Cybercriminaliteit: eerste hulp bij cyberincidenten

“Het is zaterdag, half acht. Uw onderneming is in weekendmodus. Plotseling verliest u de controle over uw netwerk en computersystemen. Cybercriminelen hebben de hand kunnen leggen op een beheerdersaccount. Uw onderneming is gehackt.” Zo begint Catherine Van De Heyning (UAntwerpen en Artes) de eerste cybertalk van de Cyber Security Coalition in samenwerking met het VBO en Agoria.


Anneleen Dammekens, COMPETENTIECENTRUM RECHT & ONDERNEMING
13 juli 2020

De actualiteit maakt steeds opnieuw pijnlijk duidelijk dat cybercriminaliteit een realiteit is waar elke onderneming – klein, middelgroot of groot, al dan niet beursgenoteerd – rekening mee moet houden. En zoals zo vaak, geldt: wie goed voorbereid is, heeft een streepje voor.

De zwakste schakel?
De voorbereiding op een hack of een ander cyberincident is een kwestie van technologie, processen en mensen. Technologie om incidenten te vermijden, te detecteren en te beperken. Processen helpen om controle en overzicht te behouden.

Mensen (management, personeel, cliënteel, leveranciers) worden vaak afgeschilderd als de zwakste schakel in het kader van cyberveiligheid. En toegegeven, vaak ligt er een menselijke handeling aan de basis van een geslaagde hack. Maar een goed geïnformeerd persoon kan ook het verschil maken in de positieve zin. Zorg er daarom voor dat elke persoon op de hoogte is van hoe hij of zij persoonlijk bijdraagt aan de cyberveiligheid van uw onderneming. Benadruk het belang van sterke wachtwoorden, of nog beter two-factor authentication, informeer zeker ook over phishing en zorg ervoor dater geen terughoudendheid is om anomalieën te melden.

Een incidentresponsplan
Een hack komt altijd onverwacht en op een slecht moment. Snel en gepast reageren terwijl de paniek toeslaat, kan u alleen als u de stappen kan volgen van een vooraf uitgewerkt plan.  De hoofdlijnen van zo’n incidentresponsplan kunnen als volgt samengevat worden:

  • Identificeer de activiteiten en middelen die u wil beschermen en de mogelijke bedreigingen;
  • Breng in kaart met welke schade uw onderneming rekening moet houden: zowel de schade die uw onderneming zelf kan lijden (het stilvallen van activiteiten, het verlies van informatie, reputatie …) als de schade die derden kunnen oplopen (aansprakelijkheden) is hier van belang;
  • Ga na of er een meldplicht op uw onderneming rust. De Algemene Verordening Gegevensbescherming (GDPR) en de wetgeving inzake Netwerk- en Informatiebeveiliging (NIS) verplichten in bepaalde gevallen om een cyberincident zo snel mogelijk te melden aan de autoriteiten.
  • Maak een lijst van de verantwoordelijkheden in het kader van een incident en wijs die verantwoordelijkheden toe aan concrete personen. Zij zullen uw incidentresponseteam zijn in geval van een cyberaanval;
  • Identificeer en contacteer de externe experts wiens hulp u in het kader van een cyberincident nodig zal hebben. Denk daarbij niet alleen aan technische experts, maar bijvoorbeeld ook aan juridische experts;
  • Bereid een communicatiestrategie voor, zowel naar interne belanghebbenden, als naar overheden, klanten en media toe;
  • Een cyberverzekering om het restrisico te verzekeren is steeds vaker geen overbodige luxe.

Tot slot: een goed plan is een uitgetest plan!

Hebt u inspiratie nodig voor het incidentresponsplan van uw onderneming? Heel wat informatie is gratis beschikbaar op het internet. Neem bijvoorbeeld een kijkje in de Gids voor Incidentbeheer van de Cyber Security Coalition, in het Incident handler’s handbook van Sans Institute of in de Contingency Planning Guide van NIST.

Gehackt, wat nu?
Als uw onderneming daadwerkelijk gehackt wordt, dan activeert u uw incidentresponsplan zo snel mogelijk. De eerste stappen zullen er altijd in bestaan om uw incidentresponsteam bijeen te roepen en om een zo goed mogelijk beeld te krijgen van wat er aan de hand is. De volgende stap bestaat erin om het incident onder controle te krijgen. Tot slot kan de eliminatie van het incident en de sanering van uw systemen worden opgestart.

Betalen of niet betalen?
Een van de courantste cyberincidenten vandaag is ransomware. Een van de meest gestelde vragen in het kader van de aanpak van een cyberincident is dan ook of een onderneming het gevraagde losgeld moet betalen of niet. Zoals reeds aangegeven in een eerder artikel hierover, is het niet aangeraden om het losgeld te betalen. U bent immers niet 100% zeker dat u uw informatie terugkrijgt en u sponsort bovendien de cybercriminelen voor hun volgende aanval. Het is dus beter om uw bestanden te herstellen op basis van een back-up of met een ontcijferingstool. In sommige gevallen zal echter geen van deze oplossingen soelaas kunnen bieden.

Onze partners

Actiedomeinen

Een gezond ondernemingsklimaat is essentieel voor een gezonde economie en duurzame groei in België. Als VBO nemen we de verantwoordelijkheid om de motor van onze welvaartsstaat op kruissnelheid te houden. Om dat te bereiken, focussen we op 18 actiedomeinen die bijdragen tot een duurzame groei.


VBO-NIEUWSBRIEF IMPACT

Schrijf u nu in en ontvang wekelijks de laatste artikelen direct in uw mailbox.