Cybersecurity 101: wat te doen bij een hack
Stel, je werkt in een financiële instelling. Op een dag wordt ontdekt dat er miljoenen euro’s verdwenen zijn van de spaarrekeningen van je klanten. Het is waarschijnlijk het gevolg van een hack. Wat is je eerstvolgende reactie? Licht je je klanten in dat hun spaargeld in gevaar is? Ga je preventief naar de media? Zet je je IT-departement in om de oorzaak te achterhalen, of roep je de hulp in van externe experts?
Het Nederlandse cybersecuritybedrijf Fox-IT gebruikte het scenario op de eerste Belgische editie van een van hun ‘Cyber Crisis Tabletop’-oefeningen. In de oefening werden deelnemers geconfronteerd met een gesimuleerde cybercrisissituatie, en konden ze proefondervindelijk ondervinden wat je best wél en niet doet, vlak na een hack.
Whodunit
De deelnemers werden in teams verdeeld, en elke deelnemer werd gevraagd binnen het team een rol te kiezen, zoals het IT-departement, PR, of de juridische afdeling. In een whodunit-stijl werd het verhaal daarna in enkele rondes uitgediept: langzaamaan wordt duidelijk dat het geld gestolen is, het nieuws uitlekt naar de kranten, en de raad van bestuur je op de hielen zit. Na elke ontwikkeling werd aan de deelnemende teams gevraagd wat de volgende acties zullen zijn.
Roep je PR in om een persbericht te verspreiden, of is het nu eerder tijd om je volledig op het IT-onderzoek te richten? Doel is in elk geval: reputatieschade voorkomen, en het probleem oplossen. Bij de juiste acties werden punten verdeeld; koos je verkeerd, belandde je lager in de teamranglijst.
[related_article id=”167261″]
Zoek de kanarie
Los van het interactieve en competitieve aspect, maakte de oefening veel los bij de deelnemers. Het gros bestond uit managers van uiteenlopende afdelingen – CIO’s, CTO’s, of CFO’s – wat ervoor zorgde dat elke aanwezige de crisis met een compleet andere visie benaderde. Communicatie – zowel intern als extern – bleek consequent een struikelpunt voor meeste teams.
In deze oefening werd het nieuws gelekt door één tweet die hintte naar het verloren geld. De tweet werd opgepikt door vooraanstaande mediakanalen, waardoor de teams werden genoodzaakt in een ijltempo een persbericht uit te sturen en de klanten in te lichten. Gevolg: kelderende aandeelprijzen. Communicatie is altijd een moeilijke afweging, weet ook Erik de Jong, Chief Research Officer bij Fox-IT: “Je weet nooit wat de impact is.”
Zwijgen is goud
“Bij echte crisissen zien we bij Fox-IT dat veel bedrijven liever hun mond houden. De algemene tendens is dat bedrijven te lang wachten voor ze naar buiten treden met een cyberincident. Dat is begrijpelijk, maar als iets lekt, ben je al te laat en moet je reageren op geruchten.”
Kan je als bedrijf het nieuws dan beter meteen aan de grote klok hangen in het geval van een hack? “Wanneer je moet communiceren, is sterk afhankelijk van de situatie en het bedrijf zelf. In ieder geval loont het altijd om je communicatieplan zeer goed voor te bereiden, en op een gegeven moment zelf het initiatief te nemen. Zo behoud je de controle. Er is echter nooit één juist antwoord”, aldus Erik de Jong. Een one-size-fits-all draaiboek bestaat dus niet.
Wie heeft het gedaan?
Een tweede horde tijdens de oefening was het technisch onderzoek. Vaak was het niet duidelijk hoe het geld gestolen kon worden, en wie de verantwoordelijke was. Eenmaal werden de deelnemers op het foute pad gestuurd, en werd een werknemer valselijk beschuldigd. De eigenlijke dader bleek een hackerscollectief die toegang had gekregen tot de inloggegevens van de werknemer met behulp van een succesvolle phishing-mail.
“Het zoeken naar de oorzaak blijft belangrijk,” legt de Jong uit, “want je weet zelden precies wat er gebeurd is. Zonder een precieze oorzaak, kan je het probleem niet oplossen. Toch is dit vaak lastig, omdat hacks en datalekken vaak heel laat boven water komen.” Het kan gemiddeld tot een jaar duren vooraleer bijvoorbeeld een hack is ontdekt, en bovendien kan het nog veel langer duren voor de echte gevolgen duidelijk worden. Kijk maar naar LinkedIn, Dropbox en vele anderen.
[related_article id=”167937″]
De hulpdiensten
Bedrijven die vragen hebben, of dringende hulp nodig hebben na een incident kunnen ook altijd terecht bij de nooddienst van Fox-IT: het Incident Response-team. “We bieden bij crisissen advies en technische hulp,” verklaart de Jong. “Je kan ons dag en nacht bellen op ons FoxCERT-noodnummer via +32 (0) 2 304 2216 voor initieel en kosteloos advies, zodat je samen met ons snel een goed beeld krijgt van de potentiele impact van de crisis. Als het nodig is, stappen we in de auto of het vliegtuig om het bedrijf ter plaatse te ondersteunen. Eigenlijk zijn we zoals de brandweer: als je belt, kunnen we meteen te hulp schieten.”
Tot slot: hoe brachten de teams het ervan af? “Best goed,” lacht de Jong. “Zeker geen slechte scores vandaag.”