IT-dienstverlener Claranet organiseerde een service-critical crisisoefening om klanten en partners voor te bereiden op de uitdagingen van een cyberincident. Het scenario? Een realistische ransomware-aanval, geïnspireerd door cases uit de praktijk.
Claranet nodigde twee specialisten uit van S-RM, een adviesbedrijf gespecialiseerd in Incident Response, om de oefening te begeleiden. Gideon Teerenstra, hoofd Cyber Advisory Benelux voor S-RM, opende met een waarschuwing: “Ransomware kan bij elk bedrijf toeslaan. De data die je hebt – of het nu om persoonsgegevens of klantinformatie gaat – kan worden gestolen of gegijzeld. Het verlies kan oplopen tot duizenden euro’s per dag doordat je je systemen niet kunt gebruiken.” Hij benadrukte dat criminelen steeds vaker niet alleen financieel, maar ook persoonlijk druk uitoefenen, bijvoorbeeld door te dreigen met de publicatie van gevoelige data of het benaderen van familieleden.
Susanne Koster, associate in het incident response team van S-RM gaf een voorbeeld: “Op een vrijdagmiddag om vier uur kreeg een klant een telefoontje: ‘Jouw bedrijf is gehackt. Alle vertrouwelijke data zijn gestolen, en we zullen deze publiceren als je niet snel contact opneemt. Dit kan gebruikt worden voor criminele of terroristische doeleinden.’” Zulke aanvallen vereisen een snelle, gecoördineerde en kalme reactie: precies de focus van de oefening.
Leren in een gecontroleerde setting
De oefening simuleerde een ran-somware-aanval en stelde de deelnemers in staat om in een gecontroleerde setting te oefenen met hun respons. De scenario’s waren gebaseerd op werkelijke incidenten. Zo startte ook het simulatievoorbeeld met meldingen die een bedrijf bij een aanval ontvangt: “Je bent gehackt. We hebben je data. Neem contact met ons op om te voorkomen dat we alles openbaar maken.” Tegelijkertijd wordt op zo’n moment de receptie van de onderneming gebeld met eisen voor losgeld en dreigementen over gelekte gegevens.
De oefening simuleerde een ransomware-aanval
Teerenstra legde uit dat ransomware niet alleen een technologisch probleem is, maar ook een kwestie van strategie en communicatie. “Criminelen proberen je in een hoek te drijven, zodat je geen andere keuze hebt dan te betalen.” Het doel is echter om betaling te vermijden, tenzij er geen andere optie is. Koster: “Daarom is preventie van cruciaal belang: regelmatige back-ups en een sterk beveiligingsbeleid kunnen helpen de schade te beperken.” Een snelle reactie en een duidelijk herstelplan zijn daarnaast essentieel om systemen weer operationeel te krijgen en reputatieschade te beperken.
Crisismanagement in actie
Een ransomware-aanval vereist een doordacht en ook tijdens downtime bereikbaar plan. Teerenstra stelde dat de eerste stap na het ontdekken van de aanval is om de omvang vast te stellen: “Is het een lokaal probleem of zijn alle systemen getroffen?” Koster, die de rol van slachtoffer op zich nam, antwoordde: “We weten nog niet precies wat er is gebeurd. We hebben alleen maar een melding van verdachte bestanden.”
De volgende stap is het samenstellen van een crisisteam. “Wie maken we wakker in de nacht voor kerst,” vroeg Koster. Het crisisteam moet snel worden samengesteld, inclusief sleutelpersonen zoals de IT-afdeling, privacy officer, HR, en juridische adviseurs. De juridische afdeling speelt een cruciale rol, aangezien bedrijven wettelijk verplicht zijn om een inbreuk op de beveiliging van persoonsgegevens binnen 72 uur na ontdekking te melden aan de Autoriteit Persoonsgegevens.
Er ontstond tijdens het evenement discussie met de aanwezigen over de vraag of en wanneer contact opgenomen moet worden met de criminelen. Teerenstra benadrukte dat het contact met de aanvallers niet bedoeld is om direct afspraken te maken, maar om informatie te verzamelen: “Welke data hebben ze gestolen? Kunnen ze een sample van de data leveren?” Het crisisteam moet de impact van de aanval analyseren, bepalen hoe gevoelig de gestolen data zijn, en de hersteltijd en herstelopties evalueren.
Hoe actueel zijn de back-ups?
Wanneer een bedrijf door een cyber-aanval wordt getroffen, komt het herstelproces neer op het snel weer operationeel krijgen van systemen. Een belangrijk aspect hiervan is het hebben van betrouwbare back-ups om de bedrijfsvoering voort te zetten. “Wat is de status van de back-up?” vroeg Teerenstra. Het herstellen van systemen kan een tijdrovend proces zijn, vooral als de back-ups niet up-to-date of incompleet zijn.
Een belangrijk aspect is het hebben van betrouwbare back-ups
Tijdens een crisis is communicatie van cruciaal belang. De interne communicatie moet helder zijn. Koster benadrukte het belang van geruchtenbeheer: “Duidelijke communicatie naar je team helpt voorkomen dat er onduidelijkheden ontstaan.” Ook externe communicatie is essentieel. De reputatieschade kan groot zijn als een bedrijf niet snel en transparant communiceert over de situatie. “Dat wordt uiteindelijk een imago-kwestie,” zei Koster.
Beperk de schade
Het belangrijkste wat bedrijven kunnen doen om zich voor te bereiden op een ransomware-aanval, is het hebben van een goed getest incident-responsplan en een crisiscommunicatieplan. Zoals Koster afsluit: “Je moet weten wie je moet bellen, welke beslissingen je moet nemen, en hoe je schade kunt beperken.” Door goed voorbereid te zijn, kan een organisatie snel reageren op een aanval en de schade zoveel mogelijk beperken. “En ons belangrijkste advies: blijf kalm.” ◾