Cyberaanvallen zijn een reële en groeiende bedreiging voor organisaties in alle sectoren. Daarom moeten organisaties een proactieve houding aannemen ten opzichte van cybersecurity en zich voorbereiden op het beheersen van een digitale crisis. Want wanneer zich een cyberincident voordoet – en die kans is groot – kan het juiste plan en de juiste voorbereiding de impact beperken en de veerkracht vergroten. Dat was de rode draad van Orange Cyberdefense Live 2023, een evenement dat onlangs plaatsvond in Edegem, België.
Tijdens het evenement deelden experts van Orange Cyberdefense en andere organisaties hun inzichten en ervaringen rondom cyberincidenten. Aan bod kwam onder meer hoe je goed beslagen ten ijs komt op het moment dat een cyberincident plaatsvindt, de cruciale beslissingen tijdens het mitigeren van een aanval zelf en de maatregelen naderhand.
De noodzaak van een goede cybersecuritystrategie is in het AI-tijdperk groter dan ooit, schetst Jan Aril Sigvartsen, Senior Executive Advisor bij Orange Cyberdefense. Hij liet zien hoe generatieve AI-tools zoals ChatGPT het mogelijk maken om met weinig kennis en moeite code te genereren voor een zogeheten ‘exploit’, een aanval waarbij aanvallers de kwetsbaarheid van een systeem misbruiken.
Aanvallen op grotere schaal
Hij waarschuwt dat veel organisaties nog steeds vertrouwen op verouderde systemen die zeer kwetsbaar zijn voor dergelijke aanvallen. Bovendien zorgt AI voor enorme schaalvergroting van cyberaanvallen. Een enkele hacker kan met AI alle kwetsbaarheden van alle applicaties in een organisatie tegelijkertijd aanvallen, en dat volautomatisch.
Om zich te beschermen tegen deze dreiging, moeten organisaties volgens Sigvartsen een proactieve securityhouding aannemen. Dat betekent dat ze niet alleen hun systemen updaten en beveiligen. “Organisaties moeten terug naar de tekentafel en security veel meer vanuit de business benaderen”, zegt Matthijs van der Wel, Strategic Advisor bij Orange Cyberdefense. “Ze moeten antwoord geven op de vraag welke ‘key assets’ bescherming behoeven en wat daarvoor nodig is. Het antwoord daarop ligt niet alleen besloten in techniek, maar ook in mensen, in processen en de cultuur van een organisatie. Daarbij is het bovendien belangrijk om wendbaar te zijn, want het dreigingslandschap verandert continu.”
Proactieve houding is niet vanzelfsprekend
Een voorbeeld van een organisatie die deze proactieve aanpak heeft omarmd, is de Belgische stad Genk. Stijn Schepers, Chief Digital Officer (CDO) van Genk, vertelde hoe hij in 2022 ontdekte dat Genk op dezelfde shortlist stond van cybercriminelen als de stad Antwerpen die toen het slachtoffer was geworden van een ransomware-aanval. Dit was voor hem een wake-upcall om de digitale transformatie en security van de stad te versnellen.
Niet iedere organisatie heeft echter die ‘luxe’ van een wake-upcall voordat een daadwerkelijke aanval plaatsvindt. “Organisaties kunnen niet meer afwachten tot het een keer misgaat. Daarvoor is de kans op een incident simpelweg te groot. Je moet bovendien de risico’s van AI daarin actief meenemen. Stel jezelf de juiste vragen: wat betekent AI voor mijn business en daarmee voor mijn security? Hoe snel ben ik weer operationeel na een cyberaanval? Wat moet ik doen om zo goed mogelijk voorbereid te zijn op een crisissituatie?”, aldus Van der Wel.
Security draait om mensen
Onderdeel van het probleem is volgens Van der Wel dat veel organisaties security nog steeds als een technische aangelegenheid zien. Een waar de IT-afdeling zich over moet buigen en verantwoordelijk voor is. “Die houding is veel te beperkt. Het is een taak van alle medewerkers, en begint met het besef in de boardroom.”
Dat was ook een les voor Heilig Hart Ziekenhuis in Mol, zo schetst dr. Ivo Jacobs, Managing Director van het ziekenhuis. Het ziekenhuis werd in 2021 slachtoffer van een cyberaanval waarbij 50 systemen op slot gingen door ransomware. Het directe gevolg: de dienstverlening lag vijf dagen stil. De totale kosten van het incident bedroegen naar schatting tussen de 700.000 en 1.000.000 euro. De onderhandeling met de cybercriminelen bleek bovendien al snel een vruchteloze poging. Vanaf dat moment besefte het voltallige team de impact en het belang van security: uiteindelijk gaat het om het beschermen van mensen. In het geval van het ziekenhuis zelfs mensen in een uiterst kwetsbare positie.
Oefening baart kunst (en vermindert stress)
Mensen vormen tegelijkertijd ook het belangrijkste wapen tegen cybercriminaliteit. Dat vraagt – zeker tijdens een crisis – wel om slagvaardig handelen. Stress kan daarbij roet in het eten gooien, aldus dagvoorzitter Kirk Kinnell, voormalig Head of Hostage en Crisis Negotiation bij de Schotse politie. Hij weet als geen ander hoe het is om onder grote druk te moeten handelen. In een crisissituatie zoals een cyberaanval maken onze hersenen het hormoon cortisol aan. Dat zorgt voor een acute stressreactie: vechten, vluchten of bevriezen. Die reactie kan leiden tot slechte beslissingen, juist op het moment dat het er echt toe doet.
Hoe kun je dat voorkomen? Allereerst via een gedegen cybersecuritystrategie. Wanneer het misgaat, moet er een duidelijk crisisplan klaarliggen. Dat crisisplan moet de rollen en taken van de sleutelpersonen helder definiëren, de communicatielijnen vormgeven en duidelijke besluitvormers formuleren.
Daarnaast zijn crisisoefeningen belangrijk, stelt Van der Wel. “Vergelijk het met een brandoefening. Mensen moeten weten hoe ze moeten handelen als het misgaat. Bijvoorbeeld door regelmatig scenario’s te simuleren, te oefenen en te evalueren, kun je jezelf en je team trainen om effectief te reageren op een cyberaanval. Zo leer je om je emoties onder controle te houden, je focus te behouden en je communicatie te verbeteren. Dat komt de beslissingsvaardigheid ten goede, en daarmee de kans dat een organisatie de schade tijdens een cyberaanval beperkt.”
