Whitepaper · Deze blauwdruk geeft bestuurders van grotere organisaties alle praktische handvatten...
Transcript of Whitepaper · Deze blauwdruk geeft bestuurders van grotere organisaties alle praktische handvatten...
Blauwdruk voor Cyber Resilience 1 oktober 2020 © Northwave Group bv
Whitepaper
Blauwdruk voor Cyber Resilience
Het lukt cybercriminelen nog steeds elke dag om bedrijven binnen te dringen,
plat te leggen, informatie te stelen en grote sommen geld afhandig te maken.
Deze blauwdruk geeft bestuurders van grotere organisaties alle praktische
handvatten om adequate Cyber Resilience te ontwikkelen en op peil te houden.
Het stuk is tot stand gekomen op basis van een groot aantal incident evaluaties
van het Northwave Computer Emergency Response Team.
2/14
Blauwdruk voor Cyber Resilience 1 oktober 2020 © Northwave Group bv
1. CONTEXT
Onze samenleving heeft een digitale hartslag. Elke organisatie maakt deel uit van een ecosysteem van
klanten, partners, leveranciers en toezichthouders. Dat ecosysteem vertoont allerlei afhankelijkheden,
integraties en real-time datastromen. De onderlinge afhankelijkheden zorgen ervoor dat een
verstoring binnen een bedrijfsproces van één speler kan leiden tot cascade-effecten in de hele
leveringsketen.
Het lukt cybercriminelen nog steeds elke dag om bedrijven binnen te dringen, plat te leggen, hun
informatie te stelen en grote sommen geld afhandig te maken. Bij Northwave ervaren wij dat uit
eerste hand, omdat we met ons Computer Emergency Response Team dagelijks organisaties bijstaan
die digitaal worden aangevallen. Gedupeerde organisaties worden in hun voortbestaan bedreigd
doordat de digitale informatievoorziening over hun primaire bedrijfsprocessen niet meer normaal
werkt.
Ransomware, CEO-fraude, hacks, diefstal van intellectueel eigendom, en datalekken; het is dagelijks
nieuws. Wat de krant haalt is slechts het topje van de ijsberg. Gelukkig zien we onder bestuurders het
bewustzijn toenemen dat de informatievoorziening van hun organisaties kwetsbaar is.
Elke organisatie zal zich doorlopend rekenschap willen geven van de risico’s die haar
informatievoorziening loopt, om beleid te ontwikkelen om die risico’s te managen en de maatregelen
te treffen die deze risico’s hanteerbaar houden. Dit is een doorlopend, dynamisch proces, want de
buitenwereld verandert voortdurend en de organisatie beweegt zelf ook.
Iedere organisatie heeft daarmee een vraagstuk dat gaat over ‘resilience’, oftewel weerbaarheid. Hoe
bereiden we ons voor op een cybercrisis - die misschien nooit komt. Zijn we klaar om een incident aan
te pakken voordat het escaleert? Kunnen we een cybercrisis het hoofd bieden als het incident uit de
hand loopt? En minstens zo belangrijk: zijn we klaar om daarna de bedrijfsprocessen te herstellen en
met minimale kleerscheuren door te kunnen?
Het gaat uiteindelijk over het voortbestaan van uw organisatie. Het is daarom de verantwoordelijkheid
van iedereen in uw bedrijf om steeds slim samen te blijven werken aan duurzame weerbaarheid en
veerkracht. Dit whitepaper biedt u handvatten op basis van bewezen best practices, effectieve
methoden en technieken. En niet op de laatste plaats: op basis van heel veel kennis en ervaring,
opgedaan door ons Computer Emergency Response Team dat als ‘brandweer’ wordt ingeschakeld bij
de grootste en meest complexe cybercrises.
3/14
Blauwdruk voor Cyber Resilience 1 oktober 2020 © Northwave Group bv
2. WAT IS HET ACTUELE DREIGINGSBEELD?
Geen bedrijf staat op zichzelf. Alles is met elkaar verbonden. Organisaties worden doorlopend
geconfronteerd met verrassingen, zoals onverwachte incidenten en (keten)effecten. Daarom is het van
groot belang om regelmatig een precieze inventarisatie te maken van uw organisatie-specifieke
risico’s. Dat voedt een gericht plan om die risico’s te mitigeren.
Momenteel zijn er drie grote cyberdreigingen waar elk bedrijf serieus rekening mee moet houden. U
leest er vast regelmatig over. Het gaat om Ransomware, Business E-mail Compromise en de Insider
Threat (de aanval van binnenuit).
1. Ransomware of gijzelsoftware is kwaadaardige software die de systemen of bestanden van een slachtoffer versleutelt, waarna de sleutel tegen betaling wordt aangeboden. Ransomware kan leiden tot significante impact op de continuïteit van uw bedrijfsvoering. De financiële gevolgen gaan daarmee vaak veel verder dan de betaling van het losgeld.
2. Business Email Compromise is een fraudevorm waarin de aanvaller het e-mailverkeer tussen
twee partijen manipuleert om zo frauduleuze transacties te bewerkstelligen. Dit kan leiden tot
significante financiële impact en reputatieschade voor een organisatie.
3. ‘Insider’ threats is een verzamelcategorie incidenten, veroorzaakt door iemand met legitieme
toegang tot de omgeving. Dat de persoon al binnen is, maakt de verdediging lastiger.
Kwaadwillende insiders komen relatief weinig voor, maar kunnen een stevige impact hebben
op de continuïteit van de bedrijfsvoering, de reputatie en/of de financiën. Het motief is vaak
wrok of woede, maar kan ook financieel zijn. Daarnaast komt het voor dat insiders onbedoeld
schade aanrichten.
Risico analyse
Deze dreigingen vormen een uitstekend startpunt voor een risicoanalyse van uw organisatie. Welke
bedrijfsprocessen staan op het spel als u hierdoor geraakt wordt? Waar loopt intellectueel eigendom
gevaar? Hoe zit het met privacy? Bent u compliant aan wet- en regelgeving, zoals AVG? Wat is de
financiële schade bij uitval of inbraak? Wat gebeurt er als leverancier x de levering staakt vanwege zo’n
incident?
Het mag duidelijk zijn dat dit veel verder gaat dan alleen kijken of uw computersystemen veilig zijn en
of de Service Level Agreements met uw service providers voldoen. De dimensies ‘Bytes’ (technologie),
‘Behavior’ (gedrag, de menselijke factor) en ‘Business’ (de bedrijfsprocessen) worden interdisciplinair
tegen het licht gehouden, omdat zij gezamenlijk de mate van uw Cyber Resilience bepalen.
4/14
Blauwdruk voor Cyber Resilience 1 oktober 2020 © Northwave Group bv
3. WAT IS CYBER RESILIENCE?
Het beperken van risico's en het verkleinen van hun impact vraagt om structurele grip op de cyber
resilience van de organisatie. Het NCSC leverde bij het Cybersecurity Beeld in 2019 en in 2020
onomwonden het advies aan de Nederlandse publieke en private sector om meer te investeren in
weerbaarheid tegen digitale risico’s. Maar wat is die weerbaarheid of resilience eigenlijk? Het NCSC
zegt het als volgt:
Het vermogen om cyberincidenten te voorkomen en wanneer cyberincidenten zich hebben
voorgedaan deze te ontdekken, schade te beperken en herstel eenvoudiger te maken.
Digitale risico‘s zijn dan de kans dat een cyberincident zich voordoet en de impact daarvan, beide in
relatie tot het niveau van de actuele weerbaarheid. Cyber Resilience optimaliseert dus de
beschikbaarheid, de veiligheid en de integriteit van de informatievoorziening en van de informatie zelf.
Het is een dynamisch proces dat meebeweegt met de organisatie en de wereld daarbuiten.
In de visie van Northwave berust Cyber Resilience op een drietal ‘capabilities’ die kwalitatief worden
aangestuurd vanuit een ISMS (Information Security Management System).
Dit plaatje toont het beleid, de principes en de controles die met elkaar robuuste Cyber Resilience tot
stand brengen. Links, de activiteiten die de weerbaarheid vergroten (‘Blauwe Fase’) en rechts, de
activiteiten die na het optreden van het incident of de crisis de veerkracht bepalen (‘Rode Fase’).
5/14
Blauwdruk voor Cyber Resilience 1 oktober 2020 © Northwave Group bv
4. WAT IS UW RESILIENCE DOELSTELLING?
Adequate veerkracht is voor elk bedrijf iets anders. Het is wat ons betreft zaak daarbij praktisch en
pragmatisch te werk te gaan. Niet alles hoeft en niet alles kan. De ene organisatie is het meest gebaat
bij eenvoudige, handelingsgerichte plannen die snel zijn uit te voeren, de andere organisatie heeft
uitvoerige uitleg en gedetailleerde onderbouwing nodig.
Cyber Resilience is in ieder geval altijd een operationele state-of-mind. De wil en het kunnen om
steeds adequate bescherming van de informatievoorziening en de informatie ten behoeve van de
bedrijfsvoering te realiseren. Daarom omarmen we ook zo nadrukkelijk de principes van
kwaliteitsmanagement in onze aanpak en richten we ons op het scherp houden van de operationele
prestaties.
4.1 Interdisciplinaire aanpak
Bij het samenstellen van de maatregelen-mix zullen techniek (‘Bytes’), de menselijke factor (‘Behavior’)
en bedrijfsprocessen (‘Business’) in hun samenhang worden beoordeeld. Goede business practices en
effectief risicobeheer zijn het resultaat. De mate van Cyber Resilience hangt af van de totale
weerbaarheid en veerkracht van alle betrokken interne actoren, afdelingen, fabrieken, sites en externe
organisaties (waaronder partners, leveranciers, enz.).
Northwave heeft op basis van beproefde modellen en standaarden1 , maar ook haar eigen expertise en
ervaringen met cybercrisisbestrijding, een praktisch bruikbare blauwdruk ontwikkeld. Deze blauwdruk
richt zich op het duurzaam verhogen van de Cyber Resilience van organisaties in allerlei soorten en
maten, van kleinbedrijf tot groot-middenbedrijf, op basis van de specifieke risico’s die zij lopen.
4.2 Governance
Een effectieve Cyber Resilience aanpak zal zodoende altijd de algemene bedrijfsstrategie verbinden
met inspanningen voor bedrijfscontinuïteit, incidentbestrijding en crisisbeheersing. De rol van het
bestuur van de organisatie is daarom van groot belang. Cyber Resilience vraagt namelijk om gerichte
betrokkenheid van de hele organisatie. Dat vraagt leiderschap en heldere keuzes over sturing.
We krijgen vaak deze vraag over het creëren van betrokkenheid: “Hoe hangen we dit thema nu goed
op in de organisatie?” Uitgaande van onafhankelijkheid en kwaliteitsmanagement is het antwoord niet
zo lastig. Borg in ‘de ophanging’ van informatiebeveiligingsmanagement die onafhankelijkheid. Veel
organisaties lieten deze verantwoordelijkheid aanvankelijk (graag) over aan de CIO of het Hoofd IT.
Steeds vaker kiest men nu voor een direct aan het bestuur of board rapporterende CISO.
1 ISMS, ISO 27001, ISO 22316:2017, NIST, BS31111.
6/14
Blauwdruk voor Cyber Resilience 1 oktober 2020 © Northwave Group bv
5. BLAUWDRUK VOOR RESILIENCE
Een effectieve Cyber Resilience aanpak is dus gericht op het
projectmatig opbouwen of versterken van de drie
capabilities van uw organisatie; Cyber Security Incident
Response (CSIRT), Crisis Management (CM) en Business
Continuity Management (BCM).
De inhoud van deze drie capabilities wordt aangestuurd en
op het juiste peil gehouden vanuit een PDCA cyclus,
vastgelegd in een Information Security Management System
(ISMS).
We beschouwen die vier onderdelen van deze blauwdruk hierna eens wat nader. Daarin treft u
behalve een toelichting op de toegevoegde waarde van elk onderdeel, ook concrete handvatten voor
de inrichting van die capabilities.
5.1. Security Management System
Uw vermogen om te kwaliteit van informatiebeveiliging en resilience te beheersen.
Wij verwachten dat in supply chains certificering van informatiebeveiliging een steeds bepalender rol
zal spelen. Organisaties eisen van elkaar dat ze in control zijn. Niemand wil de zwakste schakel zijn, dus
is certificering ineens een business critical factor geworden. Ook de GDPR stelt duidelijke eisen;
organisatorische en technische maatregelen ter bescherming van persoonsgegevens dienen geborgd
te zijn door een planmatig en gestructureerde wijze om deze maatregelen adequaat te houden.
Daarnaast zullen steeds meer cyberverzekeringen deze norm als eis stellen voor dekking en/of de
hoogte van eigen risico. Daarom is het instellen van een Information Security Management Systeem
voor de meeste organisatie geen keuze meer maar een voorwaarde om zaken te doen.
5.1.1. ISO27001: papieren tijger of wakkere waakhond?
Wij adviseren zonder uitzondering om een ISMS te bouwen op basis van de ISO27001. Dergelijke
normeringen staan niet onverdeeld positief te boek. Veel woorden, weinig wol, de certificering van het
betonnen zwemvest, papieren tijger. Het zijn kwalificaties die u vast wel kent.
Er is een andere kant aan die medaille. Wij zien in de praktijk dat de ISO 27001 norm, mits pragmatisch
en deskundig ingezet, snel een serieuze bijdrage levert aan de daadwerkelijke veiligheidsniveaus in een
organisatie.
7/14
Blauwdruk voor Cyber Resilience 1 oktober 2020 © Northwave Group bv
In een onderzoek van IT Governance (2018) blijkt dat 70% van de ISO27001 gecertificeerde bedrijven
een betere beveiliging noemt als belangrijkse voordeel van de certificering. 11% noemt reputatie en
8% noemt concurrentievoordeel als belangrijkste voordeel. Bijna 60% noemt het kunnen voldoen aan
de AVG (GDPR) de belangrijkste motivatie voor het nastreven van de certificering.
In onze ervaring zien we een goed werkend ISMS de meeste waarde leveren wanneer het leidt tot een
geoliede dagdagelijkse operatie.
Een ISMS houdt zelfstandig geen Ransomware tegen. Het mechanisme sluit wel veel van de
toevalligheden en slordigheden uit die er in belangrijke mate voor zorgen dat bedrijven slachtoffer
worden van een hack.
5.1.2. Organisatie
Het ISMS is erop gericht om de informatiebeveiliging van de organisatie gestructureerd duurzaam
adequaat te houden. Om de weerbaarheid en veerkracht van de organisatie op het gewenste niveau te
brengen en te houden, is een planmatige en corrigerende aanpak nodig van alle activiteiten op alle
niveaus van Cyber Resilience: strategisch, operationeel en tactisch. De mitigerende maatregelen
worden in samenhang ingericht en gemanaged volgens de PDCA-cyclus. Incidenten, maar ook
verbeteringsprojecten worden uniform afgehandeld.
5.1.3. Mensen
Veel organisaties worstelen met het beleggen van de verantwoordelijkheid voor informatiebeveiliging.
Security Officers aannemen? Dit bij IT onderbrengen? Uitbesteden? Het vraagstuk is vaak het beste
vanuit capaciteit te beantwoorden. Hebben we de juiste mensen aan boord om dit goed te doen?
Hoeveel verschillende expertisegebieden hebben we dan nodig? Hoeveel werk is het om dit goed te
kunnen? Vanuit dat beeld ontstaan elementaire keuzes over aannamebeleid, training en uitbesteden.
We gaan hier dieper op in in Hoofdstuk 6.
5.1.4. Technologie
Een ISMS is om te beginnen een systematiek, niet per se ook een systeem in software matige zin. Het
heeft echter grote voordelen om wel een dergelijk platform te gebruiken als tooling voor uw security
officers. Er is van alles te koop. Van simpele spreadsheet formats tot complete GRC omgevingen. Wij
standaardiseren binnen Northwave graag op het platform van Axxemble (Base27). Een pragmatisch
opgezette SAAS omgeving (out of band dus) waarin behalve de ISO27001 en GDPR compliance ook een
aantal andere normen kunnen worden aangestuurd die voor veel organisaties belangrijk zijn. Made in
Holland door mensen die het vak van informatiebeveiliging heel goed begrijpen.
8/14
Blauwdruk voor Cyber Resilience 1 oktober 2020 © Northwave Group bv
5.2 Cyber Security Incident Response
Uw vermogen om incidenten zo snel mogelijk waar te nemen en er adequaat op te reageren.
In feite wordt in deze capability Cyber Resilience het meest concreet zichtbaar. De belangrijkste
doelstelling is het reduceren van de tijd die nodig is om incidenten waar te nemen en vervolgens van
de tijd om ze op te lossen. Op het scheivlak tussen ‘Rode’ en ‘Blauwe Fase’ draait het om Intelligente
Cyber Security Operations voor het voorkomen, detecteren en bestrijden van incidenten. Maar ook
van het handhaven van de juiste vaardigheden bij medewerkers om informatie effectief te
beschermen en snel en doortastend te reageren bij een (dreigend) incident. Tenslotte zijn het
uiteindelijk ‘uw’ mensen die het opnemen tegen de actoren (ook mensen) die uw bedrijf bedreigen.
5.2.1 Organisatie
Door alle activiteiten consistent te organiseren, ontstaat er rust en samenhang die ten goede komt aan
de kwaliteit. Zeker in geval van een crisis is dit van het hoogste belang. De afhandeling van events en
incidenten voldoet dan aan compliance- en security-regels en escalaties. Rapportages gebeuren
uniform. Playbooks en Use Cases helpen bij de probleemoplossing en vereenvoudigen de
communicatie. Iedereen spreekt daarmee dezelfde ‘taal’.
5.2.2 Mensen
We werken voortdurend aan de vaardigheden van mensen met doorlopende trainingsprogramma’s
gericht op cyberveilig gedrag. Door daarin steeds de actuele dreigingen te betrekken, blijven deze
programma’s effectief, actueel en relevant voor alle medewerkers. Als u in de ‘Rode Fase’ bent beland,
is het belangrijk om snel en daadkrachtig te handelen.
Dit kan de inzet vereisen van hooggekwalificeerde forensische experts, specialisten in ‘offensieve
beveiliging’ en crisismanagers. Zo’n CERT is van meerwaarde bij grote cyberincidenten, maar ook bij
digitale fraudeonderzoeken.
Door in de ’Blauwe Fase’ afspraken te maken over het indien nodig kunnen beschikken over het CERT
en door de mensen uit het CERT mee te laten draaien bij oefeningen en simulaties, bent u op
voorsprong in geval van een incident. Immers, er ligt dan altijd een door-geëxerceerd en actueel
Response Plan. Bovendien is er minder tijd nodig voor de eerste triage van het incident en minder tijd
voor deployment van het ‘team on site’.
9/14
Blauwdruk voor Cyber Resilience 1 oktober 2020 © Northwave Group bv
5.2.3 Technologie
Detectie en response laten zich uiteraard heel goed ondersteunen door technologie. Centraal staat
daarin het doorlopend en in real-time monitoren van end-points, applicaties en fysieke systemen,
kijken wat zich op het Dark Web afspeelt, patronen herkennen en afwijkingen signaleren. Dit gebeurt
vanuit een zogenaamd Security Operations Centre (SOC). Hierin speelt een SIEM (Security Information
& Event Management) platform een belangrijke rol. Voorbeelden daarvan zijn onder andere
LogRhythm, Qradar en het Cloudnative Azure Sentinel.
Het proces is zoveel mogelijk geautomatiseerd, maar menselijke beoordeling blijft cruciaal. In het SOC
zijn analisten paraat om incidenten te beoordelen en oplossingen te formuleren. Op basis van Use
Cases en Playbooks worden events en incidenten geïdentificeerd en geprotocolleerd afgehandeld. De
activiteiten worden vastgelegd voor compliance-doeleinden, maar ook om de effectiviteit te meten en
om verbeteringsmogelijkheden te rapporteren (PDCA-cyclus).
5.3 Crisis Management
Uw vermogen om het initiatief te blijven houden tijdens een crisis.
Gedurende de eerste 24 uur van een crisis is de organisatie het meest kwetsbaar. Juist daarom is het
van groot belang dat men geen overhaaste beslissingen neemt of ondoordachte dingen doet of zegt.
Het is essentieel dat uw organisatie hierop is voorbereid.
Zowel voor als na een crisis is het belangrijk om strategisch om te gaan met risico’s. Tijdens de crisis is
het echter van belang om niet in risico’s, maar juist in scenario’s te denken, in ketens van mogelijke
gebeurtenissen. Elk scenario blijft een reële optie tot het tegendeel bewezen is.
5.3.1 Organisatie
Het managen van een cybercrisis is ingewikkelder dan het managen van een conventionele fysieke
crisis, omdat bij een cybercrisis vaak meerdere scenario’s reëel zijn. Bovendien zijn cybercrises over
het algemeen minder zichtbaar. Er is nergens rook. Kwesties die uniek zijn voor inbreuken op de
informatiebeveiliging, zoals de mogelijke toegang tot persoonlijk identificeerbare informatie of
intellectueel eigendom maken ook dat cyber om een heel specifieke aanpak vraagt.
Over het algemeen worden op drie niveaus Crisis Teams geformeerd:
1. Het Crisis Management Team (‘Gold’) - C-Level - Strategisch
2. Incident Response Team (‘Silver’) - Technisch/Tactisch
3. Business Team (‘Bronze’) - Operationeel
10/14
Blauwdruk voor Cyber Resilience 1 oktober 2020 © Northwave Group bv
Deze teams hebben vaste afgevaardigden in de bovenliggende teams. Het simuleren van crises, het
trainen van de teams en het testen van plannen en communicatieplatforms maken een belangrijk deel
uit van de voorbereidingen op een eventuele cybercrisis. Er is een aantal belangrijke aandachtspunten.
Zoals wie verslag legt van alles wat er gebeurt. Dit is een cruciale functie die belegd moet worden bij
mensen met de juiste competenties. Goede verslaglegging is nodig om te leren van het gebeurde,
maar ook vanuit compliance-oogpunt en wellicht voor juridische onderbouwing.
5.3.2 Mensen
Een ander belangrijk punt is teambuilding. Het Crisisteam moet elkaar in de ‘Blauwe Fase’ al hebben
leren kennen om in de ‘Rode Fase’, als het spannend is, goed samen te werken. Verder moet er
tegenspraak in het team zijn georganiseerd om tunnelvisie te voorkomen.
Externe communicatie is een van de allerbelangrijkste aspecten van een crisissituatie. Met
crisiscommunicatie valt of staat de reputatie van een organisatie.
Het is een strategisch instrument om specifieke doelstellingen te realiseren. Denk aan klantbehoud,
beschermen van beurswaarde, pro-actief informeren van pers. Social media spelen een centrale rol.
Elke smartphone-gebruiker ter wereld heeft de mogelijkheid om informatie te verspreiden. Die kan
relevant of fake zijn, positief of negatief. Ook het gebruik van social media in een crisissituatie moet
worden geoefend om erachter te komen welk kanaal in uw geval het meest effectief is. Als u daar
tijdens een daadwerkelijke crisissituatie achter moet komen, bent u te laat.
5.3.3 Technologie
Om voorbereid te zijn op het eventueel uitvallen van e-mail en ter ondersteuning van het Crisis
Management Team richten wij in de ‘Blauwe Fase’ alvast een out of band platform in waarmee
geoefend wordt. Zo’n platform ondersteunt en automatiseert de processen voor communicatie en
collaboratie rondom crisismanagement. Denk aan logging van besprekingen, besluitvorming,
taakbeheer, e-mail, alerting en agendabeheer.
Wij hebben erg goede ervaringen met het CrisisSuite platform van Parcival; een Nederlands bedrijf,
gespecialiseerd in crisiscommunicatie. Het is een compleet SAAS platform dat alle onderdelen van het
beheersen van een crisis uitstekend faciliteert.
Zeker in een crisis is het van belang om te kunnen vertrouwen op de beschikbaarheid van alle in de
voorbereiding gemaakte plannen. Maar ook het hebben van een veilige plek voor het loggen van de
besluiten en feiten, het veilig kunnen communiceren met alle leden van crisis- en oplosteams en het
adequaat evalueren heeft veel baat bij het beschikbaar hebben van een out of band crisismanagement
tool. Een zogenaamd ‘single point of truth’ is essentieel.
11/14
Blauwdruk voor Cyber Resilience 1 oktober 2020 © Northwave Group bv
Een groot voordeel is ook dat het zich leent voor oefeningen en dat evaluaties daarvan meteen in de
plannen en processen terecht komen. De informatie uit het platform helpt na de crisis om vast te
stellen wat wanneer op basis van welke informatie is gezegd, gedaan en besloten. Dit helpt om te
leren van de crisis, maar ook om compliance aan te tonen bij eventuele juridische procedures.
Vanuit de uitgebreide ervaring met digitaal forensisch onderzoek en CERT-incidentbestrijding helpen
we u vast te stellen welke informatie u dient te verzamelen om ten tijde van een crisis over de juiste
forensische informatie te beschikken. Forensic readiness is essentieel, want zonder data staat u op
grote achterstand bij het bezweren van een crisis en het vinden van de oorzaken.
5.4 Business Continuity Management (BCM)
Uw vermogen om bij een crisis uw vitale bedrijfsprocessen te continueren.
Business Continuity Management (BCM) biedt de methoden en technieken om het bestaansrecht van
de organisatie veilig te stellen, door risico’s gestructureerd in beeld te brengen, de te nemen
maatregelen te prioriteren en budgetten te bepalen. Dat raakt vooral de voorbereidingsfase en daarna
de recovery fase.
BCM kan succesvol zijn als alle plannen, op elk niveau en in elke fase worden gecoördineerd, gedeeld
en verbonden. Daar is het ISMS voor. Een goede planning is essentieel, maar de praktijk zal altijd
verrassen. Men zegt wel ‘Geen enkel plan overleeft het eerste schot’. Het is dus de kunst een rode
draad te schetsen, met ruimte voor flexibiliteit en handelingsvrijheid. Gedetailleerde plannen en
draaiboeken werken contraproductief, omdat ze nooit recht kunnen doen aan de actuele crisissituatie.
De organisatie moet onder hoge druk in staat zijn te handelen naar eigen inzicht en op basis van eigen
kennis. Een onderneming met een cultuur waarin faalangst heerst, zal het juist daarom in een crisis
minder goed doen. Richt in elk geval een proces in waarmee zowel plan, maatregelen als
besluitvorming en communicatie uitvoerig geoefend en getest worden. Op deze wijze bereidt u zich
voor op de dynamiek van een crisis en bevordert u de samenwerking binnen teams.
Bovendien heeft u meer zekerheid dat u ook echt kunt rekenen op de systemen waar u op rekent.
Eenvoudiger gezegd: maak niet alleen een back-up, zet deze ook veilig weg en test regelmatig of het
werkt als u een back-up terug zet. Dat creëert zelfvertrouwen en vergroot de slagkracht als het er om
gaat.
12/14
Blauwdruk voor Cyber Resilience 1 oktober 2020 © Northwave Group bv
6. WAT IS DE BALANS TUSSEN ZELF DOEN EN UITBESTEDEN?
Cyber Resilience en daarbinnen cybersecurity zijn uitermate complexe domeinen die bovendien
voortdurend veranderen. Het is voor de meeste organisaties nauwelijks meer te doen om alle
ontwikkelingen in de technologie, de markt en het dreigingslandschap bij te houden. Bovendien is er
een veelheid aan verschillende expertises nodig en zijn de mensen met ervaring uitermate schaars en
duur. In het geval van Cyber Resilience is uitbesteden onontkoombaar.
Sommige organisaties outsourcen deeltaken, bijvoorbeeld het SOC of het opzetten en certificering van
een ISMS, andere vertrouwen het opzetten en uitvoeren van alle aspecten van Cyber Resilience over
aan de Cyber Security Service Provider.
Outsourcing heeft nog een voordeel: ‘vreemde ogen dwingen’. Door externe deskundigen in te zetten
is de kans kleiner dat de organisatie door eigen bedrijfsblindheid bepaalde risico’s over het hoofd ziet.
Dat geldt ook voor de beoordeling van de door uw organisatie zelf opgestelde plannen voor BCM of
Crisis Management. Vreemde ogen zien bovendien vaak meer. Temeer omdat crisisplannen meestal
zijn opgesteld voor andere crises dan cybercrises. Aan een rampenplan voor brand heb je bij een
ransomware-uitbraak niet veel.
Maar uitbesteden - in welke mate dan ook - ontslaat u niet van zelf doen. Cyber Resilience is een topic
waar de hele organisatie bij betrokken is. Het gaat om besluitvorming op het hoogste niveau en verder
om bedrijfsprocesoptimalisatie, gedragsverandering, communicatie, planning en controle, om maar
een paar aspecten te noemen. Maar om te beginnen gaat het om het gedrag en de werkwijze van elke
individuele medewerker.
Werken aan Cyber Resilience is een dynamisch proces en geen project met einddatum. Het is bij
uitstek een onderwerp waarin de opdrachtgever en de dienstverlener in hecht partnership de
organisatie verder helpen. Daarbij maakt elke organisatie haar eigen afwegingen over hoe met
leveranciers om te gaan. Kiezen we voor elk deelgebied ‘point solutions’ of gaan we een strategische
alliantie aan met een partij die ons interdisciplinair helpt?
13/14
Blauwdruk voor Cyber Resilience 1 oktober 2020 © Northwave Group bv
7. DRIE PRAKTIJKVOORBEELDEN
7.1 Ransomware bij een farmaceutisch bedrijf
In de farmaceutische industrie worden momenteel veel bedrijven getroffen door ransomware-
aanvallen. Hierdoor getriggerd ontdekte een fabrikant van medicijnen, met duizenden medewerkers
actief op drie continenten, dat het bedrijfsnetwerk was gehackt. Northwave werd ingeroepen om het
bedrijf te helpen beschermen. Ons onderzoek wees uit dat het ging om een criminele groep die al diep
in het netwerk was doorgedrongen om een aanval met ransomware voor te bereiden. In het diepste
geheim werd een tegenaanval opgezet die ervoor moest zorgen dat de dreiging in één keer werd
afgewend, zonder dat de hackers iets in de gaten kregen om te voorkomen dat zij dan de ransomware
zouden activeren. Het probleem was dat de IT-systemen van de klant niet goed te verdedigen waren.
Ook op andere punten schoot de Cyber Resilience van het bedrijf tekort. Northwave heeft buiten het
netwerk van de klant een complete security infrastructuur gebouwd en daar de IT van de klant
ondergebracht.
De aanvallers konden daarna probleemloos het ‘loze’ netwerk worden uitgewerkt. Dit was de start
voor een compleet Cyber Resilience-programma.
7.2 Cyber Resilience-programma chemisch bedrijf
Een wereldwijde, beursgenoteerde producent van chemicaliën en voedingsmiddelen wilde Cyber
Resilient worden. Northwave is ingeschakeld om vanuit de 3 B’s (Bytes, Behavior en Business)
expertise en capaciteit in te brengen. Onze specialisten hebben op detailniveau meegeholpen plannen
en procedures te schrijven en deze te trainen en te testen.
De klant beschikt nu over zeer volwassen Security Operations waarbij doorlopende risicoanalyse
leidend is voor de te nemen maatregelen.
7.3 Ransomware bij distributeur landbouwmachines
Klikken op een linkje in een phishingmail heeft een wereldwijde distributeur van machines voor
landbouw en grondverzet een schade van tientallen miljoenen bezorgd. De organisatie is met 35
bedrijven en 2.500 medewerkers actief in 10 landen en heeft een omzet van bijna 1 miljard euro.
Zeventig procent van de 35 aangesloten bedrijven werd geraakt door de digitale aanval. Het bedrijf lag
volledig plat.
Northwave is ingeschakeld om de gijzelsoftware van de systemen te halen en het netwerk weer op
te bouwen.
14/14
Blauwdruk voor Cyber Resilience 1 oktober 2020 © Northwave Group bv
8. WAAROM WERKEN MET NORTHWAVE?
Wij staan dagelijks bedrijven bij die digitaal worden aangevallen. Alles wat we voor u doen is
gebaseerd op die realiteit. Geen theoretisch advies, maar praktijkervaring, direct en actueel. Opgedaan
in de dagelijkse strijd tegen cybercriminelen. Vertaald naar pragmatische diensten die er op gericht zijn
om 24*7 een slimme security operatie te waarborgen.
Northwave heeft van meet af aan een andere kijk op informatiebeveiliging en cyber security. Leggen
de meeste dienstverleners hun focus op de techniek, bij Northwave zijn wij ervan overtuigd dat je
alleen effectief kunt zijn als je technologie (Bytes), gedrag en de menselijke factor (Behavior) én
bedrijfsprocessen (Business) interdisciplinair opneemt in je beveiligingsbeleid en maatregelen.
Om die reden hanteren wij een multidisciplinaire aanpak, met teams waarin gedragskundigen, juristen,
cyber security specialisten, rechercheurs en communicatieprofessionals zij aan zij optrekken om u als
opdrachtgever veilig te krijgen en te houden.
De aanleiding om Northwave in te schakelen is doorgaans vanuit de behoefte in de boardroom om
meer grip te krijgen op de cyberrisico’s. Het kan ook zijn dat uw organisatie de noodzaak voelt om de
kwaliteit van de bedrijfsprocessen te verhogen - al dan niet daartoe aangespoord door een grote klant.
Northwave werkt nauw samen met uw organisatie om uw weerbaarheid en veerkracht te versterken.
En u bij te staan bij de oplossing van incidenten en het in goede banen leiden van een crisis. We
combineren onze kennis en ervaring op het gebied van Business Continuity Management (BCM), CERT,
Incident Response en Crisis Management, ondersteund door een compleet Information Security
Management System (ISMS).
Onze werkwijze is altijd gebaseerd op toetsbare internationale standaarden en frameworks. Dankzij
die interdisciplinaire aanpak is uw organisatie voorbereid op noodsituaties en blijft zij overeind in een
cybercrisis. Deze aanpak past in de bredere benadering van Risk Management en kan worden
gecoördineerd vanuit ons Security Office.
Meer weten?
We werken vanuit een concrete risicoanalyse naar een pragmatische, adequate en toetsbare
combinatie van maatregelen. Dan ontstaat een slimme en effectieve beveiligingsoperatie. Dat
betekent voor u een safe digital journey. Neem contact met ons op via www.northwave-security.com.