiviteiten?
Een cybercrisis is bijna altijd erg complex. Het kan maanden tot jaren duren om al die vragen te beantwoorden. De juiste communicatiestrategie zal echter de publieke opinie bepalen over hoe professioneel je het incident hebt beheerd. Dus wat ga je doen? Geheimhouding, volledige transparantie of de gevaarlijke weg daartussenin?
Het kan maanden tot jaren duren om alle vragen te beantwoorden.
Hoewel we alleen maar kunnen speculeren over het succespercentage van incidenten die geheim werden gehouden, is er voldoende bewijs om hetvolgende aan te tonen: de meeste grote ondernemingen die probeerden een cybercrisis geheim te houden en daarna werden gepakt, faalden enorm in hun reputatie.
Bovendien moet je alle relevante interne belanghebbenden en leveranciers beheren om te voldoen aan mogelijke voorschriften voor verplichte rapporten. Sommige toezichthouders vragen om extreem snelle rapporten, zoals de Monetary Authority of Singapore (MAS) die binnen enkele minuten een melding eist.
Maar er zijn veel technische variabelen die je niet kan controleren. Een aantal impactvolle cyberinbreuken zoals Stuxnet werd bijvoorbeeld gemeld door beveiligingsonderzoekers die bewijs van een compromis op basis van externe telemetrie en malwaremonsters identificeerden.
Door jouw cybercrisis transparant te behandelen, krijg je voordelen zoals overheidssteun door autoriteiten, onderzoekers en klanten. Maar je moet klaar zijn om de druk op je te nemen in communicatie en uitvoering.
Regel 3: Toegang tot cybersecurity-expertise.
De meeste bedrijven hebben hun eigen CISO en beveiligingspersoneel in dienst die zullen reageren op de cybercrisis. Maar laat me je een vraag stellen: hebben jouw medewerkers de volledige cybercrisis echt gezien en die end-to-end ervaren? Als je nog geen goede oefeningen hebt gedaan en je team nog nooit een cybercrisis heeft aangepakt, probeer het dan niet alleen op te lossen. Overweeg in plaats daarvan de volgende belanghebbenden in het crisisproces te gebruiken:
- Cybersecurity-incident en crisisexperts: rapportage van de crisis en technische analyse kan waarschijnlijk effectiever worden gedaan door externe bedrijven die vergelijkbare situaties of dezelfde dreigingsactor hebben aangepakt. De meeste bedrijven hebben bijvoorbeeld vaak geen juridische ervaring of zijn niet bekend met de tactieken, technieken en procedures (TTP’s) van de bedreigingsacteur.
- Beveiligingsleveranciers: de meeste bedrijven zijn verlegen om beveiligingsleveranciers als partners te beschouwen. De realiteit is dat beveiligingsleveranciers misschien de beste partners zijn om je te helpen de dreiging te verminderen, gezien hun ervaring met jouw beveiligingscontroles.
- Peers: Cybersecurity is een teamsport, dus we moeten ons meer bescheiden opstellen wanneer we met onze collega’s of zelfs concurrenten werken. De meeste bedreigingen waarmee jouw organisatie wordt geconfronteerd, hebben sommige van jouw collega’s al getroffen. Het betrekken van collega’s en om hulp vragen is van cruciaal belang.
- Wetshandhaving: in veel landen is het inschakelen van wetshandhaving meer een formele handeling om het incident te registreren. Sommige landen beschikken echter over sterke capaciteiten die niet alleen gericht zijn op onderzoek naar de bedreigingsactoren, maar ook helpen bij het verdedigen van jouw netwerken. Om het probleem van cybersecurity op een duurzame manier aan te pakken, is het altijd goed om tijdens of na een incident contact op te nemen met de politie.
Regel 4: Gebruik slimme insluiting.
Met een cybercrisis kan het jaren duren als je willekeurig alle aanbevelingen volgt die er zijn. Hoe daag je jouw CISO uit om de balans tussen incidentbeheersing en het bedrijf draaiende houden en paniekmodus vermijden?
In plaats van alles te doen, kan jouw taskforce een risico-gestuurde insluiting toepassen die de belangrijkste vragen aanpakt: 1. Waarom zijn we gehackt? 2. Wat zijn onze kroonjuwelen en zijn ze aangetast? 3. Hoe kunnen we de dreiging verminderen?
Om te begrijpen hoe de dreiging kan worden beperkt, moet je de eerste en tweede vraag goed beoordelen. Soms is het zelfs nodig om de aanvaller een tijdje in je eigen netwerk te houden om zijn ware motivaties te bepalen. Als de motivatie destructief is, kun je hem zo snel mogelijk van het netwerk halen.
Soms is het nodig om de aanvaller een tijdje in je eigen netwerk te houden om zijn ware motivaties te bepalen.
Voor alle gerichte aanvallen die specifiek op jouw bedrijf zijn gericht en met een bepaald doel, zoals proberen informatie te stelen voor spionage of om het IT-systeem te saboteren, is er een belangrijke vraag die je altijd aan jouw CSO moet stellen: hebben we patiënt nul geïdentificeerd?
Vergelijkbaar met virusuitbraken in onze menselijke wereld, kan patiënt nul je helpen het pad van de aanval te reconstrueren en potentiële verborgen achterdeuren te identificeren die de aanvaller als back-up in jouw netwerk heeft gemaakt voor het geval hij wordt geïdentificeerd. Als jouw taakgroep patiënt nul niet kan identificeren, kunnen ze niet bevestigen of de aanvaller zich nog in het netwerk bevindt of de volledige omvang van de aanval bepalen.
Regel 5: Wees veilig en zonder spijt
Hoe heeft de cyberbreuk jouw reputatie beïnvloed vanuit een reputatie, juridisch, financieel en technisch oogpunt? Heb je geld verloren omdat je de afgelopen 20 uur geen server hebt kunnen draaien?
Schat de totale kosten van de aanval. Zoek naar een blijvende operationele impact als er tijd verloren gaat bij het werken aan belangrijke projecten. Deze analyse is niet alleen vereist als je jouw cyberrisico hebt afgedekt met een verzekering, maar zal je ook helpen jouw vereiste investering in cybersecurity af te leiden.
Uiteindelijk maken de meeste organisaties die te maken hebben met een cybercrisis, een aanzienlijke toename van investeringen in cyberveiligheid. Focus op principes zoals Zero Trust, het verbeteren van cyberhygiëne en het vereenvoudigen van beveiligingsprocessen en -technologieën zijn enkele van de belangrijkste – en fundamentele – dingen om te doen.
Cyberweerbaarheid in een notendop
Ongeacht jouw branche, is een goed plan voor cyberbestendigheid een must als je voorbereid wilt zijn op het worst-case scenario. Het verminderen van de omvang van schade veroorzaakt door een cyberaanval is het primaire doel van een cyberbestendigheidsplan. Proberen het netwerk te beveiligen is één ding. Maar het activeren van een goed doordacht en door stress getest bedrijfscontinuïteitsplan in het geval van een aanval kan jouw organisatie enorm geld en tijd besparen. Wees dus goed voorbereid.
Dit is een ingezonden bijdrage van Sergej Epp, Chief Security Officer (CSO) bij Palo Alto Networks regio Centraal-Europa. Via deze link vind je meer informatie over de activiteiten van het bedrijf.