Gebrek aan cyberexpertise kost u zo vele tonnen

Bij een hack kunt u 112 niet bellen. Wie dan wel, is die competent en hoe weet de organisatie dat? In mijn vorige blog heb ik aangegeven hoe belangrijk het is om een securityleverancier te vinden die over de juiste expertise beschikt. Ontbreekt die expertise, wordt al snel een verkeerde beslissing genomen. De schade begint dan écht in de papieren te lopen.

Met fysieke ‘incidenten’ gaan we veel makkelijker om dan met digitale. Ze zijn namelijk tastbaar. Bij een inbraak komt de politie. Bij brand zijn er brandblussers, als dat niet helpt bellen we 112. Keuze is er niet en we moeten er van uitgaan dat zij alle kennis in huis hebben om alles in veiligheid te brengen en de schade te beperken. Bij een cyberincident belt u de cybersecurityleverancier: een van de talloze commerciële bedrijven die als digitale privébrandweer fungeren. Maar tussen al die privé ‘brandweerkorpsen’ zitten enorme kwaliteitsverschillen. Wie wel iets weet van preventie maar niet van incident response, gaat het niet redden. 

Schrijnend

Auteur Frank Groenewegen is Chief Security Expert bij Fox-IT
Lees ook – Cybersecurity: in het land der blinden is eenoog koning

Een schrijnend voorbeeld uit onze praktijk. Een bedrijf ontdekte op zeker moment een securityissue en hun securitybedrijf ging er vanuit dat met het opnieuw installeren van de pc alles weer in onder controle zou zijn. De digitale brand was meester, dachten ze. Maar de binnenbrand bleef ongemerkt smeulen en werd opeens een grote uitslaande brand. Om die brand te blussen werd Fox-IT binnengehaald. We constateerden dat een geavanceerde hackersgroep diep in de IT-infrastructuur was doorgedrongen. De indringers hadden daardoor ook toegang tot alle persoons- en financiële gegevens. Door de herinstallatie was echter alle informatie verdwenen over wat er bij dat eerste incident precies was gebeurd. We konden niet uitsluiten dat er gevoelige gegevens weggesluisd waren. 

Kostbaar circus

Vanaf dat moment kwam een buitengewoon kostbaar circus op gang, niet alleen qua geld maar ook qua de tijd die besteed moest worden: de toezichthouder inlichten, klanten informeren, contact opnemen met de verzekering, legal, communicatie, etc. Het had allemaal voorkomen kunnen worden, als meteen in het begin de juiste maatregelen waren genomen. Dan waren de hackers namelijk nooit in staat geweest om hun uiteindelijke doel te bereiken. 

Hoe snel alleen al indirecte schade kan oplopen weten we uit eigen ervaring. Vorig jaar kregen we zelf te maken met een securityincident, waarbij onder andere informatie van een klant werd gestolen. Allerlei afdelingen zijn ermee in de weer geweest, buiten het onderzoeksteam zelf: legal, IT-support, communicatie, directie etc. Het betrof informatie van een klant buiten Nederland, waardoor het incident ook in dat land moest worden gemeld. De toezichthouder aldaar is veel strenger dan hier, en bleef vragen stellen, ook nog lang nadat ons onderzoek was afgesloten. Met een hack die nog geen dag geduurd heeft, kan een bedrijf nog maandenlang bezig zijn. Zelfs bij ons, als expert, lag deze indirecte schade al boven de 100.000 euro. 

Verifieer en vraag een second opinion

Juiste beslissingen kunnen niet alleen de voor de hand liggende schade, zoals datadiefstal en productieverlies zoveel mogelijk voorkomen, maar ook grote indirecte schade tot een minimum beperken. Zo onderhand heeft vrijwel elk bedrijf een securityleverancier. Verifieer of deze leverancier over de nodige kennis en ervaring beschikt om incidenten juist in te schatten! 

Dan zijn er nog de nodige bedrijven die de ambitie hebben om ‘iets’ met security te doen door zelf een eerste lijn op te bouwen. Ook dan is kennis en ervaring noodzakelijk om wat er in die eerste lijn gebeurt juist in te schatten. Zorg in dat geval voor zekerheid en vraag bij een incident om een second opinion. In veel gevallen kan zo’n second opinion namelijk cruciaal zijn voor wat er gaat gebeuren, of niet. Better safe then sorry! Want één verkeerde beslissing en u bent zo vele tonnen verder.