Help, een cyberaanval in het nieuws | een stappenplan voor elke ict-manager

Het is maandagochtend, half negen. Je ziet dat de CEO je heeft proberen te bellen. Je belt terug en de ze vraagt: “Wat moeten we doen? Ik lees in het nieuws dat er een grote hack is geweest bij een organisatie.” Zelf wist je hier nog niks vanaf. Je googlet snel het nieuwsartikel en ziet dat het inderdaad een flinke hack is.

Maar wat nu: alle werkzaamheden laten vallen en je focussen op de vraag van de directeur? Je wilt natuurlijk goed voorbereid zijn op een cyberaanval. Aan de andere kant: je wilt ook werken aan de lange termijn ict-strategie. Oftewel, hoe ga je om met nieuwsberichten over cyberaanvallen?

Ik schrijf deze blogpost speciaal voor ict-managers van middelgrote en kleinere ict-teams. Je vindt hierin een praktisch stappenplan om snel te schakelen bij vraagstukken rond cyberaanvallen.

Kijktip: bekijk deze webinar over hoe je omgaat met cyberaanvallen.

Ik hoor vanuit de praktijk vaak dat ict-managers met deze vragen te maken hebben. Voor kleinere organisaties kunnen dit soort vragen onbedoeld ontwrichtend werken. Het overgrote gedeelte van de berichtgeving over security-aanvallen is niet relevant voor organisaties. Maar je weet het nooit zeker. Dit stappenplan helpt je om op een efficiënte manier het risico en de impact van de aanval in te schatten. Zo kun je de CEO op de hoogte brengen, maar tegelijkertijd werken aan je lange termijn ict-strategie.

Bij dit stappenplan gaan we uit van twee scenario’s:

  • scenario A: er is een aanval;
  • scenario B: er is een kwetsbaarheid.

Scenario A: Er is een aanval in het nieuws

Bij een aanval kun je bijvoorbeeld denken aan ransomware-aanvallen. Dit is wat je het beste kunt doen in dit scenario:

Stap 1: Onderzoek wat voor aanval het is

Aanvallen klinken vaak ernstig en urgent. Toch zijn er maar weinig aanvallen die voor iedereen relevant zijn. Er zijn een paar situaties die bijna altijd relevant zijn. Denk aan een ransomware-aanval op een bedrijf binnen jouw sector. In dat geval kun je een snelle ‘media-triage’ doen.

Onderzoek de volgende dingen:

  1. Onderzoek welke media of pers dit deelt. Schat in wat er werkelijk aan de hand is en of het een betrouwbare bron is.
  2. Bekijk andere mediaberichten. Kijk ook internationaal. Zijn er andere media die hierover praten? Of gaat het maar om één nieuwsbericht? Zijn het onafhankelijke waarnemingen los van elkaar?
  3. Bekijk social media. Veel security-experts zitten op Twitter en delen daar bevindingen. Hoeveel mensen hebben het over deze aanval?

Wordt er bij stap 2 en 3 veel gesproken over deze aanval? Dan is de kans dat het een serieuze aanval is steeds groter. De vraag is dan nog steeds: is deze serieuze aanval ook relevant voor jouw organisatie?

Bij twijfel zou ik de berichtgeving serieus nemen. Ongeïnformeerd berichten negeren kan slecht vallen bij je directie. - Eward Driehuis | Adviseur Security

Stap 2: Onderzoek binnen welke sector de aanval plaatsvindt en wat de aanvalsdoelen zijn

  • Kijk binnen welke sector de aanval plaatsvindt: wanneer dit in jouw sector is, vergroot dit het (gevoel van) risico voor jouw organisatie.
  • Bekijk het aantal doelwitten: is het slachtoffer een enkele organisatie of heeft de aanval meerdere doelwitten?
  • Kijk of het aanvalsdoel bekend is: de meeste - voor jou relevante aanvallen - zijn financieel gemotiveerd. Bij gijzelsoftware (waarbij de aanvaller financiële motieven heeft) is de kans dus groot dat de aanval ook relevant is voor jouw organisatie. In andere gevallen, zoals een DDOS-aanval, moeten vooral overheidsorganisaties of systeemorganisaties (banken, vitale infrastructuur, media) zich zorgen maken. Gaat het om een geopolitiek gemotiveerde aanval, dan worden de belangen ingewikkelder.
  • Houd rekening met het feit dat je onderdeel bent van een leveranciersketen: jouw klanten of leveranciers kunnen impact hebben op jouw organisatie. Een aanval lijkt dan in eerste instantie misschien niet relevant, maar heeft toch later impact via de leveranciersketen.

Zie je risico’s voor jouw organisatie? Ga dan naar de derde stap.

Leestip: Goede cyberhygiëne voor een gezonde cybersecurity

Stap 3: Onderzoek wat de overheid zegt over de aanval

  • Check het Nationaal Cyber Security Center (NCSC). Als het NCSC een waarschuwing uitvaardigt dan is de waarschuwing over het algemeen relevant.
  • Check ook het Digital Trust Center (DTC). Zij focussen zich vooral op risico-inschatting van organisaties die niet vitaal zijn, in Nederland. Als zij er iets over zeggen dan kan je er ervan uitgaan dat het een redelijk groot probleem is.

Stap 4: Rapporteer aan de CEO

Komt uit je onderzoek dat de aanval ook relevant voor jouw organisatie is? Rapporteer dat dan terug aan de CEO, en vertel haar dat je aan de slag gaat met het inschatten van het risico en de impact.

Scenario B: Er is een kwetsbaarheid in het nieuws

Bij een kwetsbaarheid gaat het om kwetsbaarheden in softwarepakketten die bijna iedereen gebruikt. Denk aan de Log4J-kwetsbaarheid, een kwetsbaarheid in Exchange of de kwetsbaarheden in Kaseya. De impact van dit soort kwetsbaarheden is groot. In dit geval loop je een iets ander proces door dan bij aanvallen.

Stap 1: Onderzoek of jouw organisatie deze software met kwetsbaarheid gebruikt

Het is niet altijd duidelijk of jouw organisatie deze software gebruikt. Software heeft veel componenten. Er kan een kwetsbaarheid zitten in een van de componenten. Dat maakt het ingewikkeld. Als het niet snel duidelijk is waar de kwetsbaarheid zich bevindt, moet je deze zoeken, scannen en bij anderen informeren.

Stap 2: Onderzoek de ernst van de kwetsbaarheid

Belangrijk bij het inschatten van de ernst is of de kwetsbaarheid een patch heeft of niet. Zo niet, dan spreken we vaak over een 0-day. Als er een bekend exploitatieproces is (proof of concept) voor een 0-day, is dat het ernstigste scenario. Misschien moet je dan zelfs de service ‘uitzetten’ of verbergen achter een VPN.

Gebruik deze stappen voor het onderzoeken van de ernst van de kwetsbaarheid:

  1. Maak gebruik van open bronnen. Onderzoek welke media of pers dit deelt. Doe een inschatting of er iets aan de hand is of niet.
  2. Bekijk social media en andere (internationale) mediaberichten.
  3. Kijk wat NCSC en DTC erover melden.
  4. Staat de kwetsbaarheid in een Common Vulnerability Database (CVE)? Kijk naar de Common Vulnerability Scoring System (CVSS)-score. Deze score loopt van 0-10. Is de score hoger dan een 7? Dan is het een ernstige kwetsbaarheid. Een score boven de 9 is ‘kritiek’.

Stap 3: Kom erachter of jouw software deze kwetsbaarheid heeft

Nu is het zaak om uit te zoeken of jouw organisatie de kwetsbaarheid heeft. Het zou fantastisch zijn als jouw ict- of securityprovider dit voor jou doet. Sterker nog: een goede ict-provider zou jou al gebeld moeten hebben (ook als het niet in jullie SLA staat). Heb je niet de luxe van een proactieve dienstverlener? Dan zijn er zelf dingen die je kunt doen:

In het beste geval zoekt je ict-provider op berichtgeving, of is er al mee bezig. - Eward Driehuis | Adviseur Security

  • Scan zelf op de software. Dit is niet eenvoudig, want je hebt specifieke vaardigheden nodig om je software op kwetsbaarheden te scannen. Je moet weten hoe je scant naar die software en hoe je problemen vindt in je software. Start met het scannen van je externe ip-range. Let op: gebruik niet ongeïnformeerd scripts van het internet. Check de bron en let goed op dat je geen script gebruikt waarmee je schade veroorzaakt.
  • Helpende hackers van het Dutch Institute Vulnerability Disclosure (DIVD). Er bestaan vrijwilligers die op eigen initiatief het internet scannen op kwetsbaarheden. DIVD is een goede bron van informatie. Ook scant DIVD de kwetsbaarheid als die voor veel organisaties relevant is. Deze organisatie bestaat uit vrijwilligers, je kunt ze dus niet zomaar bellen. Als het DIVD iets vindt, sturen ze je een e-mail.
  • Zorg dat je de volgende stappen onderneemt zodat het DIVD jou kan helpen:
    Monitor jouw ‘abuse’ e-mail-postvak actief (abuse@JOUWBEDRIJF.nl). Helpende hackers sturen (geautomatiseerde) mails wanneer er kwetsbaarheden zijn gevonden. Deze mails gaan niet naar jouw persoonlijk bedrijfsaccount.
  • Zorg dat je een Coordinated Vulnerability Disclosure (CVD) beleid hebt. Dit dwingt jouw organisatie om na te denken over een proces om goed om te gaan met helpende hackers.
  • Let op dat er een security.txt op je website staat: (https://securitytxt.org/). Dit helpt helpende hackers om de relevante afdeling binnen jouw bedrijf te vinden.

Help mensen jou te helpen. - Eward Driehuis | Adviseur Security

Vervolgstappen: risico en impact inschatten

Nu kijken we naar problemen en de oplossingen. Die bestaan in ieder geval uit een inschatting geven van het risico en de impact. Het is niet jouw werk om beslissingen te nemen, maar de directie. Want het gaat om een organisatiebreed risico. Het is jouw taak om de directie van de juiste informatie te voorzien.

1. Risico inschatten

Het risico inschatten van een aanval of kwetsbaarheid is ingewikkeld. Want hoe groot is de kans dat de aanval ook gebeurt op jouw organisatie? Wel zijn er een aantal dingen die kunt doen om het eenvoudiger te maken. Let op: begin hier ruim van tevoren mee, want het kost tijd om een goede informatiepositie te hebben.

  • Vraag het aan anderen. Sluit je aan bij organisaties in dezelfde branche. Gebruik je connecties uit hetzelfde kanaal of mailbox en vraag advies aan elkaar. Sluit je bijvoorbeeld aan bij een Information Sharing and Analysis Centre (ISAC). Dit zijn overleggen van vitale organisaties. Door samen te werken met andere organisaties kun je gezamenlijk optrekken bij incidenten die jouw sector treffen.
  • Word lid van een cross-sectoraal samenwerkingsverband. Wat als je geen overheidsinstelling bent of geen vitale organisatie? Ook dan zijn er samenwerkingsverbanden. Connect2Trust is een voorbeeld van zo’n organisatie. Organisaties wisselen hier gevoelige en vertrouwelijke informatie over cyberdreigingen.

2. Impact inschatten

Bij het inschatten van de impact van een aanval of kwetsbaarheid, ben je afhankelijk van hoe goed de boel op orde is binnen jouw organisatie. Dat gaat verder dan ict, want dit start bij de zakelijke doelstellingen tot aan de ict-controles. Je moet de complete keten van mensen, processen en technologie in beeld hebben. Dat betekent dat de business-strategie in compleet afgestemd is van de techniek naar de business.

Hoe meer controle je hebt over je processen, mensen en technologie, hoe beter je aan de bovenkant van je business kunt inschatten hoeveel geld het kost. - Eward Driehuis | Adviseur Security

Kun je dat niet? Dan moet je betere procedures vastleggen tussen de business en het ict-management.

Kom je tot de conclusie dat dit niet goed zit in je organisatie? Dan is dat een eyeopener. Je organisatie moet een betere koppeling maken tussen dus business-strategie en de techniek. Dit is meestal nalatigheid van het management. Dit komt vaak pas naar boven bij een incident. Vanaf dat moment is het wel duidelijk.

Blog: Hoe zorg je dat je bedrijfsinformatie goed beveiligd is? | Cybersecurity advies van onze CIO

Doe een crisisoefening

Om het inschatten van de impact makkelijker te maken, kun je een crisisoefening doen. Dit is een oefening met de directie en de ict-operatie. Tijdens zo’n oefening loop je door een gesimuleerde aanval heen. Op deze manier weet je de impact en kun je beter met zo’n aanval omgaan.

Een cyberprobleem in het nieuws? Geen paniek, maar volg dit stappenplan

Wanneer je te maken krijgt met berichtgeving over een grote cyberaanval, doe dan het volgende:

  • Als je geluk hebt zit je ict-dienstverlener hier al op. Zij houden je dan op de hoogte over het risico van de aanval.
  • Is deze aanval nieuw voor je? Doorloop dan het bovenstaande stappenplan.
  • Is het risico en de impact hoog? Neem dan maatregelen zoals patchen, of risico verkleinen. Beter teveel dan te weinig maatregelen.
  • Wees goed voorbereid op security-aanvallen. Sluit je aan bij communities en houd nauwe banden met je ict- of securityleverancier.
  • Je hebt kans dat vrijwilligers je helpen, maar dan moet je wel de deur voor hen openzetten.

Meer weten over cyberaanvallen en hoe je ermee omgaat?

 

Nog geen reacties

Reageer als eerste

Ben jij al bekend met ITIL 4?

Kom vrijdag 19 april naar de ITIL 4 kennissessie en laat je meenemen op een tour langs alle verandering en mogelijkheden van ITIL 4.

> Meld je nu aan!