10 bijzonderheden van een cybercrisis

28 september 2017

Een IT incident wordt steeds sneller een crisis met impact op bedrijfscontinuïteit, gevolgen voor klanten en/of leveranciers en negatieve gevolgen voor de reputatie. Steeds vaker willen onze klanten dan ook het bestaande crisismanagement meer specifiek invullen voor ‘cyber.’ Het gaat daarbij vaak om uitval IT, verlies van gevoelige informatie of twijfels over de integriteit van belangrijke systemen (datamanipulatie). Of een combinatie hiervan als gevolg van een cyberaanval. Inmiddels heeft de helft van de crisisoefeningen die wij organiseren een cyber scenario. Ook vragen klanten hulp bij het vergroten van de awareness in de board, het samenbrengen van IT security en crisismanagement en bij het maken van een draaiboek of crisisplan voor cybercrises.

Wij evalueerden meerdere incidenten en (dreigende) cybercrises, waren betrokken in crisisteams tijdens cybercrises en begeleidden tientallen cyber oefeningen. In deze bijdrage delen we 10 bijzonderheden die wij zien als het gaat om cyber crisismanagement. We horen graag ervaringen en aanvullingen van anderen: wat is er bijzonder bij een (dreigende) cyber crisis?

1.   Van ‘onzichtbare’ problemen naar merkbare impact  Een cybercrises kan zich geleidelijk ontvouwen zonder dat dit wordt gezien. Veel aanvallen en storingen worden gedetecteerd, maar lang niet allemaal. Op het moment dat de effecten merkbaar worden is het mogelijk al te laat. Veel aandacht zal het eerste uur/ de eerste uren uitgaan naar het in beeld brengen van zowel het probleem als de (deels) onzichtbare effecten.

2.   Onderschatting van het probleem en hoge verwachtingen over de oplossing Juist omdat er vaker verstoringen en kleine incidenten voorkomen, is de neiging om uit te gaan van positieve scenario’s. De kunst is om door te hebben wanneer het geen ‘gewoon’ incident is. Een goede diagnose van de situatie is cruciaal. De hoop op goed nieuws kan een scherpe diagnose hinderen. Er zijn vaak hoge verwachtingen vanuit de operatie of de business. In het crisisteam verwachten beslissers dat snel duidelijk is wat er is gebeurd en dat er snel een oplossing is. “Het kan toch niet zo zijn dat…..”. De werkelijkheid is dat de informatie lang op zich zal laten wachten en dat er vaak geen pasklare oplossingen voor handen zijn.

3.   Onbekende koppelingen leiden tot onzekerheid: wat kan er nog meer gebeuren? Omdat de IT infrastructuur complex is en vooral onbekend is hoe mensen de toepassingen gebruiken, zijn er vele onbekende koppelingen. Tijdens de crisis zijn er altijd verassingen. Dit vergt voorzichtigheid in aannames over waarschijnlijke impact. Het vergt vooral hele goede monitoring: wat zijn de werkelijke effecten? De effecten raken de eigen organisatie, maar mogelijk ook leveranciers, klanten of ketenpartners. Vaak weten bedrijven en instellingen wel wat hun vitale systemen zijn en welke diensten hiervan afhankelijk zijn. Echter, ook storingen in niet-vitale systemen kunnen grote gevolgen hebben (geen zicht meer hebben op risicovolle systemen, geen personeelsplanning kunnen maken, niet bij data kunnen komen die belangrijk is voor de operatie, etc.). De onzekerheid zorgt vaak voor een dilemma: worden uit voorzorg zware maatregelen getroffen met grote effecten (die we eigenlijk zelf veroorzaakt hebben?) of worden er meer risico’s genomen in de hoop dat het probleem tijdig wordt opgelost?

4.   Noodzaak van tijdige escalatie: herkennen van de bijna-crisis Het beoordelen van de impact van ICT incidenten hangt af van verschillende factoren. Het maakt uit om wat voor informatie het gaat, hoe zichtbaar/merkbaar het incident is voor derden, in welke sector de organisatie werkzaam is, of er werkelijke veiligheidsrisico’s zijn, wat de reputatie was voor het incident en of de organisatie ongewild contractuele verplichtingen niet meer kan nakomen. Hoe groter de mogelijke impact, hoe groter ook het crisispotentieel.

5.   De uitdaging van een integrale benadering: verbinden van twee werelden. Een terugkerend aandachtspunt is het samenbrengen van de IT respons en de crisisorganisatie. Een crisiscoördinator wordt nog te vaak laat geïnformeerd. Dit geldt ook voor de directie/de board. Een kwestie blijft nog lang vooral een technische kwestie. Ook blijkt het moeilijk om de samenwerking te organiseren. Er is zowel een IT respons team nodig als mensen die zich richten op maatregelen om de organisatiebrede impact te beperken en een team waarin strategische keuzes worden gemaakt door de eindbeslisser.

6.   Het ‘technisch-bestuurlijk gat’ en verschillende ‘talen’ Het blijkt niet eenvoudig om bij een cybercrisis tot een gezamenlijke taal te komen. De board denkt digitaal, maar op een andere manier: wel of geen effect op de business? Wel of geen oplossing voor het probleem? Terwijl de technische wereld bestaat uit inschattingen, deelsystemen met deeloplossingen en dergelijke. Het vergt een gerichte effort om naar elkaar te luisteren en heel expliciet te maken wat er wordt bedoeld en verwacht.

7.   Opsporing/ justitiële aspecten als onbekende factor Bij mogelijke opzet spelen ook vraagstukken als het doen van aangifte en eventuele (digitale) opsporing. Een terugkerend dilemma is hoe de benodigde zorgvuldigheid vanuit onderzoek of opsporing zich verhoudt tot de wens om snel weer up & running te zijn. Ook merken wij een hoge drempel bij bedrijven voor het doen van aangifte, mede vanuit onbekendheid met de gevolgen hiervan. Dit staat los van het melden van een datalek.

8.   Ethiek speelt een rol Cybercrises kunnen gepaard gaan met ethische vraagstukken. Wordt wel of niet toegegeven aan eisen van kwaadwillenden? Natuurlijk wil niemand betalen aan cybercriminelen. Bovendien is het de vraag of betalen echt leidt tot een oplossing bij ransomware. Maar wat nu als er werkelijk gevaar dreigt of de belangen te groot worden? Wat als er geen zicht is op een alternatief en cruciale data voor altijd verloren kan gaan?

9.   Privacy Onder invloed van strengere wetgeving wordt privacy steeds belangrijker. Bedrijven en instellingen willen zich aan de regels houden. Tegelijkertijd willen ze wel enige zekerheid zelf creëren voordat er melding wordt gedaan bij autoriteiten of klanten moeten worden geïnformeerd. Er zijn tal van mogelijke dilemma’s op dit vlak. Zo kan het informeren van een grote groep klanten leiden tot meer onrust, terwijl het risico voor die klant heel klein in.

10. Moeilijk in te schatten wanneer het ‘klaar’ en/of ‘veilig’ is Het is moeilijk om vast te stellen of al het gevaar is geweken. Is er iets schadelijks achtergebleven in de systemen? Er is geen garantie dat een hack eenmalig is (zelfs bij het inwilligen van de eisen van de hacker). Ook kunnen onvoorziene effecten optreden van een eerdere storing of als gevolg van interventies. Systemen die uit zijn gezet kunnen zich onvoorspelbaar gedragen als ze weer aan gaan.

Het COT ondersteunt overheden, bedrijven en instellingen bij de voorbereiding op mogelijke cybercrises met behulp van een prepardness scan, een cyber crisis oefening, advies over het verbinden van IT en crisismanagement en/of het opstellen van een draaiboek/crisis deelplan. Onze Aon-collega’s verzorgen onder meer cyber impact assessments, GDPR ondersteuning, risicoanalyses en advies over verzekeringsoplossingen voor cyberrisico’s. Zie: www.cot.nl en http://www.aon.com/netherlands/cyberrisico/default.jsp.

Door Abderrahman Kaouass en Marco Zannoni van het COT Instituut voor Veiligheids- en Crisismanagement

Deel bericht: