En dan blijk je gehackt

Het probleem breidt zich als een olievlek uit: uitval van bedrijfsprocessen, media die om reactie vragen, medewerkers die hun werk niet meer kunnen doen, andere die juist aan de slag moeten om het probleem op te lossen. Overleg op overleg. Steeds meer afdelingen raken betrokken. De klok tikt ondertussen door. Denk chaos. Denk paniek.

Dit is wat er zich afspeelt bij een cyberincident. Er bestaat nog wel eens het idee dat dit probleem en de oplossing ervoor onder de afdeling IT vallen. In de praktijk blijkt het een situatie te zijn die organisaties onder hoge druk brengt, doordat antwoord gegeven moet worden op een groot aantal vragen, van technische, organisatorische en juridische aard. Wat voor probleem is het? Wat kan eraan gedaan worden? Wie gaat wat doen? Wat krijgt prioriteit? Zijn er data weg? En moet dit gemeld worden aan de toezichthouder? 

Eerste 24 uur na een incident zijn cruciaal

Zoveel zaken om rekening mee te houden: al snel ontstaat één nijpende en bijna verstikkende vraag: waar begin je. Vooral in de eerste paar uur na een incident ontbreekt het vaak aan goede coördinatie. Hier gaat dan ook de meeste energie aan verloren.  
En juist de eerste 24 uur na een incident zijn cruciaal. Hier worden de meeste fouten gemaakt die tot nog meer kosten, boetes of reputatieschade leiden. Denk aan zelf zitten knoeien in het systeem, zonder overzicht op wat er is gebeurd. Of betalen aan hackers, zoals Uber onlangs deed. Dat is geld over de balk gooien, zonder te weten wat je ervoor terugkrijgt. Een andere fout: de raad van commissarissen niet informeren. Of niets melden aan de toezichthouder. Een lek komt altijd uit. Achteraf valt er helaas weinig meer uit te leggen.

Extra lastig is dat er belangenconflicten kunnen ontstaan. De systeembeheerder wil tijd hebben om een uitweg te vinden en niet voor een houtje-touwtje-oplossing kiezen. De COO daarentegen wil dat alle processen zo snel mogelijk weer draaien. De CFO wil dat de medewerkers weer bij de gegevens kunnen. Een botsing is onoverkomelijk. 

Voorkom een 'Chefsache' en bereid je voor

Iedereen die getuige is geweest van een cyberincident, weet voor altijd dat een goede voorbereiding noodzakelijk is. Alle organisaties dienen van tevoren te bepalen wie de knopen doorhakt en welke zaken prioriteit krijgen. Een goed overwogen besluit nemen tijdens een zich ontwikkelend incident is heel lastig. Belangrijk is te beseffen dat er niet één goede manier is om op te treden. Er komt een groot aantal vragen op de organisatie af, waarop het juiste antwoord niet altijd bestaat. Het enige dat werkt, is dat er voor het incident al over deze kwesties nagedacht is. 

En dat moet gebeuren door verschillende mensen: een cyberincident is een multidisciplinaire kwestie. Er spelen vragen die afdelingsbelangen overstijgen, waarvoor kennis vanuit veel verschillende hoeken nodig is. Het gaat hiernaast om zeer complexe problemen, die met enorme risico’s gepaard gaan. Chefsache dus. Dit kun je niet bij de systeembeheerder laten liggen. 

Ludo Block is director Forensic & Dispute services bij Grant Thornton

Hoe bereid je je voor op een cyberincident? Lees volgende week de blog van Ludo Block op CFO.nl

(Bron: Grant Thornton)