“Until you have experienced something like this, you don’t realize just what can happen, just how serious it can be…,” zei Maersk CEO Soren Skou in 2017 nadat zijn bedrijf was getroffen door de NotPetya cyberaanval. “I had no intuitive idea on how to move forward,” vervolgde hij. Dit is, in een notendop de toegevoegde waarde van cybersecurity crisiscommunicatie. Om organisaties te helpen orde te scheppen in de chaos die cybercrises zijn, lanceerden wij dit jaar als Burson, Cohn & Wolfe (BCW) BCW CyberTREE, een strategisch communicatiemodel dat organisaties helpt de crisiscommunicatie vorm te geven tijdens cybercrises.
De noodzaak voor dergelijke handvaten is er in toenemende mate. In 2017, het jaar van de NotPetya cyberaanval, becijferde Deloitte dat de economische schade door cyberincidenten in alleen Nederland toen al op circa 10 miljard euro per jaar lag. Afgelopen jaar was maar liefst 68
procent van zowel private als publieke instellingen het slachtoffer van één of meerdere cyberaanvallen – voornamelijk CEO-fraude, Ransomware, Phishing, Malware en DDoS-aanvallen.
Het besef van het belang van cybersecurity is toegenomen en veel organisaties hebben inmiddels stappen gezet. Deze zijn echter vooral gericht op het voorkomen van cyberincidenten en de praktijk wijst uit dat de preventieve maatregelen niet altijd het gewenste effect sorteren. Zelfs de grootste en meest veiligheidsbewuste organisaties zijn niet immuun voor breaches. Waar het dan vervolgens op neerkomt is het paraat hebben van een up-to-date en beproefd crisiscommunicatieplan.
Wat wij daarentegen veel zijn tegengekomen bij het bestuderen van een groot aantal cybercases en onze eigen ervaringen uit de internationale adviespraktijk van BCW, is dat veel organisaties juist hier tekortschieten. Als er al scenario’s klaarliggen, dan dekken deze veelal niet cybercrises en houden plannen niet of weinig rekening met de complexe en unieke communicatieve uitdagingen die spelen bij dit soort incidenten.
De standaardisering van cybersecurity
De toename van het aantal cyberincidenten is, niet geheel verrassend, gepaard gegaan met toenemende formalisatie van het domein van cybersecurity. Waar het lange tijd zo was dat cybersecurity louter onderdeel was van algemene wet- en regelgeving (denk daarbij aan de AVG), is cybersecurity tegenwoordig zelf ook steeds vaker onderwerp van nieuwe wet- en regelgeving. Voorbeelden zijn de EU Cybersecurity Act, de EU Richtlijn Netwerk- en Informatiebeveiliging (in Nederland ingevoerd als de Wbni) en de Telecommunicatiewet. Hoewel de nieuwe regelgeving zich in het bijzonder richt op specifieke aanbieders of sectoren, is er wel een duidelijke trend zichtbaar richting de (verplichte) certificering van cybersecurity standaarden.
Naast toegenomen aandacht voor adequate wet- en regelgeving, heeft de standaardisering van cybersecurity vooral haar weerslag op de cybersecurity verzekeringsmarkt. Deze markt is op zijn zachtst gezegd big business. Want behalve de evidente cyberimpact waar bedrijven bij crises mee te maken krijgen en de operationele respons die daarop volgt, is er steeds vaker ook een grote bedrijfsimpact. Dit zagen we bijvoorbeeld in 2017 met Uber: het bedrijf werd aangeklaagd omdat het naliet een cyberincident te melden. In datzelfde jaar vond er bij Equifax een groot datalek plaats waardoor de CEO moest aftreden en trof het bedrijf in januari van dit jaar een schikking die kan oplopen tot wel 425 miljoen dollar. En nadat Yahoo toegaf dat zij was getroffen door een cyberaanval, verloor het bedrijf 350 miljoen dollar van zijn beurswaarde.
De cybersecurity verzekeringsmarkt helpt om de financiële gevolgen van verschillende cyberincidenten te mitigeren, waaronder datalekken, onderbrekingen in de bedrijfsvoering en netwerkschade. Een robuuste markt voor cybersecurity-verzekeringen, zo is althans de gedachte, zou het aantal succesvolle cyberaanvallen kunnen helpen verminderen door organisaties in staat te stellen preventieve maatregelen te implementeren in ruil voor meer dekking en door het stimuleren van de toepassing van best practices door premies te baseren op het beschermingsniveau van een verzekerde. Vanwege de hoge kosten en verwarring over wat precies wordt gedekt, staan niet alle bedrijven te trappelen het risico van een cyberincident af te dekken. Desalniettemin heeft in de Verenigde Staten het Cybersecurity and Infrastructure Agency (CISA) belangrijke stappen gezet om dit opkomende cyberrisicogebied te formaliseren.
Maar hoe staat het met de formalisering van cybersecurity crisiscommunicatie? Een cybersecurity crisis heeft niet alleen een directe impact op de bedrijfsvoering, maar zet ook het vertrouwen van stakeholders in de organisatie onder druk. De reputatieschade die daaruit voortkomt wil je beperken. Wij hebben vanuit de adviespraktijk van BCW gemerkt dat de dreigingen op het gebied van cybersecurity steeds geavanceerder worden, en dat de wijze waarop we omgaan met de crisiscommunicatie rondom dit onderwerp geen gelijke tred heeft gehouden met de snelheid waarmee de dreiging verandert.
De complexiteit van cybersecurity crisiscommunicatie
Terugvallen op bestaande crisiscommunicatieplannen is in het geval van een cyberincident geen optie. Andere crisisscenario’s, variërend van het uitvallen van het stroomnetwerk tot fraude, houden geen rekening met hoe te communiceren over bijvoorbeeld het verlies van persoonlijke identificeerbare informatie of intellectueel eigendom van bedrijven.
Communicatie met publiek en stakeholders wordt bemoeilijkt omdat je te maken hebt met heel veel mogelijke scenario’s. Onze BCW CyberTREE houdt bijvoorbeeld rekening met 25 factoren die het reputatierisico tijdens een cyberincident beïnvloeden. Je weet vaak ook niet meteen waar de dreiging (threat actor) vandaan komt. Het maakt voor de aanpak uit of dit een staat is, een crimineel netwerk, een daad van iemand binnen de organisatie of een zogenoemde lone wolf. Een staat bijvoorbeeld, opereert tijdens een cyberaanval vaak clandestien en is vaak ‘slechts’ uit op bedrijfsdata. Criminele netwerken daarentegen, zullen het niet nalaten sociale media te gebruiken als een manier om druk uit te oefenen en zo de aangevallen organisatie in het geval van ransomware te dwingen het losgeld te betalen.
Een andere complicerende factor is dat het niet altijd van meet af aan duidelijk is dat er een cyberincident heeft plaatsgevonden. Wanneer je dit vergelijkt met bijvoorbeeld een olieramp op zee dan is het moment waarop de spreekwoordelijke ‘shit’ het ‘fan’ heeft geraakt, vrij makkelijk aan te duiden.
Cyberinbreuken worden daarentegen veelal eerst opgemerkt door buitenstaanders – partners, afnemers, toezichthouders of, god verhoede, de media – voordat de organisatie in kwestie er zelf weet van heeft. Inbreuken treden bovendien vaak langdurig op en soms duurt het maanden eer een cyberaanval wordt gedetecteerd of dat hackers zich melden met hun eisen. Dit bleek nog maar eens met de in de Nederlandse media breed uitgemeten cyberaanval op de Universiteit Maastricht. Uit onderzoek dat Fox-IT na de afwikkeling van de aanval heeft verricht, bleek dat de aanvaller al halverwege oktober 2019 via phishing e-mails zichzelf toegang heeft verschaft tot het netwerk van de universiteit. Vervolgens heeft de hacker gedurende de daaropvolgende twee maanden ook toegang gekregen tot de rest van het netwerk en is uiteindelijk op 23 december de ransomware uitgerold, waarmee op 267 servers alle bestanden zijn versleuteld. Pas op dat moment is door de hackers losgeld geëist om de versleuteling van de databestanden op te heffen.
Het maakt nogal verschil of een inbreuk wordt ontdekt op dag drie of pas na een paar maanden; niet alleen voor de operationele respons, maar ook vanuit communicatieoogpunt. Lange vertragingen bij het detecteren van cyberinbreuken maken de crisis niet alleen moeilijker te beheren, maar ook om uit te leggen aan stakeholders. De perceptie van stakeholders over hoe je als organisatie een cyberaanval afwikkelt, kan net zo belangrijk zijn als het technische herstel na een aanval zelf. Dit maakt het voor organisaties lastig zich goed voor te bereiden en een op maat gemaakte communicatiestrategie te ontwikkelen.
Waar een succesvolle cybersecurity crisiscommunicatiestrategie aan moet voldoen
Vanwege het grote aantal factoren dat bepalend is voor cybersecurity crisiscommunicatiestrategieën, is de vuistregel dat het nooit afdoende is om simpelweg één cybersecurity scenario paraat te hebben. Er dient rekening te worden gehouden met zaken als het type dreiging en de respons – wat is er al gedaan om de aanval een halt toe te roepen en wat is de gepercipieerde effectiviteit hiervan? Verder is het belangrijk stil te staan bij de verwachtingen en de uitvoering van het strategische communicatieplan in de aanloop, tijdens en na de openbaarmaking van de cybercrisis. Drie uitgangspunten dienen leidend te zijn bij de implementatie van een succesvolle cybersecurity crisiscommunicatiestrategie:
- Bedrijfsreputatie is essentieel voor cyberweerbaarheid
Vroeger draaide cybersecurity om preventie, maar organisaties begrijpen steeds beter dat preventie niet genoeg en domweg niet mogelijk is. Een hersteld netwerk heeft geen waarde als je vervolgens je klanten en het vertrouwen van partners bent kwijtgeraakt. Het is belangrijk te realiseren dat iedere actie die het interne Computer Security Incident Response Team (CSIRT) onderneemt, gevolgen heeft voor de bedrijfsreputatie, merkaffiniteit en het potentiële vermogen van een organisatie weer op te starten na een cybercrisis. Nauwe samenwerking tussen CSIRT en de communicatieteams – evenals de juridische afdeling en het forensische onderzoek – is derhalve essentieel om te zorgen dat organisaties kunnen herstellen en weer gedijen na een cybersecurity-crisis.
- Cybersecurity crisiscommunicatie is een functieoverschrijdende CSIRT verantwoordelijkheid
Een cybersecurity-incidentresponsplan is onvolledig als crisiscommunicatie niet in het protocol is opgenomen. Het uitvoeren van realistische, cyberspecifieke crisissimulaties is cruciaal om te testen of tijdens crises snel en efficiënt de koppeling wordt gelegd tussen communicatiespecialisten en de interne CSIRT en daarbij rekening te houden met de belangrijke wet- en regelgeving, berichtgeving in media, en de specifieke uitdagingen die inherent zijn aan de forensische aspecten van cybersecurity.
- Cybersecurity crisiscommunicatiestrategie moet rekening houden met feiten en speculatie
Tijdens cybersecuritycrises komen feiten vaak langzaam boven bijvoorbeeld omdat het forensisch onderzoek nog gaande is. Intussen verstoort speculatie bij klanten, werknemers, bloggers en zelfs concurrenten, de bedrijfsvoering. Het is de taak van communicatieprofessionals rekening te houden met speculatie en te anticiperen op het type vragen dat gesteld kan en veelal ook gaat worden. Dit kan leiden tot frictie met de forensische en technische specialisten die simpelweg de operationele kant van een cybersecuritycrisis zo snel en efficiënt mogelijk willen oplossen. Daarom is een manier nodig om een gestructureerd en strategisch proces op gang te brengen in de gesprekken met allen die betrokken zijn bij de respons op een cybersecuritycrisis. Een communicatieplan voor cybersecuritycrises helpt organisaties te anticiperen op en zich voor te bereiden op scenario’s die de respons, om het voorzichtig uit te drukken, kunnen bemoeilijken.
Cybersecurity ingebed in de communicatiepraktijk
Cybersecurity is de afgelopen jaren uitgegroeid tot een serieus aandachtsgebied voor overheden en bedrijven. Vanwege onze toenemende afhankelijkheid van digitale processen is de groeiende standaardisering van dit domein – van verzekeringen tot nieuwe wet- en regelgeving – niet meer dan logisch. Dat crisiscommunicatie achterblijft is echter opmerkelijk. Volledige cyberveiligheid is domweg niet te garanderen en als organisaties werkelijk handelen vanuit een niet ‘als’, maar ‘wanneer’ mindset dan hoort de tijdige aandacht voor een gedegen cybersecurity communicatiepraktijk daar zonder enige twijfel bij.
Daniël Turk is werkzaam als consultant bij Burson, Cohn & Wolfe in Den Haag.