‘Organisaties oefenen veel te weinig om goed voorbereid te zijn op cyberincidenten’ (expert Darktrace)

De politie, het Openbaar Ministerie (OM), 32 gemeenten en verschillende veiligheidsregio’s in Noord-Holland hebben recent een cyberoefening uitgevoerd. Organisaties die incidentscenario’s oefenen zijn beter voorbereid wanneer een echt incident plaatsvindt. De meeste organisaties oefenen echter veel te weinig. In een tijd waarin cyberincidenten aan de orde van de dag zijn, is het is essentieel dat ze dat veel vaker gaan doen en ook met veel verschillende scenario’s oefenen, zo stelt Pieter Jansen (Senior Vice President of Cyber Innovation, Darktrace).

• Organisaties oefenen te weinig en moeten vaker en met verschillende scenario’s trainen.
• Ransomware-oefeningen zijn belangrijk, maar moeten worden aangevuld met andere types.
• Continu trainen zorgt voor betere samenwerking en voorbereiding van beveiligingsteams.

Voorbereiding op incidenten en oefenfrequentie

Veel organisaties bereiden zich voor op incidenten door een draaiboek op te stellen. Dit draaiboek maakt inzichtelijk welke stappen ze moeten doorlopen om een incident op te lossen en wie ze hierbij in welk stadium moeten betrekken. Ze oefenen met deze draaiboeken door incidenten te simuleren. Zo leren hun beveiligingsteams hoe ze hun beveiliging kunnen aanscherpen.

Er wordt echter veel te weinig geoefend. Vaak maar één keer per kwartaal of zelfs per jaar. En negen van de tien keer beslaat de oefening één en hetzelfde incidentscenario: een ransomware-aanval. Hoewel ransomware-aanvallen aan de orde van de dag zijn, bestaat ‘dé ransomware-aanval’ niet: ze zijn divers in hun soort. Bovendien maken cybercriminelen gebruik van veel verschillende aanvalstactieken. Denk aan phishing, Man-in-the-middle-aanvallen of DDoS-aanvallen. En dit zijn alleen nog maar dreigingen van buitenaf. Incidenten kunnen ook door interne IT-problemen ontstaan.

Het belang van variatie en frequentie in oefeningen

Het is daarom belangrijk dat organisaties verschillende incidentscenario’s gaan oefenen. En dat niet af en toe, maar het hele jaar door. Het liefst één keer per twee weken. Het continu trainen zorgt ervoor dat teamleden goed op elkaar ingespeeld raken, waardoor ze beter zijn voorbereid wanneer een echt incident plaatsvindt. Beveiligingsteams hoeven deze scenario’s niet zelf te creëren. Software-tools kunnen met behulp van kunstmatige intelligentie unieke scenario’s creëren waardoor beveiligingsteams met veel verschillende incidenten in aanraking komen.