Probeer eens een cyberincident

"Honderd procent veiligheidsgarantie krijg je alleen door je computer in een kluis te stoppen."

Denk aan een werknemer die op een verkeerde link klikt, volgens schattingen overkomt dit één op de vijf medewerkers. En zelfs als de firewall optimaal functioneert en alle systemen regelmatig geüpdatet worden, kan een nog niet bekende bedreiging een organisatie volledig lam leggen. Honderd procent veiligheidsgarantie krijg je alleen door je computer in een kluis te stoppen.

Risico’s berekenen

Een incident kan tot zeer hoge kosten voor organisaties leiden. Denk aan boetes of de expertise die een organisatie moet inhuren op technisch, projectmanagement- en juridisch gebied. Het verlies van productie, de reputatieschade of de tijd die het management kwijt is, zijn hierbij nog niet eens meegerekend. Kortom, het proberen te voorkomen van een incident is goedkoper. Om dat helder te krijgen moet elke organisatie de financiële bril opzetten en bekijken wat het risico is bij een incident, wat de kosten zijn van de benodigde maatregelen en bepalen of dit tegen elkaar opweegt. 

Er zijn onacceptabele risico’s, die je moet mitigeren. Dan gaat het bijvoorbeeld om het kwijtraken van of geen toegang meer hebben tot data. Dit is een bedreiging voor de continuïteit van de organisatie. Hiernaast zijn er acceptabele risico’s en restrisico’s. Bijvoorbeeld de kans getroffen te worden door een nog niet bekende cyberbedreiging. De beveiligingskosten hiertegen zijn enorm. Dit is dus een restrisico, dat we accepteren. Het is een financiële afweging. Een grote investering voor het afdekken van een klein risico is niet logisch. Wel kan het besluit per organisatie verschillen. Datadiefstal is voor een bedrijf in de metaalrecycling geen ramp, maar bijvoorbeeld voor TNO, dat werkt met gevoelige informatie, wel.

Verder heeft iedere organisatie een draaiboek nodig met de te nemen stappen als het misgaat; een incident response plan. Hierin staat wat er moet gebeuren, wie dat moet doen en wie de eindbeslissing neemt. Scenario’s schetsen mogelijke situaties waar je in terecht kunt komen. Zonder zo’n plan denkt een organisatie te laat na over dit soort vragen, namelijk als het incident al daar is. De gevolgen: chaos, ondoordachte beslissingen, genomen onder grote druk of zonder kennis van zaken.  

Een incident response plan opstellen is geen serieuze kostenpost

Toch komen we maar weinig organisaties tegen die goed voorbereid zijn. Een incident response plan behoort helaas niet tot de standaard ‘uitrusting’ op dit gebied. Terwijl het opstellen van zo’n plan helemaal geen serieuze kostenpost hoeft te zijn. Een verkeerde beslissing na een incident kan dat heel eenvoudig wel worden. 

Voorlopig geldt nog het welbekende cliché over het kalf en de nog niet gedempte put. Tussen weten en echt begrijpen gaapt nog een flinke kloof. Iedereen weet dat er grote cyberrisico’s zijn. Maar nog niet iedereen begrijpt wat het betekent als bedrijfsprocessen volledig stil liggen door een incident. Er is nog een aantal flinke rampen nodig, voordat het belang van goede voorbereiding echt door gaat dringen.  

Ludo Block is director Forensic & Dispute services bij Grant Thornton

Wat moet minimaal in een incident response plan staan:
1. Uit wie bestaat het incident response team? Dit moeten beslissingsbevoegde medewerkers zijn met kennis van zaken.
2. Wie doet wat, wie neemt welke beslissingen en welke (externe) specialisten kunnen gebeld worden als er assistentie nodig is.
3. Welke informatie moet verzameld worden, door wie en hoe worden beslissingen vastgelegd. Welke stakeholders worden geïnformeerd door wie.
4. Wie meldt een datalek indien relevant?
5. Hoe wordt het incident geëvalueerd en voorkomen
dat dit nogmaals gebeurt?
6. Hoe is de vervanging geregeld? Wie vervangt de IT-manager wanneer hij met vakantie is, etc.|

Meer lezen: download het rapport 'Wat is de waarde van uw data?'

Wat gebeurt er tijdens een cyberincident? Lees hier de eerdere blog van Ludo Block