Hoe u bij een cyberincident een organisatorische chaos voorkomt

27/11/18

Mijn werkzaamheden bij PwC bestaan onder andere uit het bijstaan van organisaties die slachtoffer zijn geworden van cybercrime. Hackers hebben data gestolen en soms openbaar gemaakt. Of een bedrijf heeft geld overgemaakt naar een verkeerde rekening na het ontvangen van een nepbericht via e-mail, of onbevoegden hadden toegang tot het bedrijfsnetwerk en de systemen.

Door Matthijs van der Wel - PwC-expert op het gebied van cybersecurity 

Bij dergelijke incidenten is het belangrijk om snel, adequaat en effectief op te treden. Zorg dat ‘het bloeden stopt’, achterhaal wat de schade is en hoe de aanvaller toegang heeft gekregen. Doe een melding bij de juiste autoriteiten en neem natuurlijk maatregelen zodat dergelijke incidenten niet weer kunnen gebeuren.

Dit lijkt eenvoudig, maar is in de praktijk vaak lastig uit te voeren. In elk geval lastiger dan menig bestuurder voor ogen heeft. De oorzaak? Een incident leidt vaak tot een organisatorische chaos, waardoor onnodig schade wordt geleden. Het goede nieuws: met een juiste voorbereiding is deze chaos niet nodig.

Hieronder geef ik de vijf belangrijkste oorzaken van het ontstaan van chaos en maatregelen die u kunt nemen om chaos te voorkomen.

Een cyberincident vraagt om een perfecte communicatie

Met stip op nummer één staat gebrekkige communicatie. Een cyberincident vraagt om communicatie tussen IT’ers, cybersecurityspecialisten, bestuurders, juridisch experts en marketing- en communicatiedeskundigen. Dat gaat niet vanzelf, al was het alleen maar omdat de verschillende partijen elkaars taal niet spreken. Er is een reden waarom professionele hulpdiensten regelmatig gezamenlijke rampoefeningen houden: alleen door samen regelmatig te oefenen leer je samen te werken, processen op elkaar aan te laten sluiten en de taal van de ander te begrijpen. Oefening baart in dit geval daadwerkelijk kunst.

Zorg dat u ook op technisch gebied goed bent voorbereid

De tweede oorzaak van chaos is een slechte technische voorbereiding op een cyberincident. Zeker binnen grote organisaties is het ondoenlijk om handmatig van alle systemen cruciale data te verzamelen. Als van tevoren geen technische maatregelen zijn getroffen om onderzoek te doen, moeten die worden genomen tijdens het incident. Daardoor gaat kostbare tijd verloren en de getroffen organisatie heeft ook geen tijd om uitgebreid marktonderzoek te doen naar de benodigde software en hardware. Een hoge prijs betalen is vaak het enige dat overblijft.

Zorg dat u de benodigde maatregelen snel kunt uitrollen

En dat leidt tot de derde oorzaak: de al bestaande regels en procedures hinderen de snelle uitrol van de benodigde maatregelen voor onderzoek. ‘Even’ software installeren op alle laptops, servers en mobiele apparaten om data te verzamelen voor onderzoek past meestal niet binnen de bestaande procedures voor de uitrol van nieuwe software. Die moet eerst uitgebreid worden getest. En mag je de software juridisch gezien installeren? En wat vindt de ondernemingsraad hiervan? Tijdens een cyberincident is dit niet het meest ideale moment om antwoorden te vinden op deze vragen.

Denk op tijd na over ethische en juridische dilemma's

De vierde oorzaak zijn de ethische en juridische dilemma’s die bij een cyberincident komen kijken. Wat vertellen we onze klanten, onze leveranciers? Doen we aangifte bij de politie en bij de Autoriteit Persoonsgegevens? Wat vertellen we onze medewerkers? Deze vragen lijken zwart-wit, maar de antwoorden liggen in een grijs gebied. Waar wil je als bestuur en als organisatie staan, wat betekent integriteit in de praktijk? Hierover kan wel degelijk los van een cyberincident nagedacht worden en stelling worden genomen.

Onderschat nooit de impact van een cyberincident

De laatste oorzaak, en misschien de hoofdoorzaak is het onderschatten van de impact van een cyberincident. ‘Ach, het valt wel mee. Iedereen heeft er last van. Hoe kunnen we zo goedkoop mogelijk dit probleem oplossen of zelfs negeren?’ Vooral dat laatste komt zeer, zeer regelmatig voor. Het is geen uitzondering dat een organisatie driemaal hetzelfde type incident heeft, maar geen reden ziet om onderzoek uit te voeren naar de onderliggende oorzaak. Dat kost immers geld en als je weet wat de reden is, moet je er ook iets mee doen, wat ook weer geld kost. Het gevolg: uiteindelijk moet er bij het zoveelste incident wel onderzoek uitgevoerd worden, alleen nu onder grote druk en met een veel bredere scope.

Oefen regelmatig een cybercrisis binnen uw organisatie

Hoe vaak hebt u in de afgelopen jaren een cybercrisisoefening gehouden binnen uw organisatie? Hebt u inmiddels alle maatregelen getroffen die nodig zijn om adequaat, effectief en degelijk onderzoek uit te kunnen (laten) voeren? Hebt u de telefoonnummers van externe deskundigen bij de hand? Weet u wat u moet doen en hebt u voor de verschillende types cyberincidenten scenario’s ontwikkeld? Nee? Dan is het hoog tijd om aan de slag te gaan. Vijf voor twaalf is allang voorbij.

Contact

Matthijs van der Wel

Director, PwC Netherlands

Tel: +31 (0)88 792 31 19

Volg ons