Cybersecurity: hoe de impact van een cyberaanval beperken

Steeds meer middelgrote tot kleinere kmo’s komen in het vizier van cybercriminelen. De vraag is allang niet meer als maar wel wanneer het bedrijf slachtoffer wordt van een ernstig cybersecurityincident. Uw bedrijf hier beter tegen wapenen? Dat is de doelstelling van het lerend netwerk ‘Cybersecurity: hoe de impact van een cyberaanval beperken'.

“Op vraag van VLAIO (Agentschap Innoveren & Ondernemen) organiseren we komend opnieuw een lerend netwerk”, vertelt Yves Vandenbussche van SBM. “Onze doelstelling? Kmo’s de nodige tools aanreiken om beter te reageren als ze slachtoffer zijn van een cyberaanval. We helpen hen een eigen incident response plan (IRP) en een ransomware playbook op te stellen. Of dat nodig is? Wees daar maar zeker van.

Grote bedrijven komen in het nieuws bij een aanval, maar er zijn ook veel kleinere bedrijven die getroffen worden. Daar horen we niets van in de media, maar ze zijn er wel. Dit lerend netwerk biedt hen de kennis die ze nodig hebben om de impact van een cyberaanval te beperken en tevens de weerbaarheid en alertheid als bedrijf te verhogen.” Docent-experts Nick Pieters, Stijn Boussemaere en Jan Verhulst begeleiden de bedrijven in het traject.

Onze doelstelling? Kmo’s de nodige tools aanreiken om beter te reageren als ze slachtoffer zijn van een cyberaanval.

Hacken voor geld of informatie

De drie experts zijn er van overtuigd dat de nood aan kennis groot is. Want de dreiging? Die is er. “Bedrijven zijn voortdurend online, er wordt verlangd dat ze altijd bereikbaar zijn en medewerkers moeten altijd en overal aan alle data kunnen. Door corona is de digitaliseringsgolf nog versneld. Hierdoor zijn bedrijven nog gevoeliger geworden voor cyberincidenten”, klinkt het bij Nick Pieters. “Daarenboven hebben productiebedrijven die in België willen overleven, sterk moeten inzetten op automatisatie en (verdere) digitalisatie. Deze sterkere digitale afhankelijkheid resulteert in een hogere kwetsbaarheid. En hackers weten dat jammer genoeg ook”, vertelt Stijn Boussemaere. “Als ze erin slagen die systemen te ontregelen, komt de productie in de problemen en stijgt de betalingsbereidheid van het bedrijf. En helaas: hackers doen het vooral voor het geld.” Al spelen er soms ook andere motieven mee, weet Jan Verhulst. “Zoals informatie. We gaan allemaal online, en die informatie wordt bijgehouden. Het is dan ook niet verrassend dat daar misbruik van wordt gemaakt, op allerlei creatieve manieren. We zijn al enkele jaren bezig aan een intense wapenwedloop tussen wat hackers kunnen en hoe we ons ertegen moeten verdedigen.” Op de foto: Nick Pieters.

Een intense wapenwedloop tussen wat hackers kunnen en hoe we ons ertegen moeten verdedigen

Het risico? Voor miljoenen euro’s schade Is elk bedrijf zich bewust van het sluimerend gevaar? “Was het maar zo”, zucht Jan. “Een groot deel van de Belgische bedrijven is niet met cyberveiligheid bezig. Ze beseffen pas echt wat het is, als ze zelf een incident meemaken. Wij willen zoveel mogelijk awareness creëren. Bij een zaakvoerder laten doordringen hoe belangrijk het is? Dat is niet altijd gemakkelijk. Cybersecurity – en veiligheid in het algemeen – lijkt op het eerste gezicht vooral een kostenpost. Een dure kost bovendien. Maar word je als bedrijf het slachtoffer van een aanval? Dan is er potentieel voor miljoenen euro’s schade. Vaak wordt pas dan het belang van een goede voorbereiding – zoals een actueel en uitgetest incident response plan (IRP) - erkend.” Op de foto: Jan Verhulst.

Bij een groot incident is er steun van de CEO en het volledige management.

Mensen zijn de zwakke schakel

De drie experts geloven dat het bewustzijn de laatste jaren gegroeid is, maar er is nog werk aan de winkel. “Een aantal basiscomponenten zijn stilaan standaard aanwezig: een degelijke firewall, een efficiënte antimalware-oplossing en multifactorauthenticatie voor publiek toegankelijke zaken. Het probleem is dat de focus op de technologie ligt”, legt Stijn uit. “Ze kopen iets, zetten het er neer en hopen dat het probleem zo weg is. Dat is maar de start. Wat daarna volgt, is het opleiden van mensen om de tools goed te gebruiken en het uittekenen van processen. Vooral op het vlak van mensen en processen kan er nog veel vooruitgang worden geboekt.” Mensen zijn vaak de zwakke schakel in het systeem. “Maar dat mogen we hen niet aanwrijven”, klinkt het beslist bij Jan. “Ik zie het als de verantwoordelijkheid van het bedrijf, en met uitbreiding van de cybersecurityspecialisten, om te zorgen dat werknemers weten wat ze wel en niet mogen doen. Zij zijn niet met cyberveiligheid bezig, ze zijn bezig met hun werk. In het lerend netwerk benadrukken we hoe belangrijk die awareness van medewerkers is. Een van de belangrijkste aspecten in het IRP is dat laten groeien.” Gesteund worden in de organisatie Het lerend netwerk bestaat uit drie componenten. Op de foto: Stijn Boussemaere.

Nick Pieters gidst deelnemers tijdens de groepssessies langs de verschillende theoretische aspecten. “Tijdens mijn sessies geef ik een introductie over cybersecurity. Ik doe hen nadenken over diverse bedrijfsprocessen en data en zet met hen de eerste stappen richting het incident response plan. Ik zet hen op het goede spoor om zich voor te bereiden voor het vervolgtraject met Stijn en Jan”, legt Nick uit. Elke groepssessie wordt afgewisseld met een individuele sessie. Jan Verhulst begeleidt de dienstenbedrijven, Stijn Boussemaere ontfermt zich over de productie- en maakbedrijven.

Waarom een onderscheid?

“De productiebedrijven vereisen een “iets” andere aanpak dan de dienstenbedrijven”, legt Yves uit. “Op de productievloer staan computers – PLC’s - die op indirecte wijze gekoppeld zijn aan het IT-netwerk van de organisatie. Dat heb je niet bij dienstenbedrijven.” Wat gebeurt er tijdens de coachingsessie? “Ons bezoek is altijd gelinkt aan de voorgaande groepssessie”, vertelt Jan. “Als Nick een van de elementen uit het IRP uitlegt, gaan wij daar met hen in het bedrijf mee aan de slag. Geïnteresseerden mogen zich zeker niet laten afschrikken door het technische. Dat is voor ons niet het belangrijkste tijdens dit lerend netwerk, integendeel. Bij een cyberaanval heb je natuurlijk de technische aspecten, maar de businesskant en de communicatielijnen zijn op dat moment minstens even belangrijk. Wij helpen deelnemers om zich gesteund te voelen in de organisatie. Zij zijn dan wel verantwoordelijk voor IT, ze kunnen niet beslissen of er al dan niet betaald wordt aan hackers. Dat zit in de businesssfeer. Bij een groot incident is er steun van de CEO en het volledige management nodig. We gaan dus niet alleen voor een puur technische oplossing, maar leggen mee de fundamenten voor het grotere geheel.” Dat beaamt Nick. “In de groepssessies zitten niet enkele technische profielen. Voor heel wat aspecten van het incident response plan is dat ook niet nodig.

Waarom ransomware?

Naast het IRP wordt er in de sessies ook gewerkt aan een ransomware playbook. “Ransomware zorgde de voorbije jaren voor de meeste incidenten met de grootste business impact. Medewerkers moeten bewuster leren om te gaan met cybersecurity gevaren en de impact ervan op de bedrijfscontinuïteit. Waarom? In veel gevallen is de mens de zwakste schakel in de ketting. Een foute inschatting kan leiden tot een geslaagde cyberaanval. Daarom is het belangrijk dat we mensen laten nadenken over de gevoelige data waarover het bedrijf beschikt.”

Incident response plan: impact zo laag mogelijk houden

Het incident response plan is een onmisbare “tool”. Maar wat is het eigenlijk? Het beschrijft het proces dat een bedrijf doorloopt wanneer het slachtoffer is van een inbreuk. Nick legt het helder uit: “Dankzij dit plan ben je als bedrijf klaar om in te grijpen als er iets gebeurt en probeer je de impact te verlagen. Het doel? Op een zo efficiënt en correct mogelijke manier reageren. We tekenen de procedures en verschillende stappen uit. Maar we vergeten vooral niet alles wat errond hangt: de beschikbare data, de communicatie, de klanten … We focussen niet alleen op het technische aspect, maar ook op hoe je idealiter reageert en de impact zo laag mogelijk houdt. Reageer je professioneel – gebruikmakend van een IRP - bij een incident? Dan kun je ook sneller weer aan de slag.”

Uitstekend voorbeeld van emotiemanagement

De gevolgen van een cyberaanval kunnen gigantisch zijn. “Alles hangt af van het soort aanval”, weet Stijn. “Er zijn helaas voorbeelden in Vlaanderen waar de bedrijvigheid voor weken stilgelegd werd. Of het nu gaat over een dienstverlenend bedrijf of een productiebedrijf, het heeft een grote impact. Niet alleen op financieel vlak, maar op de hele bedrijfsvoering. De reputatie loopt schade op en potentiële klanten dreigen hun vertrouwen te verliezen. Maakte je werk van een goede bescherming? Dan is de kans gelukkig groot dat je het grootste deel van je data kunt recupereren en zo de schade beperken.” Het incident response plan is tegelijk ook een uitstekend voorbeeld van emotiemanagement. “Heb je geen dergelijk plan? Dan lopen alle medewerkers rond als kippen zonder kop. Iedereen is emotioneel. Er wordt geroepen en getierd”, glimlacht Jan. “Daarom stellen wij, samen met de deelnemers, een plan (IRP) op waardoor iedereen erin slaagt zijn kalmte te bewaren en zijn job kan doen. Je zult zien, dit plan is van onschatbare waarde als je “huis in brand staat”.

Om die groepsdynamiek ook na het lerend netwerk te behouden, bieden we vanuit SBM een clubformule – IT Business Circle - aan. Binnen deze clubformule houden we mensen continu op de hoogte van evoluties binnen de diverse domeinen van cybersecurity.” Het incident response plan en ransomware playbook zijn bovendien levende verhalen. “Op het einde van de rit hebben deelnemers deze twee deliverables, maar die moeten ze wel actueel houden. Deelnemen aan onze clubformule zorgt ervoor dat het niet opnieuw losse eilanden worden, maar dat cursisten met elkaar blijven spreken en informatie uitwisselen.” Een van de heikele punten binnen cybersecurity is het bedrag dat eraan gespendeerd mag worden. “Een van dé gespreksonderwerpen onder deelnemers”, lacht Yves. “Hoe kun je aantonen aan je management dat je extra budget nodig hebt? Alleen al voor de tips die je van elkaar krijgt, is het interessant om te komen.” Op de foto: Yves Vandenbussche.

Levende verhalen

Een belangrijk aspect van dit lerend netwerk is de groepsdynamiek. “Bij de start vragen we om een geheimhoudingsovereenkomst te tekenen. Dat zorgt ervoor dat deelnemers de vrijheid voelen om ongeremd met elkaar te praten”, legt Yves uit. “De groepsdynamiek die in de sessies ontstaat is een belangrijk gegeven. Iedereen komt gelijkaardige problemen tegen en het is heel fijn om daar eens met anderen over te spreken.

Digitale dokters

Nick vergelijkt hen weleens met digitale dokters. “In IT en zeker in IT-beveiliging moet je constant bijscholen en opleidingen volgen. Net zoals een dokter. Een specialist die twintig jaar geleden afstudeerde, moet zijn kennis constant bijschaven. Doet hij dat niet? Dan zouden heel wat nieuwe technologieën en operaties voor hem nog altijd niet mogelijk zijn. Dat geldt ook in ons domein.” De andere experts beamen dat. “Als je niet continu bijschoolt, word je simpelweg irrelevant in de sector”, stelt Stijn. Redenen genoeg dus om aan te sluiten bij het lerend netwerk. “Er komt bovendien nog meer aan bij SBM. Zo zijn we bezig met een blended learning rond weerbaarheid en awareness voor een brede doelgroep. Cybersecurity is een belangrijk topic waar we ook de komende jaren op zullen focussen”, geeft Yves nog mee

Tips van de experts

- Stijn Boussemaere: Maak medewerkers bewust van cybersecuritygevaren en betrek hen actief in het beschermingsproces.

- Nick Pieters: Stilstaan is achteruitgaan. Blijf bij, blijf zoeken, sta nooit stil.

- Jan Verhulst: Betrek altijd de businesskant. Zorg dat de communicatielijnen met het management openliggen en laat je goed omringen.

- Yves Vandenbussche: Evolueren van brandjes blussen naar structurele oplossingen zoeken? Daar heb je een opleiding voor nodig.