Vier tips om cyberaanval te neutraliseren

Hoe kan of moet een organisatie zich voorbereiden op een cyberaanval? Wat is de juiste aanpak om de schade te beperken? Vooral de eerste 24 uur, zeggen Elisabeth Thole, Kees Stuurman en Kriek Wille, zijn cruciaal. Zij laten zien welke maatregelen genomen moeten worden.

Wie kent niet Murphy’s law? If anything can go wrong, it will go wrong. Hoe zeer deze stelregel van toepassing is op cyberincidenten, is iets wat organisaties de komende jaren vast meer en meer zullen ervaren. Het is niet meer een kwestie óf zich een incident voordoet, maar veeleer wanneer. Soms leidt een hack, naast (reputatie)schade ook nog tot een forse boete, maar dat hoeft niet altijd zo te zijn.

De juiste aanpak met dito begeleiding, en dat gedurende het gehele traject, kan veel leed besparen. Uiteindelijk biedt alleen een goed voorbereide organisatie die onmiddellijk op de situatie kan inspelen de beste waarborg dat de schade zoveel mogelijk beperkt blijft.

Vooral de eerste 24 uur na een incident is de cruciale fase voor damage control. Op dat moment dienen direct herstel- en schadebeperkende maatregelen te worden genomen, maar ook moet worden beoordeeld of het ­incident gemeld moet worden, en zo ja aan wie: de autoriteiten, betrokkenen en ook eventuele contractpartijen? Wat moet de boodschap zijn die naar buiten wordt gebracht? Het is belangrijk te weten dat de wettelijke deadlines voor het melden krap zijn en dat er voor bepaalde sectoren specifieke meldplichten bestaan, zoals voor de telecom- en de financiële sector. Is het stof eenmaal neergedaald, dan is het voor het vervolg van belang om de gang van zaken te evalueren ter voorkoming van ­nieuwe incidenten en ter verbetering van de strategie. Iedere organisatie doet er goed aan zich voortdurend bewust te zijn van alle risico’s die met datalekken gepaard gaan. Een praktisch hulpmiddel daarbij is een roadmap waarin staat hoe concreet daarmee moet worden omgegaan en op wie welke verantwoordelijkheden ­rusten. Ook is het raadzaam om vooraf de ­verzekeringsportefeuille te checken en voor een goede beoordeling juridische expertise in te schakelen.

 

Tip 1: Goede afspraken zijn ­basisvoorwaarde voor adequaat ­antwoord op cyberaanval

Alle organisaties zijn tegenwoordig afhankelijk van een steeds groter aantal leveranciers voor het goed functioneren van hun IT-infrastructuur. Dat betekent dat deze externe partijen in geval van een cyberaanval ook snel moeten worden ingeschakeld om een juiste en tijdige respons te waarborgen. Contracten zijn hét besturingsmiddel voor de samenwerking en de invulling daarvan bij een incident. Gezien de cruciale rol van IT voor de continuïteit en flexibiliteit van organisaties zou men verwachten dat dergelijke afspraken goed worden gedocumenteerd en beheerd. De werkelijkheid is vaak anders. Voorkom dat de organisatie bij een cyberaanval in een lastig parket komt door het ontbreken van de benodigde juridische documentatie.

De ervaring leert dat de besturing van de ­samenwerking met IT-leveranciers en andere belangrijke ketenpartners veelal niet goed is vastgelegd en niet actueel is. Dat is een slechte startpositie voor het organiseren van een ­adequate response op een cyberaanval. Goed ­inzicht in en grip op de afspraken met alle netwerkpartijen zijn dé bouwstenen van een adequaat cyberbeleid. Het is daarom aan te ­raden voortijdig een gap-analyse te maken van de afspraken met IT-leveranciers en na te denken over de wijze waarop mogelijke valkuilen snel en efficiënt kunnen worden opgelost.

 

Tip 2: Een crisiscommunicatieplan met een socialmediabeleid helpt narigheid voorkomen

Organisaties kunnen zich vandaag de dag misschien niet volledig wapenen tegen cyberaanvallen. Wel kunnen zij invloed uitoefenen op een deel van de schade die zo’n aanval veroorzaakt: de reputatieschade. Een goed cyber­beleid is dan ook meer dan alleen technische verdediging tegen aanvallen. De snelheid waarmee op een cyberaanval gereageerd wordt, bepaalt mede wat de uiteindelijke ­schade voor de organisatie zal zijn. Hoe een ­cyberaanval in de media komt en hoe deze door het publiek wordt opgepikt zijn factoren waarop invloed kan worden uitgeoefend. Om hier zo veel mogelijk controle over te houden zijn de volgende stappen noodzakelijk:

Over het algemeen laat media-aandacht, als die zich eenmaal manifesteert, zich niet kanaliseren, en kan alleen razendsnel reageren de schade beperken. Omdat een cyberaanval juist ook de reputatie van de organisatie kan raken, zijn een crisiscommunicatieplan en grip op de organisatie onmisbare onderdelen van een goed cyberbeleid.

 

Tip 3: Zorg voor preventieve maatregelen ter voorkoming van een privacydatalek

Iedere organisatie is zelf verantwoordelijk voor een passende beveiliging van de persoonsgegevens die door haar worden verwerkt. Dat dit niet altijd eenvoudig is, ­illustreert de onuitputtelijke lijst van ­privacy-incidenten.

In de privacysfeer zijn diverse preventieve maatregelen denkbaar ter voorkoming van ­incidenten:

Categoriseer de soorten persoonsgegevens die worden verwerkt. Het kan gaan om gevoelige persoonsgegevens, zoals gezondheidsgegevens, financiële gegevens, BSN, wachtwoorden en inloggegevens. Analyseer de aard, inhoud en omvang van de gegevensverwerking, zoals: wie heeft toegang tot de gegevens, om hoeveel betrokkenen gaat het, voor welke doeleinden worden de gegevens verwerkt en hoe lang worden de gegevens bewaard? Check of de organisatie privacycompliant is conform de laatste regelgeving. Zijn alle verplichte meldingen gedaan, wat is de grondslag van gegevensverwerking, zijn de privacystatements en bewerkersovereenkomsten up-to-date en hoe is de doorgifte van persoonsgegevens geregeld naar het buitenland? Implementeer een passend beveiligingsen bewaarbeleid. Ga na of instemming van de OR nodig is voor het verwerken van werknemersgegevens. Stel een incidententeam in. Zorg voor een incidentenbeleid en vergroot ook het bewustzijn van het personeel, bijvoorbeeld door middel van opleidingen.

Ter bescherming van de privacy van de betrokkenen, komt er een algemene wettelijke meldplicht datalekken en kunnen organisaties binnenkort boetes riskeren van maximaal 810.000 euro of 10 procent van hun jaaromzet. Wanneer de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid geldt een lik-op-stuk-beleid. Daarnaast kan de toezichthouder nog steeds een last onder dwangsom opleggen.

 

Tip 4: Werk mee met de toezichthouder, maar wel met de juiste ­juridische begeleiding

Bij een datalek hangt ook de dreiging van handhaving door een toezichthouder boven het hoofd, zoals van het CBP (dat binnenkort de naam Autoriteit Persoonsgegevens krijgt) of de ACM. Het contact met de toezichthouder kan op eigen initiatief zijn (bijvoorbeeld na de melding van een datalek), op verzoek van een belanghebbende of uit eigen beweging van de toezichthouder plaatsvinden. Hoe kan men zich het beste daarop voorbereiden ter voorkoming van een last onder dwangsom en/of een fikse boete?

Voor hun onderzoek beschikken toezichthouders over een scala aan bevoegdheden. Zij kunnen inlichtingen vorderen, maar ook inzage vorderen in de bedrijfssystemen en ruimtes betreden, waaronder zelfs woningen. De toezichthouder heeft echter geen recht op inzage in vertrouwelijke correspondentie met een advocaat of documenten die niet relevant zijn voor het onderzoek. Eist de toezichthouder toch inzage, doe dit dan onder uitdrukkelijk protest en zorg ervoor dat uw bezwaar wordt genoteerd. Neemt de toezichthouder documenten mee om te kopiëren, vraag dan een ontvangstbewijs en zorg ervoor dat een (digitale) kopie in de organisatie aanwezig blijft. De toezichthouder kan ook inlichtingen inwinnen bij onder meer (ex-)werknemers. Laat bij deze gesprekken zo nodig een advocaat aanwezig zijn en onderteken nooit direct een afschrift van de gegeven verklaringen, maar geef aan deze nader te willen bestuderen. Verzoek de toezichthouder aan het einde van het onderzoek om een lijst van gekopieerde documenten. Laat de toezichthouder weten mee te werken aan het onderzoek. Vraag steeds naar de aanleiding en reikwijdte van het onderzoek, alsmede hoe de procedure verloopt. Zorg daarbij voor adequate juridische begeleiding.

Kortom, alleen door een proactieve aanpak op alle fronten en waar mogelijk in harmonie met de toezichthouder, kan een langdurig ­onderzoek met een vervelende afloop worden voorkomen. Dat zou toch elke organisatie moeten nastreven. Zonder dat, kan de schade van een datalek immers al erg ­genoeg zijn.

 

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag