Omgaan met securityincidenten: heb jij een worstcasescenario (en oefen je ermee)?

Preventieve en detectieve maatregelen nemen om incidenten te voorkomen: dáárop is onze aanpak gebouwd. Maar net als met gebouwen geldt: hoe stevig je de fundering ook maakt, er kan altijd een onvoorziene tornado langskomen waar je niet volledig tegen bestand bent. Oftewel, een cyberaanval kán slagen.

Als je de media erop naslaat, zie je dat ook. Van de Gemeente Antwerpen tot het Leids Universitair Medisch Centrum: ondanks de getroffen securitymaatregelen krijgen organisaties soms toch te maken met incidenten.

De vraag is: wat doe je als zo’n worstcasescenario werkelijkheid wordt?

Incident response plan: altijd klaar om te handelen

Mochten kwaadwillenden onverhoopt succesvol toeslaan, dan wil je de impact van het incident zo laag mogelijk houden. Door mitigerende maatregelen te nemen, verlaag je de consequenties op business- én emotioneel gebied (een aanval kan er flink inhakken bij je medewerkers — angst en onzekerheid zijn vaak het gevolg).

Wie altijd klaar wil zijn om te handelen, heeft een plan nodig. In dit geval noemen we dat een ‘incident response plan’. Hierin beantwoord je vragen op twee vlakken. Benieuwd naar de vragen die zoal aan bod komen? We geven enkele voorbeelden!

1. Organisatorisch

• Welk crisismanagementteam komt samen in het geval van een incident?

• Wat zijn de rollen binnen dit team? Wie mag welke besluiten nemen?

• Wat zijn de procedures als je moet onderhandelen over losgeld? Wie treedt in zo’n geval op als onderhandelaar: iemand binnen de organisatie (zoals de CISO) of een externe ondersteuner (bijvoorbeeld een specialist in crisisbeheersing of een advocaat)?
• Hoe communiceer je naar buiten toe (bijvoorbeeld naar de media) over een incident?
• Hoe ziet je interne communicatiestrategie eruit?

2. IT-gerelateerd

• Isoleer je de server zodra je vermoedt dat deze gecompromitteerd is (bijvoorbeeld omdat je een ongebruikelijke activiteit of verdachte inlogpogingen detecteert), zodat een eventueel incident zich niet verspreidt naar andere delen van het netwerk?

• Heb je goede back-ups? Zo ja, hoe snel kun je deze terugzetten?

• Wat is je plan omtrent phishing mails?
• Hoe acteer je op een ransomwareaanval?
• Kies je ervoor om de assets van het netwerk te isoleren, zodat de aanvaller geen toegang heeft tot andere systemen?

Hoe komt een plan tot stand?

Een incident response plan opstellen doe je niet één-twee-drie. Het vergt nogal wat inspanning. Nodig is het zeker: vanuit complianceperspectief ben je vanuit steeds meer hoeken verplicht om een dergelijk plan te hebben (denk aan NIS 2.0). En als je een cybersecurityverzekering wilt afsluiten, is het hebben van een incident response plan een randvoorwaarde.

Wortell is heel goed bekend met de eisen waaraan je moet voldoen. Daarom helpen wij organisaties bij het maken van een incident response plan. Hiervoor gebruiken we gangbare templates, maar vooral ook onze best practices. Op basis van onze brede ervaring wéten we inmiddels welke mitigerende maatregelen we op welke manier kunnen uitvoeren.

Een ‘kant-en-klare’ benadering hanteren we overigens niet. We doen altijd een intake met je, zodat we een plan opleveren dat echt aansluit bij jouw organisatie. Want een zorginstelling heeft bijvoorbeeld een heel ander plan nodig dan een bank. Samen bepalen we een duidelijk scenario, inclusief een aanpak waarmee we de crisis kunnen bedwingen.

Table top: oefening baart kunst

Een plan uittekenen is een heel goed idee, maar het blijft theoretisch totdat je het daadwerkelijk uitvoert. ‘Repeteren’ is geen overbodige luxe. Een brandoefening doe je immers ook een keer per jaar om te weten hoe je moet handelen in geval van nood. Bij een incident response plan noemen we zo’n oefening ‘table top’. Daarbij simuleren we een incident en voeren we een interactieve oefening met je uit. Zo testen we of het beschreven plan ook werkt in de praktijk.

Van tevoren gaan we met je om de tafel om te bepalen welk incident we het best kunnen oefenen. Daarbij bespreken we welke mensen we bij de table top gaan betrekken. Als je wilt, kun je eerst een onlineworkshop van twee uur volgen. Tijdens deze workshop nemen we actuele trends en ontwikkelingen rondom cybersecurity met je door. Ook leggen we uit wat er in een incident response plan staat.

Voor de oefening zelf trekken we een dagdeel uit. Het uitgangspunt van een table top kan bijvoorbeeld luiden: “Op social media hebben we gesignaleerd dat een hacker je informatie aan het verspreiden is. Wat doe je?”

Tijdens de oefening nemen we de organisatorische stappen door die je doorloopt. Gaat het oefenscenario uit van een datalek, dan moet je bijvoorbeeld een melding maken bij de Autoriteit Persoonsgegevens, aangifte doen bij de politie en communiceren naar de media. Met je IT-afdeling oefenen we de technische maatregelen die je treft. En soms is het ook nuttig om op strategisch niveau te repeteren, bijvoorbeeld door de raad van bestuur te betrekken bij een ransomwarescenario.

De oefening zit erop! En dan?

Hoe verloopt de samenwerking binnen het crisisteam? Is de communicatiestrategie effectief? Is het duidelijk wie welke verantwoordelijkheid heeft wanneer een incident zich voordoet? Volgt iedereen de procedures die in het incident response plan beschreven staan?

Dergelijke vragen beantwoorden we tijdens de evaluatie van de table top, die vlak na de oefening plaatsvindt. Tevens ontvang je van ons een rapport met aanbevelingen en leerpunten.

Samen bekijken we of het nuttig is om extra stappen te nemen. Soms blijkt bijvoorbeeld dat je een betere back-up nodig hebt. Misschien is het slim om een cybersecurityverzekering af te sluiten. Of we komen er samen achter dat je een onderhandelaar wilt inschakelen voor potentiële ransomwareaanvallen. En wellicht ontdek je dat de security awareness binnen je organisatie omhoog moet. Ook bij het nemen van dit soort aanvullende maatregelen helpen we je graag.

Meer weten over een incident response plan en table top? Neem gerust contact met ons op om jouw mogelijkheden te bespreken.