Een incident zonder plan is een potentiële ramp

De wereld wordt gehackt

"De wereld wordt gehackt" kopte het AD op 29 juni 2017. Onder aan de pagina stonden nog drie prangende vragen: Wie zitten achter de verspreiding van een computervirus? Waarom schrikken we nu pas? Wat moeten we doen? Of deze drie vragen op volgorde van prioriteit staan weet ik niet, toch is deze voorpagina altijd bij mij blijven hangen. Met name de laatste vraag "wat moeten we doen?" heb ik onthouden.

De chaos was groot tijdens de NotPetya uitbraak, daar kan iedereen het over eens zijn. Ook in Nederland waren de gevolgen goed merkbaar door het stilvallen van grote delen in de Rotterdamse haven. Een aantal dagen draaide het Nederlandse medialandschap om maar één onderwerp: cybersecurity. Ik denk dat deze "aanval" op veel vlakken meer impact heeft gehad dan WannaCry of andere regelgeving en compliance frameworks.

De uitbraak heeft het Nederlandse bedrijfsleven écht aan het denken gezet. Toch vragen veel mensen zich af hoe het kan dat de gevolgen zo groot zijn geweest. Grote bedrijven hebben toch genoeg budget om zich adequaat te beschermen? Ik denk dat het AD de spijker op zijn kop heeft geslagen met de vraag ‘Wat moeten we doen?'. Ondanks wat vaak wordt beweerd, hebben veel bedrijven op deze distruptieve schaal nog geen cyberincident meegemaakt, en dus weten ze niet wat ze precies moeten doen. Dan bedoel ik niet alleen de IT-manager of de CISO, maar ook de niet-IT-collega's achter een computer.

We weten inmiddels dat door middel van adequaat updaten deze aanval waarschijnlijk volledig voorkomen had kunnen worden, maar toch wil ik nog een andere les uitlichtten die NotPetya ons heeft geleerd: het hebben van een incident response plan. Zonder een incident response plan kan een incident uitlopen op een complete ramp.

Beveiligingscamera's

"Lessons not learned in blood are soon forgotten."

Ondanks het stilvallen van een aantal grote bedrijven heeft het Nederlandse mkb-segment weinig tot geen last gehad van deze grootschalige cyberaanval. Dit was toentertijd goed nieuws voor hen, echter betekent het ook dat een aantal van de belangrijkste lessen van NotPetya niet zijn blijven hangen. Ik denk dat IT-partners een grote rol kunnen spelen om te zorgen dat het Nederlandse bedrijfsleven een aantal belangrijke en noodzakelijke stappen maakt op het gebied van cybersecurity. Denk aan bijvoorbeeld het updaten van software, het scheiden van netwerken en iets waar ik graag op in wil zoomen: het hebben van een plan als het toch misgaat.

Incident response: plan tips & tricks

In de loop van tijd hebben wij vanuit ESET Nederland veel bedrijven ondersteund tijdens een cyberincident. In de meeste gevallen zijn wij niet de forensisch specialisten of de uber-technici die het probleem magischerwijs komen verhelpen. Vaak nemen we slechts de regiefunctie op ons. Wij bewaren de rust en volgen een aantal belangrijke stappen. Wij scheppen orde in de chaos en dat is precies wat een klant op dat moment het meeste nodig heeft. Meestal heeft de klant vooraf geen duidelijk incident response plan op de plank liggen.

Een veel gehoord misverstand is dat een incident response plan een diep technsich document moet zijn. Niets is minder waar. Denk aan het ontruimingsplan in een bedrijfspand. Deze moet voor iedereen meteen duidelijk zijn, zodat mensen meteen weten wat ze moeten doen. Een goed incident response plan, of in ieder geval het begin daarvan, is eigenlijk een first response plan. Samengevat is het een document wat beschrijft wat de eerste stappen zijn bij het voordoen van het cyberincident. Een document wat zó duidelijk is, dat elke medewerker in de organisatie weet wat men te doen staat. Uiteraard kan dit document nog verder uitgebreid worden voor de IT- en securityafdeling om dieper in te gaan op de te nemen stappen.

Ik heb een aantal tips opgeschreven voor het opstellen van een incident response plan. De eerste minuten en/of uren kunnen later van cruciale waarde blijken.

  1. Stel het incident response plan beschikbaar op een centrale plek, ook fysiek
  2. Gebruik heldere taal: het moet voor iedereen te begrijpen zijn
  3. Beschrijf praktische stappen en een duidelijke rolverdeling
  4. Bonus: Oefen regelmatig

Stel het incident response plan beschikbaar op een centrale plek, ook fysiek

Elke medewerker dient te weten dat er een incident response plan is. Dat is de eerste stap in de awareness fase en stelt al vaak gerust. De volgende stap is dat medewerkers zich bewust zijn waar deze te vinden is. Dit kan zijn op intranet, een gedeelde netwerkschijf of elk ander middel welke centraal wordt gebruikt door de organisatie. Maar misschien nog wel belangrijker, zorg ook voor een fysiek exemplaar. Dit klinkt misschien tegenstrijdig, maar wanneer men de computer niet meer kan gebruiken door bijvoorbeeld een ransomware infectie, dan is het noodzaak dat medewerkers snel terug kunnen grijpen naar de eerste stappen. Ook al is deze stap alleen maar "bel de IT-Manager".

you-are-here

Gebruik heldere taal: het moet voor iedereen te begrijpen zijn.

Deze tip spreekt misschien voor zich. Toch kan ik dit niet hard genoeg benadrukken. Termen als "netwerkverbinding" of "rebooten" kunnen voor sommige medewerkers verwarring oproepen. Educatie is een belangrijk onderdeel. Vermijd zoveel mogelijk verwarrende termen en gebruik bij voorkeur Nederlands geacepteerde termen. Laat het incident response plan vooraf meerdere keren door verschillende collega's lezen.

Beschrijf praktische stappen en een duidelijke rolverdeling

Het succes van een goed incident response plan zit hem in een duidelijke oproep tot actie. Ofwel praktische stappen. Belangrijk is om in het volledige incident response plan ook een duidelijke rolverdeling op te nemen. Wie zegt wat? Wie belt wie? Wie heeft de leiding? Ook al hebben medewerkers geen rol bij een cyberincident, dan nog is het belangrijk om te beschrijven of medewerkers wel of geen uitspraken mogen doen over het incident. Geen rol is ook een rol!

Bonus: Oefen regelmatig

Iedereen kent het wel, de "verplichte brandoefening". Zo sta je op vrijdagmiddag om twee uur opeens buiten met je cappucino. Het is van cruciaal belang om een cyberincident te oefenen, net als een brandoefening. Veel bedrijven hebben hier op grote schaal nog niet mee te maken gehad en daarmee is dit een nieuw risico, zeker bedrijfsbreed. Door frequent te oefenen zorg je dat alle medewerkers op de hoogte zijn hoe ze dienen te handelen bij een cyberincident. The next step?

In dit blog ben ik niet ingegaan op de inhoud van een incident response plan. Deze procedures kunnen per organisatie nog wel eens verschillen. Er zijn wel een aantal goede templates te vinden. Ben je een IT-partner? Dan heeft het zeker toegevoegde waarde om een template te voorzien aan je klanten. Ben je geen IT-bedrijf? Vraag dan eens aan je vertrouwde partner of die je kan helpen om een plan op te stellen. Een IT-bedrijf kan ook helpen om rekening te houden met verschillende scenario's. Er dient soms anders gehandeld te worden bij verschillende soort cyberincidenten.

Na het opstellen van het incident respone plan en het frequent oefenen en aanpassen, wat zijn dan de volgende stappen? Voorkomen is natuurlijk beter dan genezen. Een veel gehoorde opmerking is dat cybercriminelen toch altijd een stap voor zijn, dus dat het geen zin heeft om altijd bij te blijven. Ik denk echter dat we het veranderde dreigingslandschap weerstand kunnen bieden door de basis altijd op orde te hebben. Meer weten over deze basismaatregelen? Klik dan hier. Heb je nog geen plan voor als het mis gaat? Begin dan door een plan op te stellen, want je bent misschien geen doelwit, maar je wordt vast een keer slachtoffer. Zorg dat het bij een incident blijft en het geen ramp wordt.