Hoewel KMO’s vaak denken dat ze niet interessant genoeg zijn om aangevallen te worden, leert de praktijk ons dat dit meestal niet het geval is. Ieder bedrijf, ongeacht de branche waarin het actief iq, kan een potentieel doelwit zijn. Slachtoffers worden meestal niet doelbewust gekozen omdat cyber-aanvallen vaak grootschalig worden aangepakt. Een reactie op een e-mail of het gebruik van oude software kan al een cyber-aanval tot gevolg hebben. Computers worden gehackt, data gestolen of gewist en bedrijfsprocessen vallen stil. Dit kan financiële- en reputatieschade met zich brengen. Denk hierbij aan misgelopen inkomsten door verstoring van de bedrijfsvoering, boetes voor schending van regelgeving en verlies van klantvertrouwen. Hoewel cyber-aanvallen niet altijd zijn te voorkomen, kunnen bedrijven zich wel voorbereiden op een cyber-aanval om de schade te beperken. Een Incident Response Plan kan daarbij helpen. Grote multinationals huren meestal een specialist in of hebben een afdeling om een Incident Response Plan op te zetten. Voor KMO’ers is dit niet altijd mogelijk, maar met een aantal eenvoudige stappen kunnen al veel risico’s worden voorkomen.

Incident Response Plan

De eerste stap die belangrijk is voor een solide Incident Response Plan is de inventarisatie. Het is immers belangrijk om als eerste te bepalen welke systemen cruciaal zijn voor het voortbestaan van het bedrijf. Dit verschilt per bedrijf. Voor een webshop zal dit de website zijn terwijl dit voor een accountant waarschijnlijk de financiële gegevens van klanten betreft. Het is daarom belangrijk om een risico-analyse op te stellen. In deze analyse wordt er bijvoorbeeld nagegaan welke incidenten er in het verleden plaats hebben gevonden, welke dreigingen er spelen en welke systemen het meest kwetsbaar zijn. Een veelgebruikte methode is het ontwikkelen van scenario’s.

Door te denken in scenario’s worden de gevolgen meteen zichtbaar en kunnen bedrijven beter beoordelen welke maatregelen er genomen moeten worden. Bepaal per risico hoe groot de kans is dat dit gaat gebeuren op een schaal van groot, midden of klein. Categoriseer ook de mogelijke incidenten op basis van de ernst (hoog, midden of laag). Betrek hierbij zoveel mogelijk werknemers uit het bedrijf. Als meerdere werknemers uit verschillende delen van het bedrijf bij de ontwikkeling van het plan betrokken zijn, is de kans groter dat er kwetsbaarheden en valkuilen ontdekt worden in kwetsbare gebieden. Op deze manier ontstaat er een lijst met de grootste risico’s. Bedrijven die het professioneler willen aanpakken kunnen overwegen om een ethical hacker of security-bedrijf in te schakelen. Deze kunnen vervolgens een PEN-test uitvoeren om achter de kwetsbaarheden en risico’s te komen.

Bij een aanval is het belangrijk om snel te handelen. Breng daarom alle rollen en verantwoordelijkheden in kaart en stel een lijst op met alle interne en externe stakeholders die bij een eventueel incident betrokken zijn, inclusief hun contactgegevens en een beschrijving van taken. Op deze manier kan meteen worden begonnen met het uitvoeren van het recovery-proces voor elke getroffen IT-service. Het is daarom belangrijk dat ook deze procedures in het plan worden opgenomen. Vergeet ten slotte ook niet om een verzameling van alle andere lijsten, formulieren en documenten die relevant zijn voor het Cyber Response Plan in een bijlage op te nemen. Denk hierbij aan details zoals alternatieve werklocaties, verzekeringen en de opslag en distributie van disaster recovery-middelen. Beschrijf daarnaast ook hoe en wanneer werknemers, management, partners en klanten worden geïnformeerd. Zorg ervoor dat het plan up-to-date is. Niet alleen de software en hardware van je organisatie hebben vaak updates nodig, ook het Incident Response Plan moet regelmatig worden bijgewerkt. Denk hierbij aan het toevoegen van nieuwe medewerkers, nieuwe software of nieuwe dreigingen en risico’s.

Voorkomen is beter dan genezen

Toch is voorkomen nog altijd beter dan genezen. Om cyber-incidenten te voorkomen is het belangrijk om regelmatig preventief te zoeken naar signalen. Cyber-criminelen kunnen zich soms wekenlang in een netwerk schuilhouden voordat ze hun slag slaan. Voer daarom regelmatig een netwerk-scan uit met moderne security-oplossingen die voorzien zijn van intelligente mechanismen zoals: heuristiek, gedragsanalyse en exploit-beveiliging. Wees er zeker van dat al je apparaten volledig geüpdatet en gepatcht zijn en verwijder ook altijd de software die niet meer wordt gebruikt, waardoor er geen kwetsbaarheden kunnen ontstaan. Monitor daarnaast het netwerk regelmatig, weet wie waar toegang heeft tot het netwerk en welke apparatuur toegang heeft tot de systemen. Maak ook back-ups en vergeet niet om deze regelmatig te testen op volledigheid en functionaliteit. Dit zal de impact bij een data-inbreuk verminderen en het herstelproces versnellen.

Gezien de meeste cyber-incidenten veroorzaakt worden door menselijk handelen, doen ondernemers er verstandig aan om hun medewerkers te trainen op cyber-bewustzijn. De kracht van herhaling is hierbij cruciaal. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind en wordt er gewerkt aan een positieve beveiligingscultuur. Een e-learning training, zoals de G DATA Security Awareness Training, is hier ideaal voor. Op deze manier kunnen medewerkers een training in hun eigen tempo afronden.

Kortom, een Incident Response Plan is een opsomming van acties die een bedrijf kunnen helpen ter voorbereiding op cyber-incidenten. Naast preventieve maatregelen staat erin beschreven hoe aanvallen op tijd zijn te detecteren, hoe het bedrijf op een aanval zal reageren en hoe het de impact kan minimaliseren. De bovenstaande punten kunnen bedrijven gebruiken als startpunt. Hoe het plan er uiteindelijk uit komt te zien, hangt echter af van de structuur van het bedrijf en van de bedrijfsregels en -voorschriften. Voor de meeste KMO-organisaties zal een eenvoudig document van twee tot tien pagina's doorgaans goed genoeg zijn om een veiligere werkomgeving te creëren. Een goede voorbereiding met een Incident Response Plan is immers het halve werk voor een solide beveiliging.

(Dirk Cools)

(Bovenstaande bijdrage kwam tot stand in samenwerking met G DATA CybeDefence Belux B.V. (Groot-Bijgaarden))

Meer info: 02/808.33.20 of www.gdata.be.