Een nieuwe aanpak van Cyber Crisis Management

Auteur: Luke Fletcher, Senior Crisis Consultant bij Secura

Als Senior Crisis Consultant in de cybersecurityindustrie zie ik een verschuiving in hoe organisaties zich voorbereiden op een potentiële cybercrisis. Traditionele methoden voor risicobeoordeling zijn niet langer voldoende. Vaak resulteren ze in maatregelen die alleen worden genomen voor de meest waarschijnlijke incidenten.

Maar het zijn meestal de als onwaarschijnlijk beschouwde gebeurtenissen die de grootste impact hebben, waarvoor organisaties niet zijn voorbereid. Regulatoren erkennen dit, dus hier is mijn wake-up call: bereid u voor op het ERGSTE...

Ik zie twee grote uitdagingen waar organisaties voor staan:

1. Bepalen wat het ergste scenario zou kunnen zijn en in hoeverre u zich moet voorbereiden.
2. De technische, operationele en tactische respons koppelen aan strategisch crisismanagement.

Laten we kijken hoe u kunt beginnen met het aanpakken van deze uitdagingen.

1. Voorbereiden op het Ernstige maar Aannemelijke

Een recente studie gepubliceerd door de Europese Unie Agentschap voor Cybersecurity (ENISA) verklaart dat de EU zich in 'een tijdperk van permacrisis en polycrisis' bevindt.

Wat betekent dit? Permacrisis wordt gedefinieerd als een lange periode van grote moeilijkheden, verwarring of lijden die geen einde lijkt te hebben. Polycrisis wordt gedefinieerd als het gelijktijdig voorkomen van meerdere catastrofale gebeurtenissen.

Een nogal somber beeld helaas. Dit betekent dat de uitdaging voor veel organisaties is om te bepalen hoe een worst case scenario crisis eruitziet voor hen en welke middelen te investeren in de voorbereiding hierop. Vooral omdat regulatoren in Europa, met NIS2, DORA en andere regelgeving in gedachten, veerkracht verwachten, zelfs voor de meest ‘ernstige maar aannemelijke’ gebeurtenissen.

‘Dat zal nooit gebeuren’

Omdat de verwachting is dat uw organisatie veerkrachtig blijft, zelfs tegen de ergste scenario's, zijn voormalige risicogebaseerde benaderingen niet langer effectief. In mijn ervaring als crisismanager vind ik dat veel organisaties dit een moeilijk concept vinden om te accepteren.

Ik kan me een paar voorbeelden in mijn carrière herinneren waar ik een scenario met hoge ernst heb voorgesteld als idee voor een crisisoefening, alleen om dit afgeschoten te zien worden met de uitspraak ‘dat zal nooit gebeuren’.

Toch, in een paar opvallende voorbeelden, en toevallig, materialiseerde bijna het exact voorgestelde scenario op een vergelijkbare manier niet veel later. Ik stel me voor dat in 2016, voor de Not-Petya aanval op Maersk, hun risicobeoordelingen het scenario dat zich ontvouwde in juni 2017 als zeer onwaarschijnlijk zouden hebben bestempeld, waardoor de wens voor veerkrachtinvesteringen beperkt werd.

De sleutel tot het oplossen van deze uitdaging

Dus, wat moet u in plaats daarvan doen? De sleutel tot het oplossen van deze uitdaging is om eerst te zorgen dat u over een crisisraamwerk beschikt dat flexibel genoeg is om met elk

Case studies bekijken

Een andere belangrijke manier om uw organisatie voor te bereiden op een volwaardige cybercrisis is het bekijken van case studies over hoe cyberaanvallen andere organisaties hebben beïnvloed. Leer de lessen die zij hebben geleerd en overweeg vervolgens hoe die scenario's erger hadden kunnen zijn.

Oefen deze scenario's om te zien hoe uw organisatie zou reageren. Wat als er in Ghana geen stroomuitval was opgetreden tegelijkertijd met de Not Petya-aanval op Maersk (die een schone kopie van hun domeincontrollergegevens bewaarde). Wat als kort na de eerste een tweede ransomware-aanval u treft?

2. Operationele, Tactische en Strategische Teams moeten samen voorbereiden

Het tweede grote probleem dat ik veel organisaties zie worstelen, is de samenwerking tussen Operationele, Tactische en Strategische teams. Een cybercrisis zoals een ransomware-aanval vereist een gecoördineerde respons vanuit de hele organisatie.

Dit is een uitdaging, omdat organisaties niet regelmatig reageren op cybercrisisevenementen (gelukkig!). Dit betekent dat technische en strategische teams zelden in dergelijke scenario's met elkaar interageren. Zelfs wanneer crisisoefeningen worden uitgevoerd, oefenen deze teams meestal onafhankelijk en zelden tegelijkertijd.

In de praktijk zie ik vaak dat zelfs als ze tegelijkertijd oefenen, technische teams het soms moeilijk vinden om informatie op een beknopte, niet-technische manier over te brengen zodat strategische teams kunnen begrijpen en hun beslissingen op kunnen baseren.

Zorgen dat uw responsprocessen op operationeel niveau in lijn zijn met tactische en strategische responsen is essentieel voor effectieve coördinatie. Om dit mogelijk te maken, is het belangrijk om deze processen gelijktijdig over alle lagen van de organisatie te oefenen. Dat is de enige manier om hun effectiviteit te bepalen, en het vereist oefening.

Conclusie

In mijn baan als Senior Cyber Crisis Consultant zie ik dat veel organisaties de voorbereiding die nodig is om effectief te reageren op cybercrises nog steeds onderschatten. Ik geloof dat alle organisaties zich bewuster en grondiger moeten voorbereiden op ernstige cyberincidenten die 'nooit zullen gebeuren'. U moet zich op deze incidenten voorbereiden in oefeningen met Operationele, Tactische en Strategische teams samen.

Cybercrisismanagement is niet langer slechts een vinkje op uw nalevingslijst, maar een voorwaarde om te overleven.

De cybersecuritywereld verandert. Abonneer u op onze Cyber Vision Nieuwsbrief op LinkedIn om meer te leren over de veranderende aard van cybersecurity en de toekomst van cyberweerbaarheid.