BLOG – Een brandoefening is in veel bedrijven een jaarlijks terugkerende gebeurtenis. Breekt er echt brand uit, dan ligt er een helder plan om de schade te beperken. Bij een cyberaanval is het een ander verhaal. Wat eerst een smeulend vuurtje lijkt, verandert bij gebrek aan een incident response plan al snel in een uitslaande brand die de hele business bedreigt.
Stel je voor, er breekt een brandje uit en jij bent toevallig in de buurt. Je grijpt naar een brandblusapparaat, maar moet dan vaststellen dat je niet weet hoe je daarmee moet werken. Terwijl je de instructies leest, begint het vuur zich te verspreiden en gaat kostbare tijd verloren. Dit tafereel is moeiteloos naar een cyberaanval door te trekken. Als it-professionals binnen een organisatie malware opmerken, gaan ze aan de slag met de beschikbare cybersecuritytools. Maar net zoals met die brandblusser zijn ze niet gewend om dergelijke tools te hanteren. Het ontbreekt hen op dat moment aan kennis en skills om de cyberaanval op de juiste manier te bestrijden.
Terwijl de it-afdeling ten onrechte denkt dat de brand onder controle is, zijn de hackers er ondertussen in geslaagd andere systemen binnen te dringen. Na enkele dagen moeten de moedeloze it-medewerkers vaststellen dat de meeste systemen en data in het bedrijf door de aanvallers versleuteld zijn. Het gevolg? De brand legt activiteiten lam en begint nu ook de business te treffen. Hoe langer dit duurt, des te hoger de kosten oplopen. De druk op it neemt toe, iemand zal de verantwoordelijkheid moeten oppakken en een paar lastige knopen doorhakken. Maar wie?
Drie cruciale stappen
De bovenstaande situatie doet zich regelmatig voor. Net zoals bij een brand vereist een ernstig cyberincident een rampenplan, ofwel een crisismanagementplan. Dat plan moet holistisch zijn en heeft dus niet enkel impact op it, maar ook op de business en elke afdeling in de organisatie. Concreet zijn de volgende stappen bij een cyberincident van cruciaal belang.
- Stel een crisismanagementteam samen
Veel organisaties moeten bij een cyberaanval nog beginnen met het samenstellen van een crisisteam. Vaak verzamelen ze tientallen mensen in één grote ruimte, waardoor er veel chaos heerst en elke vorm van coördinatie ontbreekt. De directie snapt bovendien weinig van de taal van IT, waardoor ze beslissingen moeten nemen zonder te begrijpen wat er concreet aan de hand is.
Definieer daarom op voorhand wie in dit crisisteam moet zitten en wat hun rol is. Meestal bestaat zo’n team uit verschillende units: van een besluitvormende unit (waarin ook de directie zit) en een coördinerende unit tot een operationele unit. Het is hoe dan ook een goed idee om ook een cyberincidentmanagement te voorzien die de vertaalslag maakt tussen enerzijds it en anderzijds de directie en de diverse afdelingen in de organisatie.
- Kies een communicatiekanaal
Communicatie is essentieel bij een cyberincident. Binnen het bedrijf alleen al moeten heel wat mensen op de hoogte worden gebracht. In het slechtste geval zullen ook de communicatietools door de cyberaanval getroffen zijn. Bepaal daarom op voorhand via welk kanaal (e.g. Teams, Zoom, Signal) je wil communiceren. Wacht zeker niet te lang om je cybersecuritypartner op de hoogte te brengen. Intussen moet je ook zowel in- als extern klaar zijn om te communiceren over het incident. Je zult immers lastige vragen krijgen van de pers en van ongeruste klanten.
- Maak een actieplan
Bij het blussen van een cyberbrand heb je een actieplan nodig dat eerst de businessimpact in kaart brengt en nagaat hoe je organisatie zonder bepaalde it-systemen kan blijven draaien. Zodra je dit weet, kan je beginnen met het inperken van de schade, onder meer door systemen te isoleren, na te gaan of de backup getroffen is en te bekijken welke data is gestolen. Pas als de onderzoeksfase achter de rug is en je weet hoe het incident ontstaan is, kan je beginnen met het terugkeren naar de normale werking van de it-omgeving. Eerst door de malware te verwijderen en de security aan te scherpen, zodat hackers niet meteen opnieuw kunnen toeslaan.
Als dat goed verloopt, zijn de versleutelde bestanden te herstellen en systemen te herstarten. Dit kan enkele dagen duren, maar makkelijk ook tot maanden oplopen. Hou er daarnaast rekening mee dat er elk moment iets kan foutlopen (bijvoorbeeld door een verdachte activiteit), waardoor alle progressie verloren gaat en een nieuwe onderzoeksfase van start gaat. Soms is het zelfs nodig om de resterende werkende systemen uit te schakelen en zo de lockdown (en de businessimpact) verder uit te breiden. Op zo’n moment is het belangrijk een crisismanager te hebben die de directie achter die harde beslissing krijgt.
Csirt
Je hoeft er niet alleen voor te staan. Hoewel het logisch is dat je eerst intern de bevoegde personen verwittigt, mag je bij een brand niet te lang wachten om de brandweer te bellen. Houd daarom het nummer van een computer security incident response team (csirt) bij de hand. Voor ernstige cyberdelicten licht je dit team zo snel mogelijk in. De realiteit leert echter dat zij vaak pas na twee of drie dagen na het incident aankomen, wanneer de hele it-afdeling al zaken zelf heeft proberen oplossen en uitgeput op de grond ligt. Ook voor kleinere brandjes die het it-team zelf heeft weten op te lossen kan het belangrijk zijn – afhankelijk van de schaal van het incident – de csirt te verwittigen. Met de hulp van it gaan ze dan na waar de brand precies is ontstaan en wat nodig is om te vermijden dat de brand opnieuw uitbreekt.
Incident response plan
Veel organisaties kunnen beamen dat een cyberaanval rampzalige gevolgen kan hebben en daarom is een goed voorbereid plan cruciaal. Maak werk van een incident response plan, zodat je de volgende crisis – net als een goed uitgevoerde brandoefening – snel onder controle krijgt. Neem in de naweeën van een aanval ook de tijd om de geleerde lessen op een rij te zetten. Dat levert inzichten op om je incident response plan te blijven versterken binnen dit snel veranderende cyberdreigingslandschap.
Ten slotte is het essentieel om te blijven investeren in regelmatige trainingen voor medewerkers en detect and response services. Hierdoor hoeven organisaties niet pas te handelen nadat een probleem is ontstaan, maar kunnen ze meteen anticiperen op nieuwe dreigingen en snel reageren wanneer dat nodig is. Door de ondersteuning van deze gespecialiseerde diensten stemmen bedrijven hun beveiligingsstrategie voortdurend af op de laatste trends en dreigingen, wat hen helpt om zowel risico’s te minimaliseren als aan de nieuwste compliance-eisen te voldoen.
Simen Van der Perre is cybersecurityexpert bij Orange Cyberdefense
