De winst van een cyber security-crisisoefening

In de afgelopen maanden heb ik meerdere crisisoefeningen mogen begeleiden of meemaken. De crisis was vaak een ‘geslaagde’ hack waarbij een hackersgroep dreigde veel gevoelige huurdersgegevens op het darkweb te plaatsen tenzij er betaald werd.  

Helaas is dit scenario niet vergezocht. Cyberaanvallen op woningcorporaties komen voor. De vraag is niet of het gebeurt, maar wanneer. Daarom is het cruciaal om voorbereid te zijn met een plan en door ervaring op te doen middels een cybersecurity-crisisoefening. In deze blog vertel ik je graag meer over deze oefeningen en wat jij ervan kunt leren.

Een hack is geen IT-crisis
Een veelvoorkomend misverstand is dat een cyberaanval alleen de IT-afdeling raakt. Niets is minder waar. Bij een geslaagde hack zoals in de geoefende scenario’s, waarbij huurdersgegevens worden gestolen, is er impact op vrijwel elke afdeling:

• Klantcontactcentrum krijgt boze of ongeruste huurders aan de lijn.
• Communicatie moet, uiteraard, gaan communiceren. Maar welke middelen kunnen we nog veilig gebruiken? .
• Directeur-bestuurder en management moeten contact zoeken met allerlei belanghebbenden, zoals toezichthouders, leveranciers en huurdersvertegenwoordigingen.
• HR moet interne rust bewaren bij ongeruste collega’s.

En dit allemaal onder hoge tijdsdruk, media-aandacht en mogelijk een lopend politieonderzoek. Zonder oefening is de kans groot dat paniek en chaos de overhand krijgen.

Wat een crisisoefening oplevert
Een cybersecurity-crisisoefening is een gecontroleerde simulatie van een cyberincident. Het doel is niet om te testen of je IT-team alles kan oplossen, maar om te oefenen hoe de héle organisatie reageert. Zo’n oefening maakt snel duidelijk:

• Werkt het crisisteam zoals we opgeschreven hebben?
• De HR Adviseur is net op vakantie. Wie neemt deze rol over in het crisisteam?
• Hoe snel weet je wie er geïnformeerd moet worden? En wie gaat dat doen? En op welke manier doen we dat?
• Welke workarounds hebben we? Kunnen we onze co-makers nog bereiken voor spoedmeldingen? Kunnen huurders ons nog bereiken voor spoedmeldingen?
• Is de communicatie (intern en extern) voorbereid?
• Hoe werk je samen met externe partijen zoals politie, de Autoriteit Persoonsgegevens of  softwareleveranciers?

Een goed uitgevoerde oefening laat zien waar de blinde vlekken zitten in je crisisorganisatie. Het geeft je de kans om fouten te maken zonder dat het gevolgen heeft. En dat is precies het doel: fouten maken tijdens de oefening, zodat je ze niet maakt als het echt gebeurt.

Top 5 van bevindingen uit de oefeningen

• Zorg ervoor dat medewerkers weten wat de eerste stappen zijn als ze het vermoeden hebben dat hun laptop gehackt is (niet uitzetten, wel internetverbinding verbreken en direct contact opnemen met ICT)
• Zorg ervoor dat er voor alle crisisteamleden een back-up is. En stuur crisisteamleden ook naar huis na een x aantal uren om bij te komen. Crisisteamleden willen blijven tot de crisis opgelost is, maar hierdoor kunnen ze te vermoeid raken.
• Zorg ervoor dat de hele IT-keten in beeld is, inclusief koppelingen. Zo kan je de impact op je landschap snel bepalen.
• Zorg ervoor dat je alternatieve communicatiemiddelen ter beschikking hebt, los van de reguliere IT-omgeving. En zorg ook dat je de inloggegevens daarvan hebt. Een wachtwoordkluis die toegankelijk is via SSO, kan namelijk ook onbereikbaar zijn.
• Definieer kritieke processen en zorg voor workarounds. Niet alleen de reguliere processen zoals verhuur en onderhoud, maar ook de huurverhoging en jaarrekening. Zorg ervoor dat je bijvoorbeeld ook de huurverhoging kunt aankondigen ook als je ERP door een cyberincident niet beschikbaar is.

Na de oefening: evaluatie en actie
Een crisisoefening is pas waardevol als er een goede evaluatie op volgt. Wat ging goed? Wat niet? Zijn de juiste mensen betrokken? Zijn er afspraken die aangepast moeten worden? En verwerk dit in de crisis- en communicatieplannen.

Tot slot
Hoe goed je systemen ook beveiligd zijn, 100% veiligheid bestaat niet. Een hack kan plaatsvinden. Het serieus bezig zijn met informatiebeveiliging zorgt ervoor dat de kans op een incident zo klein mogelijk wordt. Maar nul wordt deze niet. Daarom dien je klaar te zijn voor een ‘geslaagde’ hack. Daarmee verklein je de impact op je bedrijfsvoering.

Wil je hier meer over weten of even sparren over dit onderwerp? Neem dan contact met me op: Martijn Goudriaan.

Bron: Chaptr2, Foto: Chaptr2