Interview
Maaike Tindemans
Tekst:
Maaike Tindemans
Verwachte leestijd: 3 min

‘Een cybercrisis wordt vaak te lang als incident gezien’

Een cybercrisis vraagt om een andere aanpak dan een reguliere crisis. Wat zijn de verschillen? En waar moet je bij een cybercrisis rekening mee houden?

“Het kenmerk van een cybercrisis is dat het zich heel snel kan verspreiden”, zegt Pascal Renckens, senior crisis & security consultant bij Northwave. “Wat een incident lijkt, kan in een zeer korte tijd uitgroeien tot een crisis die het hele bedrijf raakt. Een tweede kenmerk is dat een cybercrisis moeilijk te overzien is. Bij een fysieke crisis, zoals een brand, is het relatief eenvoudig om te zien welke processen er geraakt zijn. Bij een cybercrisis is dat vaak niet het geval. Een bedrijf is meestal harder getroffen dan je in de eerste instantie zou denken. Dat zag je bijvoorbeeld ook bij de cyberaanval in de Rotterdamse haven in 2017. Die cyberaanval was al snel niet alleen digitaal meer omdat ook de camera’s en de toegangspoorten niet meer werkten. Dat soort elementen hebben meteen veel impact op een bedrijf.”

Wat is de meest gemaakte fout bij de aanpak van een cybercrisis?
“Dat de crisis te lang als een incident wordt gezien. Ict-medewerkers denken vaak in het begin dat zij de situatie nog wel aankunnen. Daardoor loopt de crisis verder uit de hand en sta je als organisatie al snel met 20 – 0 achter. Zeker bij een cybercrisis is het belangrijk om snel op te schalen. Dan kan het gebeuren dat je daarna vrij snel weer moet afschalen. Dat is niet erg, want afschalen is gemakkelijker dan verder opschalen als je de situatie onderschat hebt.”

Op welk moment moet je als organisatie zeker gaan opschalen?
“Dat is voor elk bedrijf anders en het is belangrijk om daar vooraf goed over na te denken. Daarbij bepaal je eerst wat je wilt beschermen, bijvoorbeeld de mensen, de omgeving en de bedrijfsmiddelen. Daar richt je je procedures op in. Het wordt vervolgens een crisis wanneer het niet meer binnen deze bestaande procedures op te lossen is of wanneer je als organisatie je reputatie of externe stakeholders dient te beschermen.”

Vervolgens wordt er een crisisteam samengesteld. In welke opzichten is dit team anders dan een regulier crisisteam?
“De basis is hetzelfde. Net als bij een normaal crisisteam zijn er vaste rollen, zoals een logger en een voorzitter. Het verschil is dat je voor bepaalde rollen specifieke kennis nodig hebt. Een voorbeeld daarvan is de rol van crisiscommunicatie. Bij een cybercrisis is de afdeling communicatie vaak ook zelf geraakt. De kanalen waar zij normaal gesproken over communiceren werken vaak niet meer. Dat roept al de vraag op: hoe ga je communiceren? Het tweede probleem is dat de bron bij een cybercrisis in het begin vaak lang onduidelijk is. Ook daar loop je tegenaan als je op een klassieke manier wilt communiceren. En ten derde is de schuldvraag bij een cybercrisis vaak anders dan bij een reguliere crisis. Bij een normale crisis wordt het getroffen bedrijf vaak als slachtoffer gezien. Bij een cybercrisis wordt er al snel gedacht dat het bedrijf de beveiliging niet op orde heeft. Ook daar dien je rekening mee te houden in de communicatie.”

Bij een cybercrisis hebben sommige leden van het crisisteam specifieke kennis nodig

Hoe kun je dit ondervangen?
“Het heeft natuurlijk de voorkeur om communicatieadviseurs in dienst te hebben die ervaring hebben met cybercrises. Maar dat is niet altijd realistisch. Ben je aangewezen op externe communicatieadviseurs die ervaring hebben met cybercrises? Zorg er dan voor dat je goed voorbereid bent. Ga in de koude fase al op zoek naar adviseurs die jou bij een cybercrisis kunnen ondersteunen. Zo voorkom je dat je tijdens een crisis kostbare tijd verliest omdat je nog op zoek moet naar een geschikte adviseur.”

Zijn er meer rollen die tijdens een cybercrisis anders zijn dan bij een reguliere crisis?
“Ja, een cybercrisis vraagt ook om specifieke juridische expertise. Bij een data-lek spelen er bijvoorbeeld al snel privacygevoelige zaken. Een juridisch expert kan goed over voorgenomen acties adviseren. Ook vraagt een cybercrisis natuurlijk veel van de hoogste IT-functionaris van een bedrijf.”

In hoeverre is de aanpak tijdens de crisis anders dan bij een reguliere crisis?
“Bij een cybercrisis is het belangrijk om minimaal twee teams te vormen: een incident respons team en een strategisch crisisteam. Het incident respons team bestaat uit it-specialisten. Zij focussen zich op de bronbestrijding. Het strategische crisisteam richt zich op de gevolgen van de crisis voor het bedrijf. De hoogste IT-functionaris van het getroffen bedrijf zit in beide teams en is de bruggenbouwer. Daarom is het belangrijk dat de vergadertijden van beide teams goed op elkaar afgestemd zijn. Zo kan de it-functionaris voor een goede informatieoverdracht zorgen.”

Wanneer is de crisis voorbij?
“Het is verstandig om ook daar vooraf afspraken over te maken. Een crisis heeft namelijk altijd open einden. Maar op een gegeven moment kunnen die ook prima afgehandeld worden door een projectteam. Tot slot is het belangrijk om daarna goed te evalueren. Wat is er fout gegaan? Wat kunnen we daarvan leren? Een goede evaluatie zorgt ervoor dat je bij een volgende crisis beter voorbereid bent.”

En hoe kan een bedrijf ervoor zorgen dat een cybercrisis hen niet nog een keer overkomt?
"Veel organisaties, die hun beveiliging serieus nemen, laten controleren of ze bestand zijn tegen zo'n aanval. Vaak wordt er dan gedacht aan een penetratietest. Op zich is dat geen slechte gedachte. Maar helaas is dat maar een deel van het antwoord. Het is beter om te kijken naar alle factoren die samen bepalen of je bestand bent tegen zo'n aanval. Dit gaat verder dan alleen de technische maatregelen. Het gaat er ook om wat je medewerkers weten of kunnen. Ook draait het om business continuity, back-up en recovery en managementvaardigheden. Dat pakket als geheel geeft een goed integraal beeld van de Cyber Resilience van het bedrijf."