Weet jij wat je moet doen als je gehackt bent?

Er zijn geen uitzonderingen: elke organisatie kan slachtoffer worden van cybercriminaliteit. Maar, door je te verplaatsen in een situatie waarbij je gehackt bent kun je een hoop ellende voorkomen. Zo kun je net als bij een brandoefening, trainingen en simulaties doen van wanneer jouw organisatie gehackt is. Door de juiste crisismanagement–protocollen op te zetten en deze te oefenen weet je welke stappen je moet zetten wanneer het mis gaat, ofwel “incident readiness”.

Maar waar moet je aan denken bij incident response om jouw organisatie incident ready te maken? In dit blogartikel bespreken we de 4 essentiële elementen om incident-ready te worden.

1.Kies op voorhand een incident response specialist

Incident response is enorm specialistisch werk. Het loont daarom ook zelden om dit in-house te halen. Maar, wanneer je gehackt bent en incident respons nodig hebt, dan moet je snel kunnen handelen en wil je niet overgeleverd zijn aan de beperkte beschikbaarheid van het moment. Bovendien kan een specialist je veel minder goed helpen als deze jouw organisatie nog niet kent en dus niet de basisinformatie heeft om direct aan de slag te gaan.

Neem dus op voorhand de tijd om een incident response specialist aan te haken. Dan kun je alvast de benodigde informatie aanleveren en samen afspraken maken over hoe jullie te werk gaan in het geval van een cybersecurity incident.

2.Bewaar kritieke documentatie offline

Als je gehackt bent en jouw data versleuteld of gestolen is, dan is het natuurlijk niet handig als jouw cybersecurity informatie enkel online staat. Voor een goede cybersecurity governance is het dus essentieel dat je kritieke documentatie offline beschikbaar hebt. In ieder geval van de contactgegevens van je cybersecurity team, de incident response-protocollen en de technische informatie van je netwerk (waar staan de servers, wat zijn de IP-adressen, kritieke inloggegevens etc.).

3.Definieer hoe en wat je communiceert

Hoe open ga je zijn als je gehackt bent, zowel intern als naar de buitenwereld? Communiceer je dit (direct) naar je medewerkers, klanten, de aandeelhouders en/of de media? Of houd je het liever zo lang mogelijk stil en beperkt tot de direct betrokkenen? Dit is een lastige keuze waarin je een hoop belangen moet afwegen.

Zo kreeg de KNVB bijvoorbeeld onlangs een hoop kritiek op de beperkte hoeveelheid informatie die ze hebben vrijgegeven over hun gehackte informatie. De Universiteit van Maastricht en Gemeente Buren, daarentegen, zijn erg open geweest over hun ransomware-aanval, wat veel waardering heeft opgeleverd.

De factor tijd speelt natuurlijk ook een rol. Wie informeer je eerst? Door dit spanningsveld in alle rust in kaart te brengen en uit te denken hoe jouw organisatie zich naar de buitenwereld presenteert, verminder je de kans op onnodige kritiek in een al kritieke situatie.

4.Bepaal wanneer een crisis begint en eindigt

Op welk moment besluit je dat het crisisteam bij elkaar moet komen? Is dat direct wanneer er op een malafide link is geklikt of pas wanneer er systemen plat komen te liggen? En daarbij hoort ook de vraag: wanneer stopt het crisisteam met opereren en gaat de organisatie weer over naar de orde van de dag?

Het kan soms namelijk wel jaren duren voordat de organisatie volledig hersteld is van een cyberaanval. Soms moet je zelfs accepteren dat je bepaalde data nooit weer terug zult krijgen. Ook in dat geval eindigt een crisis op enig moment.

Conclusie

Incident readiness gaat dus over een aantal moeilijke en/of gevoelige kwesties die je het beste in alle rust een keer kunt uitwerken. Daarmee zorg je dat je voorbereid bent en een plan hebt klaarliggen voor de ergste scenario’s. Vergeet niet om het plan ook jaarlijks te oefenen zodat je kunt controleren of het plan (nog) compleet is en zodat de organisatie bekend kan raken met de cybercrisisprotocollen.