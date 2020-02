Veel mensen zijn nog nooit in een dergelijke situatie beland, maar adequate voorbereiding is een integraal onderdeel van het managen van cyberrisico's. Proactieve cyberoefeningen, zoals cybercrisis-simulaties, zijn belangrijk voor organisaties die te kampen hebben met moderne dreigingen. Organisaties moeten begrijpen dat het niet de vraag is óf ze doelwit worden, maar wanneer.

Iedereen die wel eens een cybercrisis meegemaakt heeft zal het ermee eens zijn: het is een stressvolle situatie. Er staat veel op het spel. Een dag geen beschikking over IT-voorzieningen kan tonnen omzet kosten. Om maar niet te spreken over imagoschade, het mogelijke PR-drama en de gevolgen voor de legal-afdeling die te maken krijgt met schadeclaims. Geen wonder dat veel organisaties simpelweg betalen als blijkt dat de IT-voorzieningen "gegijzeld" zijn door hackers. Een cybercrisis kan dus desastreuze gevolgen hebben. Op zo'n situatie wil je voorbereid zijn om de schade te beperken, en het verdedigen tegen de verscheidenheid aan tactieken die aanvallers gebruiken vereist een proactieve benadering.

Hoe gaat zo'n simulatie in zijn werk?

Een cybercrisis simuleren kan op verschillende niveaus. Zo kan je laagdrempelig beginnen met een theoretische crisis waarbij medewerkers gevraagd wordt hoe ze het zouden aanpakken. Maar het is ook mogelijk een full-force-simulatie te doen, waarbij écht wordt uitgepakt. Het is in elk geval belangrijk dat de simulatie aansluit op de branche waarin je actief bent en daadwerkelijk potentiële gevaren simuleert en daarmee blootlegt. Zo hebben wij ooit een simulatie bij een bank gedraaid waarbij in totaal 600 uur aan voorbereiding, uitvoering en evaluatie gemoeid was. Een serieuze hoeveelheid, maar je kan je voorstellen dat een cybercrisis in de bancaire sector verregaande gevolgen heeft. Logisch dus dat ze hierop voorbereid willen zijn.

De daadwerkelijke simulatie is een rollenspel, waarbij alle betrokkenen zich verzamelen in een crisisteam en een proces doorlopen dat bestaat uit drie stappen: de start, het verhelpen van de crisis en back to business. Het doel hiervan is om organisaties te helpen hun bereidheid te meten om een (geavanceerde) aanval te weerstaan. Consultants bootsen moderne aanvalstechnieken na in een poging toegang te krijgen tot het netwerk van een organisatie en specifieke middelen te verkrijgen. Het testen helpt organisaties bij het beantwoorden van drie vragen: hoe zou een gerichte aanval op uw omgeving zich manifesteren? Wat zou een gerichte aanvaller kunnen doen met toegang tot uw omgeving? Hoe effectief is uw huidige security-houding bij het voorkomen, detecteren en reageren op een gerichte aanval? Door middel van zogenaamde 'injects', gebeurtenissen in een cybercrisis, worden de betrokkenen getest. Een voorbeeld van een inject is een telefoontje van de Nederlandse politie dat Chinese hackers het netwerk hebben geïnfiltreerd. Vervolgens wordt het crisisteam gevraagd wat ze zouden doen, of in meer serieuze gevallen gevraagd om daadwerkelijk maatregelen te nemen.

Verminderen van 'dwell-time'

In het geval van een cybercrisis is het zaak om zo snel mogelijk juist te handelen. Iedereen moet op de hoogte zijn van zijn of haar verantwoordelijkheden en daar zo snel mogelijk naar handelen. Om dat te realiseren zijn strakke playbooks nodig die up-to-date moeten blijven. Uiteindelijk is het zaak om zo min mogelijk 'dwell-time' te hebben in een crisissituatie. Dwell-time staat voor de periode vanaf het eerste moment dat er bij een bedrijf wordt ingebroken tot het moment dat het wordt ontdekt. In de periode dat hackers onontdekt blijven verkennen ze de omgeving om te zien hoe ze de aanval zo effectief mogelijk kunnen laten verlopen. Hiermee verhogen ze de kans dat het slachtoffer het losgeld zal betalen. Het is voor organisaties dus zaak om een indringer zo snel mogelijk te ontdekken en actie te ondernemen.

Get your feet wet

De kans op een cybercrisis lijkt misschien klein, maar hij wordt steeds groter. Zeker voor organisaties waar veel risico's zijn is het zaak om voorbereid te zijn. En net zoals je alleen leert zwemmen ín het water, leer je alleen met een cybercrisis omgaan door het te ervaren. Dus vraag je cybersecurity-partner dan eens om een cybercrisis te simuleren. Het levert je inzicht op welke zaken fout gaan waarvan je dacht dat het goed zou verlopen en geeft aanknopingspunten voor waar nog werk te verrichten is. En het doet sowieso wonderen voor je gemoedsrust.