Techneuten slagen er onvoldoende in om C-levels duidelijk te maken wat het gevaar in cyberland voor het bedrijf kan betekenen. Met een afgelikte simulatie op maat van individuele bedrijven en personen wil Orange Cyberdefense daar verandering in brengen. Wij ervaren aan den lijve wat dat betekent.
We maakten promotie. Op de bovenste verdieping van het nieuwe kantoor van Orange Cyberdefense aan het Albertkanaal in Wijnegem worden we ontvangen als de CEO van Althys: een fictief bedrijf met een jaaromzet van om en bij de 290 miljoen euro. Ons bedrijf is actief in de maakindustrie: één van de sectoren waar Orange Cyberdefense op focust met zijn gloednieuwe Cyber Experience Center. Zo meteen zullen we tijdens een live simulatie ondervinden wat het nu echt betekent om gehackt te worden.
“In ons experience center bouwden we een ervaring op basis van data van onze CERT-teams, eigen onderzoek, onze ervaringen en die van klanten”, zegt Simen Van De Perre, Strategic Advisor bij Orange Cyberdefense. Hij neemt de rol van spelleider op zich. “We hebben vijf grote versies van de simulatie gericht op maakbedrijven, healthcare, overheid, de financiële sector en educatie. Dat zijn de belangrijkste klantengroepen, maar iedere simulatie wordt verder op maat aangepast. Organisaties die te gast zijn, spelen zelf de hoofdrol.”
Hollywood aan het Albertkanaal
Wat dat betekent, ontdekken we na een dramatisch filmpje met productiewaarden recht uit een Hollywood-blockbuster. Daarin speelt zich een visueel aantrekkelijke aanval op een bedrijf af die door Orange Cyberdefense wordt verijdeld. “Helaas loopt het niet altijd zo goed af”, zegt Van De Perre. We beseffen dat we met onze journalistieke ervaring niet gekwalificeerd zijn als CEO van Althys en nog nooit hebben nagedacht over de cyberbeveiliging van ons fictieve bedrijf. Hebben we überhaupt wel een beveiligingsbeleid? We worden al wat zenuwachtig.
Dat is voor een stuk de bedoeling van de hele ervaring. Van De Perre: “Wanneer we onze klanten vragen wat voor hen de grootste uitdaging is, weten ze dat heel goed. Beveiligingsspecialisten hebben resources en budget nodig, maar ze vinden het bijna allemaal heel moeilijk om het hoger management van die nood te overtuigen. Het is niet eenvoudig om cybersecurity tastbaar uit te leggen. Wij willen hen daar een handje bij helpen.”
Quiz waarbij je geld verliest
We krijgen een gepersonaliseerde tablet in onze handen geduwd en mogen plaatsnemen in het hart van de simulatie: een set die zo lijkt weggelopen uit het betere quizprogramma. Iedere C-level-functie heeft zijn eigen plek en overal hangen enorme schermen. Van De Perre staat achter een eigen lichtgevende toog van waaruit lichtgevende kabels over de grond vertrekken. Een functie hebben deze niet, maar het oogt mooi en spannend en brengt ons verder in de sfeer.
De simulatie begint en zoals gevreesd hebben we meteen prijs. Onze onderneming is gehackt, alle data zijn versleuteld en de systemen liggen plat. Onze 3.000 werknemers zitten met de handen in het haar. Als maakbedrijf kost dat geld en we zien aan de hand van een teller meteen hoeveel precies.
Orange Cyberdefense gebruikt de werkelijke omzet van bezoekende organisaties om in realtime weer te geven hoe de kost van de cyberaanval oploopt. We werden gisterenavond gehackt en voor ons klom het prijskaartje gedurende de nacht al naar meer dan een miljoen euro. Iedere seconde dikt de teller aan. We denken dat onze job als CEO wel eens van korte duur kan zijn.
Gevangen door ransomware
Van De Perre legt duidelijk uit dat ransomware onze hele onderneming heeft getroffen. Verrassend is dat niet: ransomware is veruit het populairste type aanval momenteel. Daarom focust Orange met zijn Cyber Experience Center op een dergelijke hack. Andere aanvallen zoals cyberspionage komen ook voor, maar zijn zeldzamer en dienen daarom minder voor de overtuigingsdoeleinden van deze ervaring.
Een korte presentatie maakt duidelijk wat er precies gebeurd is. Van De Perre toont hoe criminelen gebruik maken van phishing, kwetsbaarheden of software voor toegang vanop afstand om binnen te breken. Vervolgens legt hij kort uit hoe een aanvaller zich door het netwerk van de organisatie beweegt en meer privileges vergaart. “De aanvaller zal vaak even wachten voor hij of zij een ransomware-aanval uitvoert”, zegt Van De Perre. “Eerst worden de back-ups stopgezet of vernietigd. Soms worden gevoelige data ook gestolen, zodat de aanvallers kunnen dreigen om de gegevens publiek te maken. Pas op het einde versleutelen de hackers de data en volgt de vraag om losgeld.”
Wat betekent dat voor de CEO, CFO, CIO…
De focus ligt echter niet op het technische verhaal. Orange Cyberdefense wil de C-levels op hun eigen ervaring aanspreken. Een CEO zal zich niet afvragen welke ongeïnstalleerde patch de aanvallers een achterpoortje heeft bezorgd. Het is belangrijker om te weten hoe die cyberaanval het bedrijf écht impacteert. Als top-executive speelt het grote plaatje een belangrijke rol.
Voor andere leden van het managementteam zijn de vragen anders. De CFO zal bijvoorbeeld benieuwd zijn naar de bredere financiële impact. Een ransomware-aanval associeer met een losgeldbetaling in bitcoin, maar de financiële gevolgen gaan verder. Zo kunnen versleutelde systemen facturatie onmogelijk maken: een probleem waar de CFO snel een oplossing voor moet zoeken. Orange Cyberdefense probeert tijdens de simulatie om de gevolgen van de aanval te concretiseren voor iedereen binnen de C-suite.
Betalen of niet?
De grote tablets die we aan het begin kregen, blijven een beetje onderbenut. Van De Perre stelt ons wel af en toe meerkeuzevragen. Hoelang duurt het voordat een aanval gemiddeld is verholpen? Dagen, weken of maanden? We weten dat het om weken gaat en kiezen correct. De beveiligingsspecialist gebruikt de vraag om te verduidelijken dat een organisatie gemiddeld 19 dagen afziet van een ransomware-incident. Terwijl tikt de geldteller maar op. De knap verlichte set kleurt intussen bloedrood en onze hartslag schiet de hoogte in. Deze grap gaat Althys geld kosten.
22,6 procent van alle ransomware-slachtoffers zijn net als Althys actief in de maakindustrie. Het losgeld dat hackers vragen is in een jaar tijd verdubbeld en zal dit jaar vermoedelijk zelfs verdrievoudigen. Losgeld betalen is voor een maakbedrijf een aanlokkelijk idee. Onderzoek van Sophos toont aan dat 36 procent van de C-level managers bereid is om losgeld te betalen om de organisatie opnieuw op de rails te krijgen. In de simulatie van Orange Cyberdefense zal Althys aan het einde van de rit ongeveer 23 miljoen dollar aan omzet mislopen. De drang om te betalen is begrijpelijk. Bovendien zijn veel organisaties verzekerd.
Rampzalig rampenplan
“Een cyberverzekering omvat zelden het losgeldbedrag”, zegt Van De Perre. “Bovendien komt de verzekering niet noodzakelijk tussen als de beveiliging aantoonbaar ontoereikend was.” De onbestaande CFO van Althys krijgt op dit moment een angstaanval.
Hoopvol richten we onze CEO-ogen richting de lege plaats waar normaal de CIO zou zitten. Die weet vast soelaas. “Niet noodzakelijk zo”, zegt Van De Perre. “90 procent van de organisaties heeft weliswaar een disaster recovery plan, maar 23 procent van hen test dat plan nooit. De meeste organisaties ontdekken dat herstel veel langer duurt dan verwacht.” Bovendien valt er in het geval van Althys weinig te herstellen, aangezien de back-ups mee aangetast zijn. Boeken toe dan maar?
Tweede kans
Van De Perre redt ons. Op de tablet verschijnt een grote oranje terugspoelknop. We gaan terug in de tijd naar de zorgeloze periode voor de aanval. Hier culmineert de ervaring van het Cyber Experience Center. Nu we aan den lijve ondervonden hebben wat de impact van een cyberaanval is, en iedere manager weet welke problemen hij of zij moet verwerken, legt Van De Perre rustig uit hoe je je organisatie kan wapenen zodat de simulatie fictie blijft. Dat gebeurt opnieuw op een niet-technische manier en aan de hand van concrete maatregelen voor CEO, CFO, CIO en CISO. “Op dit moment vindt normaal gesproken een open discussie plaats”, weet hij.
De ervaring wordt afgesloten op een positieve noot. Bezoekers krijgen op een interactief scherm verschillende caseverhalen te zien van de voordelen die veilige technologie met zich meebrengt in steden, scholen, de logistieke sector en meer. “We willen bewustmaken zonder bang te maken”, klinkt het. Orange Cyberdefense wil niet dat de bezoekers vertrekken met een nieuw gevonden angst voor al wat met bits en bytes werkt.
Van De Perre heeft intussen al de nodige ervaring opgedaan om die opdracht tot een goed einde te brengen. Een twintigtal echte klanten passeerden voor ons de revue. Daarbij gaat het niet om kleine garnalen. “We mikken op organisaties met meer dan 500 werknemers in één van de verticals waar we op focussen”, verduidelijkt hij. In eerste instantie wil Orange Cyberdefense bestaande klanten uitnodigen, maar ook prospecten zijn welkom.
Van boardroom naar experience center
Het enthousiasme is opmerkelijk. De hele C-suite bij elkaar krijgen voor een dagje cyberstress is niet vanzelfsprekend en dat beseft Orange Cyberdefense maar al te goed. Op het zevende verdiep van de kantoortoren vinden we daarom naast het Cyber Experience Center ook een heuse boardroom. Tijdens ons bezoek is het mooi weer en zien we van de naburige Axel Vervoordt-site over het Albertkanaal tot aan de kerncentrale van Doel. Orange stelt die boardroom ter beschikking voor bijvoorbeeld een kwartaalmeeting, waarbij de ervaring in het Experience Center het toemaatje is. Zo hoopt de beveiligingsspecialist om terughoudende managers toch in zijn experience center te krijgen.
De hele verdieping is exclusief voorbehouden voor de simulatie en de omkadering. Orange Cyberdefense heeft hier stevig geïnvesteerd. Dat illustreert hoe belangrijk het is om hoger management duidelijk te maken wat cybersecurity voor hen betekent. De impact kan groot zijn, zowel voor bedrijven die hopelijk veiliger worden als voor Orange, dat er ongetwijfeld vanuit gaat dat de investering een return on investment met zich meebrengt.
Wij verlaten het kantoor, blij dat we geen CEO zijn van een groot bedrijf. Eens aangekomen op de redactie, polsen we toch maar even snel naar de kwaliteit van de ITdaily-back-ups.