Cyber Incident Response

‘Vangnet voor als het misgaat’
Cybergovernance

Goed voorbereid zijn op cyberincidenten in de organisatie kan door het goed inregelen van Cyber Incident Response. Welke rol is hierbij voor de commissaris weggelegd? Dirk de Hen is partner Forensic Technology bij BDO Digital en geeft antwoord op die vraag. Raadpleeg bijvoorbeeld de checklist van de Cyber Security Raad.

Het is voor organisaties niet meer de vraag óf ze een keer slachtoffer worden van een cyberincident, maar vooral wanneer dit het geval zal zijn. Zelfs de beste cybersecuritymaatregelen kunnen geen 100% garantie bieden om digitale indringers volledig te weren. Dirk de Hen is partner Forensic Technology bij BDO Digital. Hij heeft jarenlange ervaring op het gebied van forensische technologie zoals E-Discovery, Forensic Data Analytics en Cyber Incident Response.

Voor en na de aanval

Wat verstaan we precies onder Cyber Incident Response? De Hen: ‘Met Incident Response helpen we klanten op het moment dat het fout gaat op cybergebied. Stel dat een bedrijf alles netjes heeft ingericht qua veiligheid, maar op een dag dringt er toch een hacker binnen. Of er is een phishing-mail die doel treft, ransomware die computers gijzelt of een DDOS-aanval op een service... Dan komen wij in beeld. Enerzijds om te zorgen dat de schade beperkt blijft, anderzijds om te onderzoeken wat er daadwerkelijk gebeurd is en hoe dit in de toekomst voorkomen kan worden. Daar hoort soms een feitenonderzoek bij, maar ook eventuele meldingen van het verlies van privacygevoelige data bij de toezichthouder en indien nodig het informeren van betrokken personen.’

Niet reactief

Dat klinkt als een reactieve benadering op een cyberincident, maar is dat volgens De Hen niet: ‘Er bestaan namelijk ook diensten van BDO op het gebied van cybersecurity, waarbij bijvoorbeeld ethische hackers al vooraf testen of een bedrijf goed beveiligd is. Ook richten wij proactief de Incident Response-organisatie in bij de klant, of als die er al is, kijken we of die goed georganiseerd is. En verzorgen we trainingen en awareness programma’s. Daarnaast zorgen we dat verschillende disciplines aangehaakt zijn omdat cyberincidenten meer zijn dan alleen de verantwoordelijkheid van IT. Ze hebben ook grote impact op het gebied van HR, public relations, finance en legal. Ook is er een technische component, waarbij we zorgen dat systemen zo ingericht zijn dat de juiste informatie steeds voorhanden is als er een incident is. Daarbij moet je denken aan de juiste bewaartermijnen van onder andere logbestanden. Deze worden standaard vaak te kort bewaard, bijvoorbeeld één maand, terwijl een cyberincident soms pas veel later wordt ontdekt. Dan is het voor het onderzoek essentieel dat je die informatie nog beschikbaar hebt. Het effectief reageren op een incident staat of valt met de voorbereiding. Deze hele voorbereiding noemen we Incident Response Readiness.’

Behoefte aan een vangnet

De mate waarin organisaties behoefte hebben aan ondersteuning rondom cyberincidenten, hangt samen met hun digitale transformatie. De Hen: ‘Bedrijven zijn bezig om in rap tempo technologie in de organisatie te brengen. Daarbij wordt ook meer geëxperimenteerd. Er worden niet alleen traditionele wegen gevolgd voor het implementeren van IT-oplossingen. Je ziet nu ook dat de business zelf met dit soort oplossingen aan de slag gaat. De kans op fouten is zeker aanwezig. Dan moet er ook een vangnet zijn op het moment dat het misgaat.’ Ook de veranderende wet- en regelgeving zorgt ervoor dat organisaties zich beter voorbereiden op cyberincidenten. Zo is er sinds de invoering van de GDPR/AVG een meldplicht voor bedrijven met een datalek van persoonsgegevens. Binnen 72 uur moet de Autoriteit Persoonsgegevens dan een eerste melding krijgen. Bedrijven worden bewuster door deze ontwikkelingen, volgens De Hen: ‘In de praktijk zien we dat waar vroeger de afdeling IT zich bezighield met het optuigen van plannen rondom cyberincidenten, dit nu ook door business continuity teams binnen de onderneming wordt gedaan. De risico’s van een cyberincident gaan verder dan alleen financiën, maar raken ook de bedrijfscontinuïteit en er is kans op reputatieschade. In de media zijn ze ook dol op een hack, daarmee wil je de voorpagina’s niet halen.’

Playbook

Onderdeel van Incident Response Readiness is volgens De Hen ook dat met partijen in de aanvoerketen wordt vastgelegd wat de taken en verantwoordelijkheden zijn. ‘Bijvoorbeeld als de salarisadministratie wordt uitbesteed of een clouddienst. Je moet als organisatie eerst zelf identificeren wat je kroonjuwelen zijn en welke punten op IT-gebied het meest kostbaar zijn als ze geraakt worden. Dat kan echter ook bij externe dienstverleners liggen. In een playbook brengen we alle taken en rollen in kaart. Zodat alle medewerkers weten wie ingeschakeld moet worden wanneer iemand belt en een datalek meldt.’

Rol commissaris

Wat kan een commissaris betekenen in dit complexe speelveld van Cyber Incident Response? Volgens De Hen ligt de rol zowel voor als na een cyberincident: ‘Het is belangrijk dat een commissaris er allereerst aandacht voor heeft en inventariseert of de organisatie überhaupt een Incident Response plan heeft. Omdat organisaties moeten voldoen aan bijvoorbeeld de privacywetgeving, is het belangrijk dat dit goed geregeld is. Tegelijkertijd moet een commissaris het bestuur ook bevragen welke cyberincidenten er zijn geweest, welke leerpunten daaruit zijn gekomen en hoe die weer zijn opgepakt. Een handig hulpmiddel bij het toezicht op de implementatie van Cyber Incident Response in de organisatie is de cyber checklist van de Cyber Security Raad. Deze geeft een commissaris snel een beeld van alle zaken die er spelen op het gebied van cyber.’ Is het bewustzijn over de noodzaak tot een goede voorbereiding en reactie op cyberincidenten bij commissarissen al voldoende? De Hen: ‘Er zijn nog wel commissarissen die koudwatervrees hebben op dit onderwerp en er niet begaan mee zijn omdat ze er weinig kennis van hebben. In deze tijd van digitale transformatie is het echter onontbeerlijk om je hier toch in te verdiepen. Wij helpen boards en commissarissen hiermee door bijvoorbeeld simulaties te organiseren. In een rollenspel spelen we dan een simulatie van een incident, bijvoorbeeld een uitbraak van ransomware.  Dan zie je al snel dat iedereen keuzes maakt vanuit zijn eigen domein en de focus vaak ligt op het zo snel mogelijk weer operationeel krijgen van de onderneming. Terwijl het minstens zo belangrijk is dat wordt gewaarborgd dat bijvoorbeeld de juiste data, forensisch juist, wordt veiliggesteld voor onderzoek. Het is aan commissarissen om te controleren of het bestuur ook zorgt voor deze waarborgen en lering trekt uit incidenten.’

Van IT tot board en rvc

De urgentie hiervan blijkt nog maar eens uit een praktijkvoorbeeld wat De Hen geeft. ‘Ik zie in onderzochte incidenten regelmatig dat er langdurig wordt meegelezen op e-mailservers. Bij een organisatie kwam er een verzoek binnen om het bankrekeningnummer voor de betaling van facturen aan te passen. Dat kwam van hackers, maar was volledig in het template gedaan wat standaard binnen de onderneming werd gebruikt. Het rekeningnummer werd aangepast en het geld kwam zo direct in verkeerde handen terecht.’ Om de schade van dit soort incidenten te beperken, is het goed inrichten van Incident Response dan ook onmisbaar. Daar komt de hele organisatie bij kijken: van IT-afdeling tot board en van leveranciers tot commissaris.

==

Meer informatie:

Heeft u naar aanleiding van dit artikel vragen of wenst u meer informatie? Neem dan contact op met Dirk de Hen, partner Forensic Technology bij BDO, via dirk.de.hen @bdo.nl of +31 (0)30 6336 271

https://www.cybersecurityraad.nl/binaries/Handreiking_Zorgplichten_NED_DEF_tcm107-314470.pdf