Voor elk bedrijf lijkt een cyberaanval slechts een kwestie van tijd. Vanuit die optiek nemen veel organisaties een CSIRT (Cyber Security Incident Response Team) onder de arm. Je kunt het vergelijken met een brandweerkorps dat 24/7 bereikbaar is, en snel uitrukt om een brand te blussen en de oorzaak te vinden. Eigenlijk is het een verzekering voor je IT-omgeving, maar daar mag het niet bij blijven. Zeker niet als je weet dat veel brandjes met de juiste preventie perfect te voorkomen zijn.
Slachtoffer van een cyberaanval? Dan is snel handelen belangrijk. Een CSIRT komt meteen ter plaatse om de brandhaard te beperken en je organisatie snel weer up & running te krijgen. Het team beschikt over gespecialiseerde tools en experts die weten wat er moet gebeuren om een probleem te verhelpen en te ontdekken hoe de brand precies is kunnen ontstaan. Dat klinkt allemaal heel mooi en het is zeker een troef voor je organisatie om een CSIRT achter de hand te houden. Maar zou het niet nog mooier zijn als je de brandweer helemaal niet aan je deur ziet verschijnen. En dat je met de juiste acties zowel je eigen als andere organisaties ‘cyberbrandveilig’ kunt maken?
We stellen vast dat bedrijven vaak wel in een CSIRT investeren, maar dat hun cybersecurity daarnaast tekortschiet.
Steven De Munter, Cybersecurity Advisor Orange Cyberdefense
In de praktijk stellen we vast dat bedrijven vaak wel in een CSIRT investeren, maar dat hun cybersecurity daarnaast tekortschiet. Ze laten achterpoortjes openstaan, beschikken niet over goed ingeregelde netwerkbeveiliging, en vergeten vaak ook awareness te creëren bij hun medewerkers. Die laatste worden bovendien steevast ingezet als “human firewall”. Op die manier biedt een CSIRT een vals gevoel van veiligheid en maak je het aanvallers wel heel gemakkelijk om brand te stichten.
Beter voorkomen dan genezen
Bekijk een CSIRT daarom als een soort verzekering voor je organisatie. Goed om te hebben als het fout gaat, maar uiteraard hoop je er nooit op te moeten terugvallen. Een autoverzekering, bijvoorbeeld, is belangrijk voor wie betrokken geraakt bij een ongeval, maar je blijft wel elke autorit een gordel dragen en je volgt ook de verkeersregels om zo’n ongeval te vermijden. En je gaat ook niet zomaar in het wilde weg tegen alles en iedereen botsen. Zelfs dat is geen garantie, aangezien je rekening moet houden met andere weggebruikers die met een bruusk manoeuvre of door ongepast of onveilig gedrag een ongeval kunnen veroorzaken. Een lek bij een leverancier kan zich zonder goede voorzorgsmaatregelen snel doorzetten naar je eigen IT-systemen. Daar zal ook een dure CSIRT contract niets aan veranderen.
Als organisatie moet je op dezelfde manier naar een cyberaanval kijken. Je weet dat het plots kan gebeuren, maar doet er alles aan om te voorkomen dat het gebeurt. Ga na welke stappen je kunt zetten om te anticiperen op een “cyberbrand”. Welke deuren mag je zeker niet laten openstaan, of welke “brandbare” items moeten extra beveiliging krijgen? Hoe moet je firewalls instellen om waardevolle data te beschermen? Denk ook aan een goede back-upstrategie en veilige logginstrategie waarmee je bij een incident snel ziet waar en wanneer de brand begonnen is. Zo verlies je minder tijd en kan je beter inschatten welke systemen wellicht gecompromitteerd zijn of waar er ergens nog een vonk aan het smeulen is
Doe geregeld een brandoefening
Je medewerkers blijven een zwakke schakel waar cyberaanvallers graag misbruik van maken. Zorg dus voor voldoende training zodat ze de juiste attitude vertonen. Je wil bijvoorbeeld niet dat ze een sigaret zomaar in de vuilbak gooien zonder deze eerst te doven. Data die niet meer nodig is, mag niet blijven rondslingeren en moet vernietigd worden zodat de informatie niet in verkeerde handen terechtkomt. Als het bewustzijn groot genoeg is, zullen medewerkers verdachte gebeurtenissen bovendien komen melden. Zo kan een klein brandje meestal snel geblust worden vooraleer de vlammen overslaan.
Terwijl een brandoefening verplichte kost is, moeten bedrijven de reflex krijgen om iets gelijkaardigs te doen voor hun cyberomgeving. Steek eens een virtuele vuilbak in brand en kijk of er iemand reageert. Of organiseer een incident response table top-oefening. Daarmee simuleer je een fictieve aanval en zie je wat de impact kan zijn voor je organisatie. Dat is ook een goede manier om het bewustzijn bij de directie te vergroten.
Deel informatie met andere bedrijven
Waar rook is, is doorgaans vuur. Voor een brand uitbreekt, zijn er vaak al indicatoren die wijzen op een potentieel probleem. Denk aan een toestel dat oververhit geraakt. Bedrijven zouden daarom gebaat zijn om meer te moeten communiceren met andere spelers in hun sector. Als hackers erin slagen om een bank aan te vallen via een kwetsbaarheid in een bepaald systeem, dan zullen er wellicht andere banken zijn die hetzelfde systeem gebruiken en ook brandgevaar riskeren. Zo’n meldingsplicht is een belangrijke pijler van de aankomende NIS2-richtlijn, maar organisaties doen er goed aan om ook zelf initiatief te tonen en informatie te delen. De beste crisisvergadering is een vergadering die je houdt vooraleer er effectief sprake is van een crisis. Op termijn kunnen we zo een volledige industrietak cyber resilient maken.
Conclusie? Het risico op een cyberaanval kunnen we nooit helemaal wegnemen en daarom zorgt een CSIRT voor gemoedsrust. Maar dat mag geen reden zijn om een lakse houding aan te nemen met betrekking tot je cybersecurity-investeringen -en activiteiten. Een CSIRT is pas nuttig als het al te laat is. Bedenk eens wat je moet investeren om gedurende drie jaar een verzekering te financieren en hoeveel het kost wanneer een cyberaanval met ransomware je organisatie een week plat legt. Met de juiste cybersecuritymaatregelen beperk je niet alleen het risico op een brand, je verkleint ook de impact van een cyberincident. En dan heb je mogelijk al genoeg aan een goede brandblusser in plaats van een volledig brandweerkorps …
Dit is een ingezonden gastbijdrage van Steven De Munter, Cybersecurity Advisor bij Orange Cyberdefense. Kom je graag nog meer te weten over cyber crisis management? Registreer je dan voor Orange Cyberdefense Live 2023, op 9 november in Edegem.