7 minuten leestijd 5 dec 2019
Discussie op een digitaal oppervlak

De beste reactie op een complexe cyberaanval

Door

Todd Marlin

EY Global Forensic & Integrity Services Technology & Innovation Leader

Global leader in technology & Innovation, with significant experience serving the financial services industry.

7 minuten leestijd 5 dec 2019

Wanneer een organisatie wordt geconfronteerd met een cyberincident, moet direct een snelle en doortastende respons worden ingezet. Hiervoor zijn vijf stappen van cruciaal belang. Wij zetten ze uiteen.

Voor een goede respons op een complex cyberincident is uitvoerig onderzoek onmisbaar. Dat onderzoek is nodig met het oog op herstel, onderzoeken door toezichthouders, juridische procedures en andere, aanverwante activiteiten. Organisaties moeten dus snel kunnen overgaan tot een gedegen onderzoek en daarbij snel en doortastend te werk gaan. Als ze dat niet doen, kan dat verstrekkende financiële gevolgen hebben en reputatieschade met zich meebrengen. Te denken valt aan risico op misgelopen inkomsten door verstoring van de bedrijfsvoering, boetes voor schending van regelgeving en verlies van klantvertrouwen.

Een grootschalige en complexe cyberaanval treft een grote groep stakeholders. En die moeten allemaal betrokken worden bij de reactie op de aanval. Maar er is nog meer nodig voor een doeltreffende en tijdige respons, waarbij iedereen nauw en onafgebroken met elkaar moet samenwerken. Alleen als de stakeholders een doeltreffende samenwerking kunnen optuigen, is een tijdige, nauwkeurige en kostenefficiënte respons mogelijk.

Bij een grote cyberaanval schakelt een organisatie in veel gevallen een onafhankelijke externe partij in, die moet helpen bij het managen van de responsactiviteiten. Zo'n externe partij moet over ruime ervaring op juridisch, compliance- en onderzoeksgebied beschikken, zodat de communicatie met alle stakeholders effectief verloopt. De partij helpt bij het uitvoeren van een tijdig en grondig onderzoek, zet het bedrijfscontinuïteitsplan nauwgezet in gang, ziet toe op het communicatieproces tussen alle stakeholders en beheert alle in- en externe vragen centraal, zolang het incident voortduurt. Dat kan dagen, weken of zelfs maanden zijn.

Gecentraliseerd plan voor de respons op cyberaanvallen

Een gecentraliseerd plan voor de respons op cyberaanvallen brengt alle stakeholders samen. Die hebben dan wel allemaal een andere prioriteit, maar moeten toch samenwerken om de cyberaanval het hoofd te bieden. Hieronder zetten wij hun rol uiteen.

  • Bestuur: risicotoezicht is een taak van het volledige bestuur. Het bestuur ziet toe op de responsstrategie, waaronder wat er wordt gecommuniceerd naar werknemers, de samenleving, aandeelhouders en in de meeste gevallen ook toezichthouders, politie en justitie. Daarnaast moet het bestuur (of de controlecommissie) nauw samenwerken met de CFO en de externe controleur.
  • CFO: de CFO heeft als taak de integriteit van de financiële beheersmaatregelen en gegevens te verifiëren. Ook moet hij of zij begrijpen wat het incident voor mogelijke nadelige financiële gevolgen kan hebben, en bepalen welke financiële informatie er naar buiten moet worden gebracht. Dit alles heeft directe gevolgen voor wat het bestuur communiceert richting aandeelhouders en het bredere publiek.
  • Bedrijfsjurist: de bedrijfsjurist werkt actief samen met de forensisch onderzoekers aan praktische zaken, zoals het verzamelen van bewijsmateriaal, het uitvoeren van oorzakenanalyses en e-discovery. De bedrijfsjurist neemt doorgaans de leiding in de communicatie met toezichthouders en de externe adviseur. Hij of zij moet snel kunnen inschatten wat de mogelijke gevolgen zijn op het gebied van compliance, evenals de juridische gevolgen. Zo kan de jurist effectief schakelen met diverse externe stakeholders.
  • Communicatie: de in- en externe communicatieteams zorgen ervoor dat medewerkers, klanten, aandeelhouders en andere mogelijke betrokkenen op de juiste manier op de hoogte worden gebracht van het incident. Goed geïnformeerde medewerkers kunnen het onderzoek vooruithelpen en zelf benodigde maatregelen treffen om te voorkomen dat de inbreuk groter wordt. En als de samenleving tijdig op de hoogte wordt gebracht, komt dat het vertrouwensherstel ten goede en zien mensen dat de organisatie goed met cyberrisico's omgaat. Ook blijven de negatieve gevolgen van het incident voor de bedrijfsvoering en klanten op deze manier tot een minimum beperkt.
  • Compliance en ethiek: bij een cyberaanval moet de chief compliance officer (CCO) het risico voor de compliance aan regelgeving beoordelen, of het nu gaat om gegevensbescherming en privacy of om branchespecifieke regelgeving. Een omvangrijke cyberaanval gaat vaak over de grenzen van meerdere landen en rechtsgebieden heen, waardoor de CCO te maken krijgt met lastige verschillen (en soms zelfs tegenstrijdigheden) tussen de verschillende rechtsgebieden. De CCO moet nauw samenwerken met privacyspecialisten, de juridische afdeling, het bestuur en het directieteam om deze kwesties in goede banen te leiden.
  • CSO: bij veel grote organisaties is een chief security officer (CSO) in dienst. Deze is in de eerste plaats belast met de beveiliging van alle bedrijfsmiddelen (fysieke bedrijfsmiddelen, IT, intellectueel eigendom en personeel) tegen alle soorten dreigingen: onopzettelijke nalatigheid, insiders met slechte bedoelingen, professionele criminelen of groeperingen die voor een overheid werken. In gereguleerde sectoren, bij overheids- en defensiecontracten en bij diensten die de kritieke nationale infrastructuur aangaan, is de CSO vaak verantwoordelijk voor naleving van de nationale wetgeving inzake beveiliging, omdat dit onderdeel is van de 'license to operate' van de organisatie.
  • CISO: de chief information security officer (CISO) werkt nauw samen met het onderzoeksteam om de grondoorzaak van de aanval snel te kunnen achterhalen en zicht te krijgen op de omvang van de aanval. Ook moet hij of zij de uitwerking van de risico's bepalen: welke gegevens er zijn gestolen, welke systemen er zijn getroffen en hoe ver de aanvallers zijn doorgedrongen in de organisatie. Het doel hiervan is om de bedreiging in te perken en onschadelijk te maken, en om herstelactiviteiten in gang te zetten. Daarnaast moet de CISO de uitkomsten van het onderzoek zorgvuldig bestuderen en nuttige informatie verzamelen om lering te trekken uit het incident. Zo kan de strategie voor informatiebeveiliging worden aangescherpt en kan de organisatie in de toekomst beter reageren op incidenten.

De respons op een cyberaanval bestaat uit een aantal zorgvuldig uitgestippelde fases. Bij het plan moeten professionals worden betrokken met diverse achtergronden op het gebied van onderzoek, informatiebeveiliging, wetgeving, compliance aan regelgeving en communicatie. 

Crisisrespons in vijf stappen

In het huidige dreigingsklimaat is het een kwestie van tijd tot een organisatie het doelwit wordt van een grootschalige cyberaanval. Organisaties moeten duidelijk op een rij hebben welke stappen ze moeten zetten als reactie op een cyberaanval, zodat ze goed voorbereid zijn wanneer de crisis toeslaat. De vijf stappen van de respons op cyberaanvallen zijn onderling afhankelijk en hoeven niet in een vaste volgorde te worden uitgevoerd. Bij gelijktijdige uitvoering is de situatie mogelijk sneller verholpen, waardoor de blootstelling aan risico's beperkter blijft.

1. Plannen

Een cyberaanval kan lange tijd onopgemerkt blijven. Door overal in de organisatie onafgebroken te monitoren en diagnoses uit te voeren, kan het bedrijf een aanval vroegtijdig herkennen en onschadelijk maken.

2. Identificeren en escaleren

In deze fase is kennis van de bedrijfsbrede netwerkomgeving van cruciaal belang. Het responsteam gaat het incident nu immers isoleren en inzoomen op de getroffen systemen en gegevens. Afhankelijk van de ernst, complexiteit en urgentie van het incident worden de juiste escalatieprocedures in gang gezet op basis van eerder vastgestelde criteria. De triagerichtlijnen moeten doorlopend worden bijgeschaafd, zodat ze blijven aansluiten bij het risicoklimaat van de organisatie. Zo worden kritieke risico's niet over het hoofd gezien en wordt voorkomen dat geringe risico's kostbare middelen in beslag nemen.

3. Onderzoeken

Onderzoekers werken meestal nauw samen met degenen die over de informatiebeveiliging gaan, om te bepalen hoe en wanneer het incident zich heeft voorgedaan en om de grondoorzaak en gevolgen voor de organisatie te achterhalen. Voor ernstige incidenten kunnen meerdere onderzoekscycli nodig zijn. Elke cyclus omvat vier belangrijke activiteiten: bewijsmateriaal verzamelen, analyses uitvoeren, het incident inperken en de aanval onschadelijk maken.

Stroomschema voor forensisch onderzoek
     
  • Bewijsmateriaal moet op correcte forensische wijze worden verzameld, zodat de bevindingen standhouden in een juridische procedure of onderzoek door een regelgevende instantie.
  •  
  • Met een analyse kan worden achterhaald wat de grondoorzaak is en welke besmette systemen en computers geïsoleerd en verwijderd moeten worden om te voorkomen dat het virus zich verder over het netwerk kan verspreiden. 
  • Bij het inperken en onschadelijk maken kunnen nieuwe risico's worden ontdekt, die op hun beurt weer nader moeten worden geanalyseerd. De cyclus van activiteiten loopt door tot het systeem helemaal is hersteld, alle blootgestelde onderdelen grondig zijn bestudeerd en de risico's voor die onderdelen zijn beperkt. Alle activiteiten moeten snel en nauwkeurig worden gecoördineerd en uitgevoerd, want aanvallers proberen vaak opnieuw voet aan de grond te krijgen en zich in het netwerk te verschansen.
 
4. Verhelpen
 

De getroffen organisatie moet kwetsbaarheden in haar omgeving opsporen en aanpakken, en de omgeving zodanig verstevigen dat het voor de aanvaller moeilijker wordt om opnieuw binnen te dringen. Ook moet de organisatie ervoor zorgen dat aanvallen in de toekomst sneller worden herkend en er beter op kan worden gereageerd, en zich voorbereiden op het onschadelijk maken van de aanval.

5. Afronden en lering trekken

Deze fase draait grotendeels om het voorbereiden van gegevens in het kader van rapportageverplichtingen, verzekeringsclaims, juridische procedures, informatie over dreigingen en/of verwittiging van klanten. Het is belangrijk dat een organisatie niet uitsluitend reactief te werk gaat, maar ook lering trekt uit die reactieve crisisbeheersing. Het doel is om tot proactieve beheersing van cyberrisico's te komen. Het team dat verantwoordelijk is voor de respons op de cyberaanval moet dan ook maatregelen opstellen om de informatiebeveiliging te verbeteren en zich hierbij baseren op de uitkomsten van het onderzoek.

De respons op een cyberaanval bestaat uit een aantal zorgvuldig uitgestippelde fases. Bij het plan moeten professionals worden betrokken met diverse achtergronden op het gebied van onderzoek, informatiebeveiliging, wetgeving, compliance aan regelgeving en communicatie. Het responsteam moet direct in actie kunnen komen en als een goed geoliede machine te werk gaan. Daarom moet het team regelmatig simulatieoefeningen houden, zodat iedereen op de hoogte blijft van de nieuwste dreigingen en de communicatieverbindingen actief blijven.

 

Samenvatting

Een duidelijk omlijnd plan voor de respons op cyberaanvallen geeft sturing aan alle bedrijfsonderdelen die bij zo'n respons betrokken zijn. Het plan maakt duidelijk welke informatie van vitaal belang is (en wanneer en hoe deze informatie moet worden aangewend) en maakt dat er op elk moment uiterst slagvaardig kan worden gereageerd. Bij het plan moeten professionals worden betrokken met achtergronden op het gebied van onderzoek, informatiebeveiliging, wetgeving, compliance aan regelgeving en communicatie. Dit team moet op elk moment direct in actie kunnen komen. Dat kan alleen als iedereen zo goed mogelijk op de hoogte is van de nieuwste dreigingen en als de communicatieverbindingen actief blijven.

Over dit artikel

Door

Todd Marlin

EY Global Forensic & Integrity Services Technology & Innovation Leader

Global leader in technology & Innovation, with significant experience serving the financial services industry.