Whitepaper · Deze blauwdruk geeft bestuurders van grotere organisaties alle praktische handvatten...

Blauwdruk voor Cyber Resilience 1 oktober 2020 © Northwave Group bv

Whitepaper

Blauwdruk voor Cyber Resilience

Het lukt cybercriminelen nog steeds elke dag om bedrijven binnen te dringen,

plat te leggen, informatie te stelen en grote sommen geld afhandig te maken.

Deze blauwdruk geeft bestuurders van grotere organisaties alle praktische

handvatten om adequate Cyber Resilience te ontwikkelen en op peil te houden.

Het stuk is tot stand gekomen op basis van een groot aantal incident evaluaties

van het Northwave Computer Emergency Response Team.

2/14


1. CONTEXT

Onze samenleving heeft een digitale hartslag. Elke organisatie maakt deel uit van een ecosysteem van

klanten, partners, leveranciers en toezichthouders. Dat ecosysteem vertoont allerlei afhankelijkheden,

integraties en real-time datastromen. De onderlinge afhankelijkheden zorgen ervoor dat een

verstoring binnen een bedrijfsproces van één speler kan leiden tot cascade-effecten in de hele

leveringsketen.

Het lukt cybercriminelen nog steeds elke dag om bedrijven binnen te dringen, plat te leggen, hun

informatie te stelen en grote sommen geld afhandig te maken. Bij Northwave ervaren wij dat uit

eerste hand, omdat we met ons Computer Emergency Response Team dagelijks organisaties bijstaan

die digitaal worden aangevallen. Gedupeerde organisaties worden in hun voortbestaan bedreigd

doordat de digitale informatievoorziening over hun primaire bedrijfsprocessen niet meer normaal

werkt.

Ransomware, CEO-fraude, hacks, diefstal van intellectueel eigendom, en datalekken; het is dagelijks

nieuws. Wat de krant haalt is slechts het topje van de ijsberg. Gelukkig zien we onder bestuurders het

bewustzijn toenemen dat de informatievoorziening van hun organisaties kwetsbaar is.

Elke organisatie zal zich doorlopend rekenschap willen geven van de risico’s die haar

informatievoorziening loopt, om beleid te ontwikkelen om die risico’s te managen en de maatregelen

te treffen die deze risico’s hanteerbaar houden. Dit is een doorlopend, dynamisch proces, want de

buitenwereld verandert voortdurend en de organisatie beweegt zelf ook.

Iedere organisatie heeft daarmee een vraagstuk dat gaat over ‘resilience’, oftewel weerbaarheid. Hoe

bereiden we ons voor op een cybercrisis - die misschien nooit komt. Zijn we klaar om een incident aan

te pakken voordat het escaleert? Kunnen we een cybercrisis het hoofd bieden als het incident uit de

hand loopt? En minstens zo belangrijk: zijn we klaar om daarna de bedrijfsprocessen te herstellen en

met minimale kleerscheuren door te kunnen?

Het gaat uiteindelijk over het voortbestaan van uw organisatie. Het is daarom de verantwoordelijkheid

van iedereen in uw bedrijf om steeds slim samen te blijven werken aan duurzame weerbaarheid en

veerkracht. Dit whitepaper biedt u handvatten op basis van bewezen best practices, effectieve

methoden en technieken. En niet op de laatste plaats: op basis van heel veel kennis en ervaring,

opgedaan door ons Computer Emergency Response Team dat als ‘brandweer’ wordt ingeschakeld bij

de grootste en meest complexe cybercrises.

3/14


2. WAT IS HET ACTUELE DREIGINGSBEELD?

Geen bedrijf staat op zichzelf. Alles is met elkaar verbonden. Organisaties worden doorlopend

geconfronteerd met verrassingen, zoals onverwachte incidenten en (keten)effecten. Daarom is het van

groot belang om regelmatig een precieze inventarisatie te maken van uw organisatie-specifieke

risico’s. Dat voedt een gericht plan om die risico’s te mitigeren.

Momenteel zijn er drie grote cyberdreigingen waar elk bedrijf serieus rekening mee moet houden. U

leest er vast regelmatig over. Het gaat om Ransomware, Business E-mail Compromise en de Insider

Threat (de aanval van binnenuit).

1. Ransomware of gijzelsoftware is kwaadaardige software die de systemen of bestanden van een slachtoffer versleutelt, waarna de sleutel tegen betaling wordt aangeboden. Ransomware kan leiden tot significante impact op de continuïteit van uw bedrijfsvoering. De financiële gevolgen gaan daarmee vaak veel verder dan de betaling van het losgeld.

2. Business Email Compromise is een fraudevorm waarin de aanvaller het e-mailverkeer tussen

twee partijen manipuleert om zo frauduleuze transacties te bewerkstelligen. Dit kan leiden tot

significante financiële impact en reputatieschade voor een organisatie.

3. ‘Insider’ threats is een verzamelcategorie incidenten, veroorzaakt door iemand met legitieme

toegang tot de omgeving. Dat de persoon al binnen is, maakt de verdediging lastiger.

Kwaadwillende insiders komen relatief weinig voor, maar kunnen een stevige impact hebben

op de continuïteit van de bedrijfsvoering, de reputatie en/of de financiën. Het motief is vaak

wrok of woede, maar kan ook financieel zijn. Daarnaast komt het voor dat insiders onbedoeld

schade aanrichten.

Risico analyse

Deze dreigingen vormen een uitstekend startpunt voor een risicoanalyse van uw organisatie. Welke

bedrijfsprocessen staan op het spel als u hierdoor geraakt wordt? Waar loopt intellectueel eigendom

gevaar? Hoe zit het met privacy? Bent u compliant aan weten regelgeving, zoals AVG? Wat is de

financiële schade bij uitval of inbraak? Wat gebeurt er als leverancier x de levering staakt vanwege zo’n

incident?

Het mag duidelijk zijn dat dit veel verder gaat dan alleen kijken of uw computersystemen veilig zijn en

of de Service Level Agreements met uw service providers voldoen. De dimensies ‘Bytes’ (technologie),

‘Behavior’ (gedrag, de menselijke factor) en ‘Business’ (de bedrijfsprocessen) worden interdisciplinair

tegen het licht gehouden, omdat zij gezamenlijk de mate van uw Cyber Resilience bepalen.

4/14


3. WAT IS CYBER RESILIENCE?

Het beperken van risico's en het verkleinen van hun impact vraagt om structurele grip op de cyber

resilience van de organisatie. Het NCSC leverde bij het Cybersecurity Beeld in 2019 en in 2020

onomwonden het advies aan de Nederlandse publieke en private sector om meer te investeren in

weerbaarheid tegen digitale risico’s. Maar wat is die weerbaarheid of resilience eigenlijk? Het NCSC

zegt het als volgt:

Het vermogen om cyberincidenten te voorkomen en wanneer cyberincidenten zich hebben

voorgedaan deze te ontdekken, schade te beperken en herstel eenvoudiger te maken.

Digitale risico‘s zijn dan de kans dat een cyberincident zich voordoet en de impact daarvan, beide in

relatie tot het niveau van de actuele weerbaarheid. Cyber Resilience optimaliseert dus de

beschikbaarheid, de veiligheid en de integriteit van de informatievoorziening en van de informatie zelf.

Het is een dynamisch proces dat meebeweegt met de organisatie en de wereld daarbuiten.

In de visie van Northwave berust Cyber Resilience op een drietal ‘capabilities’ die kwalitatief worden

aangestuurd vanuit een ISMS (Information Security Management System).

Dit plaatje toont het beleid, de principes en de controles die met elkaar robuuste Cyber Resilience tot

stand brengen. Links, de activiteiten die de weerbaarheid vergroten (‘Blauwe Fase’) en rechts, de

activiteiten die na het optreden van het incident of de crisis de veerkracht bepalen (‘Rode Fase’).

5/14


4. WAT IS UW RESILIENCE DOELSTELLING?

Adequate veerkracht is voor elk bedrijf iets anders. Het is wat ons betreft zaak daarbij praktisch en

pragmatisch te werk te gaan. Niet alles hoeft en niet alles kan. De ene organisatie is het meest gebaat

bij eenvoudige, handelingsgerichte plannen die snel zijn uit te voeren, de andere organisatie heeft

uitvoerige uitleg en gedetailleerde onderbouwing nodig.

Cyber Resilience is in ieder geval altijd een operationele state-of-mind. De wil en het kunnen om

steeds adequate bescherming van de informatievoorziening en de informatie ten behoeve van de

bedrijfsvoering te realiseren. Daarom omarmen we ook zo nadrukkelijk de principes van

kwaliteitsmanagement in onze aanpak en richten we ons op het scherp houden van de operationele

prestaties.

4.1 Interdisciplinaire aanpak

Bij het samenstellen van de maatregelen-mix zullen techniek (‘Bytes’), de menselijke factor (‘Behavior’)

en bedrijfsprocessen (‘Business’) in hun samenhang worden beoordeeld. Goede business practices en

effectief risicobeheer zijn het resultaat. De mate van Cyber Resilience hangt af van de totale

weerbaarheid en veerkracht van alle betrokken interne actoren, afdelingen, fabrieken, sites en externe

organisaties (waaronder partners, leveranciers, enz.).

Northwave heeft op basis van beproefde modellen en standaarden1 , maar ook haar eigen expertise en

ervaringen met cybercrisisbestrijding, een praktisch bruikbare blauwdruk ontwikkeld. Deze blauwdruk

richt zich op het duurzaam verhogen van de Cyber Resilience van organisaties in allerlei soorten en

maten, van kleinbedrijf tot groot-middenbedrijf, op basis van de specifieke risico’s die zij lopen.

4.2 Governance

Een effectieve Cyber Resilience aanpak zal zodoende altijd de algemene bedrijfsstrategie verbinden

met inspanningen voor bedrijfscontinuïteit, incidentbestrijding en crisisbeheersing. De rol van het

bestuur van de organisatie is daarom van groot belang. Cyber Resilience vraagt namelijk om gerichte

betrokkenheid van de hele organisatie. Dat vraagt leiderschap en heldere keuzes over sturing.

We krijgen vaak deze vraag over het creëren van betrokkenheid: “Hoe hangen we dit thema nu goed

op in de organisatie?” Uitgaande van onafhankelijkheid en kwaliteitsmanagement is het antwoord niet

zo lastig. Borg in ‘de ophanging’ van informatiebeveiligingsmanagement die onafhankelijkheid. Veel

organisaties lieten deze verantwoordelijkheid aanvankelijk (graag) over aan de CIO of het Hoofd IT.

Steeds vaker kiest men nu voor een direct aan het bestuur of board rapporterende CISO.

1 ISMS, ISO 27001, ISO 22316:2017, NIST, BS31111.

6/14


5. BLAUWDRUK VOOR RESILIENCE

Een effectieve Cyber Resilience aanpak is dus gericht op het

projectmatig opbouwen of versterken van de drie

capabilities van uw organisatie; Cyber Security Incident

Response (CSIRT), Crisis Management (CM) en Business

Continuity Management (BCM).

De inhoud van deze drie capabilities wordt aangestuurd en

op het juiste peil gehouden vanuit een PDCA cyclus,

vastgelegd in een Information Security Management System

(ISMS).

We beschouwen die vier onderdelen van deze blauwdruk hierna eens wat nader. Daarin treft u

behalve een toelichting op de toegevoegde waarde van elk onderdeel, ook concrete handvatten voor

de inrichting van die capabilities.

5.1. Security Management System

Uw vermogen om te kwaliteit van informatiebeveiliging en resilience te beheersen.

Wij verwachten dat in supply chains certificering van informatiebeveiliging een steeds bepalender rol

zal spelen. Organisaties eisen van elkaar dat ze in control zijn. Niemand wil de zwakste schakel zijn, dus

is certificering ineens een business critical factor geworden. Ook de GDPR stelt duidelijke eisen;

organisatorische en technische maatregelen ter bescherming van persoonsgegevens dienen geborgd

te zijn door een planmatig en gestructureerde wijze om deze maatregelen adequaat te houden.

Daarnaast zullen steeds meer cyberverzekeringen deze norm als eis stellen voor dekking en/of de

hoogte van eigen risico. Daarom is het instellen van een Information Security Management Systeem

voor de meeste organisatie geen keuze meer maar een voorwaarde om zaken te doen.

5.1.1. ISO27001: papieren tijger of wakkere waakhond?

Wij adviseren zonder uitzondering om een ISMS te bouwen op basis van de ISO27001. Dergelijke

normeringen staan niet onverdeeld positief te boek. Veel woorden, weinig wol, de certificering van het

betonnen zwemvest, papieren tijger. Het zijn kwalificaties die u vast wel kent.

Er is een andere kant aan die medaille. Wij zien in de praktijk dat de ISO 27001 norm, mits pragmatisch

en deskundig ingezet, snel een serieuze bijdrage levert aan de daadwerkelijke veiligheidsniveaus in een

organisatie.

7/14


In een onderzoek van IT Governance (2018) blijkt dat 70% van de ISO27001 gecertificeerde bedrijven

een betere beveiliging noemt als belangrijkse voordeel van de certificering. 11% noemt reputatie en

8% noemt concurrentievoordeel als belangrijkste voordeel. Bijna 60% noemt het kunnen voldoen aan

de AVG (GDPR) de belangrijkste motivatie voor het nastreven van de certificering.

In onze ervaring zien we een goed werkend ISMS de meeste waarde leveren wanneer het leidt tot een

geoliede dagdagelijkse operatie.

Een ISMS houdt zelfstandig geen Ransomware tegen. Het mechanisme sluit wel veel van de

toevalligheden en slordigheden uit die er in belangrijke mate voor zorgen dat bedrijven slachtoffer

worden van een hack.

5.1.2. Organisatie

Het ISMS is erop gericht om de informatiebeveiliging van de organisatie gestructureerd duurzaam

adequaat te houden. Om de weerbaarheid en veerkracht van de organisatie op het gewenste niveau te

brengen en te houden, is een planmatige en corrigerende aanpak nodig van alle activiteiten op alle

niveaus van Cyber Resilience: strategisch, operationeel en tactisch. De mitigerende maatregelen

worden in samenhang ingericht en gemanaged volgens de PDCA-cyclus. Incidenten, maar ook

verbeteringsprojecten worden uniform afgehandeld.

5.1.3. Mensen

Veel organisaties worstelen met het beleggen van de verantwoordelijkheid voor informatiebeveiliging.

Security Officers aannemen? Dit bij IT onderbrengen? Uitbesteden? Het vraagstuk is vaak het beste

vanuit capaciteit te beantwoorden. Hebben we de juiste mensen aan boord om dit goed te doen?

Hoeveel verschillende expertisegebieden hebben we dan nodig? Hoeveel werk is het om dit goed te

kunnen? Vanuit dat beeld ontstaan elementaire keuzes over aannamebeleid, training en uitbesteden.

We gaan hier dieper op in in Hoofdstuk 6.

5.1.4. Technologie

Een ISMS is om te beginnen een systematiek, niet per se ook een systeem in software matige zin. Het

heeft echter grote voordelen om wel een dergelijk platform te gebruiken als tooling voor uw security

officers. Er is van alles te koop. Van simpele spreadsheet formats tot complete GRC omgevingen. Wij

standaardiseren binnen Northwave graag op het platform van Axxemble (Base27). Een pragmatisch

opgezette SAAS omgeving (out of band dus) waarin behalve de ISO27001 en GDPR compliance ook een

aantal andere normen kunnen worden aangestuurd die voor veel organisaties belangrijk zijn. Made in

Holland door mensen die het vak van informatiebeveiliging heel goed begrijpen.

8/14


5.2 Cyber Security Incident Response

Uw vermogen om incidenten zo snel mogelijk waar te nemen en er adequaat op te reageren.

In feite wordt in deze capability Cyber Resilience het meest concreet zichtbaar. De belangrijkste

doelstelling is het reduceren van de tijd die nodig is om incidenten waar te nemen en vervolgens van

de tijd om ze op te lossen. Op het scheivlak tussen ‘Rode’ en ‘Blauwe Fase’ draait het om Intelligente

Cyber Security Operations voor het voorkomen, detecteren en bestrijden van incidenten. Maar ook

van het handhaven van de juiste vaardigheden bij medewerkers om informatie effectief te

beschermen en snel en doortastend te reageren bij een (dreigend) incident. Tenslotte zijn het

uiteindelijk ‘uw’ mensen die het opnemen tegen de actoren (ook mensen) die uw bedrijf bedreigen.

5.2.1 Organisatie

Door alle activiteiten consistent te organiseren, ontstaat er rust en samenhang die ten goede komt aan

de kwaliteit. Zeker in geval van een crisis is dit van het hoogste belang. De afhandeling van events en

incidenten voldoet dan aan compliance- en security-regels en escalaties. Rapportages gebeuren

uniform. Playbooks en Use Cases helpen bij de probleemoplossing en vereenvoudigen de

communicatie. Iedereen spreekt daarmee dezelfde ‘taal’.

5.2.2 Mensen

We werken voortdurend aan de vaardigheden van mensen met doorlopende trainingsprogramma’s

gericht op cyberveilig gedrag. Door daarin steeds de actuele dreigingen te betrekken, blijven deze

programma’s effectief, actueel en relevant voor alle medewerkers. Als u in de ‘Rode Fase’ bent beland,

is het belangrijk om snel en daadkrachtig te handelen.

Dit kan de inzet vereisen van hooggekwalificeerde forensische experts, specialisten in ‘offensieve

beveiliging’ en crisismanagers. Zo’n CERT is van meerwaarde bij grote cyberincidenten, maar ook bij

digitale fraudeonderzoeken.

Door in de ’Blauwe Fase’ afspraken te maken over het indien nodig kunnen beschikken over het CERT

en door de mensen uit het CERT mee te laten draaien bij oefeningen en simulaties, bent u op

voorsprong in geval van een incident. Immers, er ligt dan altijd een door-geëxerceerd en actueel

Response Plan. Bovendien is er minder tijd nodig voor de eerste triage van het incident en minder tijd

voor deployment van het ‘team on site’.

9/14


5.2.3 Technologie

Detectie en response laten zich uiteraard heel goed ondersteunen door technologie. Centraal staat

daarin het doorlopend en in real-time monitoren van end-points, applicaties en fysieke systemen,

kijken wat zich op het Dark Web afspeelt, patronen herkennen en afwijkingen signaleren. Dit gebeurt

vanuit een zogenaamd Security Operations Centre (SOC). Hierin speelt een SIEM (Security Information

& Event Management) platform een belangrijke rol. Voorbeelden daarvan zijn onder andere

LogRhythm, Qradar en het Cloudnative Azure Sentinel.

Het proces is zoveel mogelijk geautomatiseerd, maar menselijke beoordeling blijft cruciaal. In het SOC

zijn analisten paraat om incidenten te beoordelen en oplossingen te formuleren. Op basis van Use

Cases en Playbooks worden events en incidenten geïdentificeerd en geprotocolleerd afgehandeld. De

activiteiten worden vastgelegd voor compliance-doeleinden, maar ook om de effectiviteit te meten en

om verbeteringsmogelijkheden te rapporteren (PDCA-cyclus).

5.3 Crisis Management

Uw vermogen om het initiatief te blijven houden tijdens een crisis.

Gedurende de eerste 24 uur van een crisis is de organisatie het meest kwetsbaar. Juist daarom is het

van groot belang dat men geen overhaaste beslissingen neemt of ondoordachte dingen doet of zegt.

Het is essentieel dat uw organisatie hierop is voorbereid.

Zowel voor als na een crisis is het belangrijk om strategisch om te gaan met risico’s. Tijdens de crisis is

het echter van belang om niet in risico’s, maar juist in scenario’s te denken, in ketens van mogelijke

gebeurtenissen. Elk scenario blijft een reële optie tot het tegendeel bewezen is.

5.3.1 Organisatie

Het managen van een cybercrisis is ingewikkelder dan het managen van een conventionele fysieke

crisis, omdat bij een cybercrisis vaak meerdere scenario’s reëel zijn. Bovendien zijn cybercrises over

het algemeen minder zichtbaar. Er is nergens rook. Kwesties die uniek zijn voor inbreuken op de

informatiebeveiliging, zoals de mogelijke toegang tot persoonlijk identificeerbare informatie of

intellectueel eigendom maken ook dat cyber om een heel specifieke aanpak vraagt.

Over het algemeen worden op drie niveaus Crisis Teams geformeerd:

1. Het Crisis Management Team (‘Gold’) - C-Level - Strategisch

2. Incident Response Team (‘Silver’) - Technisch/Tactisch

3. Business Team (‘Bronze’) - Operationeel

10/14


Deze teams hebben vaste afgevaardigden in de bovenliggende teams. Het simuleren van crises, het

trainen van de teams en het testen van plannen en communicatieplatforms maken een belangrijk deel

uit van de voorbereidingen op een eventuele cybercrisis. Er is een aantal belangrijke aandachtspunten.

Zoals wie verslag legt van alles wat er gebeurt. Dit is een cruciale functie die belegd moet worden bij

mensen met de juiste competenties. Goede verslaglegging is nodig om te leren van het gebeurde,

maar ook vanuit compliance-oogpunt en wellicht voor juridische onderbouwing.

5.3.2 Mensen

Een ander belangrijk punt is teambuilding. Het Crisisteam moet elkaar in de ‘Blauwe Fase’ al hebben

leren kennen om in de ‘Rode Fase’, als het spannend is, goed samen te werken. Verder moet er

tegenspraak in het team zijn georganiseerd om tunnelvisie te voorkomen.

Externe communicatie is een van de allerbelangrijkste aspecten van een crisissituatie. Met

crisiscommunicatie valt of staat de reputatie van een organisatie.

Het is een strategisch instrument om specifieke doelstellingen te realiseren. Denk aan klantbehoud,

beschermen van beurswaarde, pro-actief informeren van pers. Social media spelen een centrale rol.

Elke smartphone-gebruiker ter wereld heeft de mogelijkheid om informatie te verspreiden. Die kan

relevant of fake zijn, positief of negatief. Ook het gebruik van social media in een crisissituatie moet

worden geoefend om erachter te komen welk kanaal in uw geval het meest effectief is. Als u daar

tijdens een daadwerkelijke crisissituatie achter moet komen, bent u te laat.

5.3.3 Technologie

Om voorbereid te zijn op het eventueel uitvallen van e-mail en ter ondersteuning van het Crisis

Management Team richten wij in de ‘Blauwe Fase’ alvast een out of band platform in waarmee

geoefend wordt. Zo’n platform ondersteunt en automatiseert de processen voor communicatie en

collaboratie rondom crisismanagement. Denk aan logging van besprekingen, besluitvorming,

taakbeheer, e-mail, alerting en agendabeheer.

Wij hebben erg goede ervaringen met het CrisisSuite platform van Parcival; een Nederlands bedrijf,

gespecialiseerd in crisiscommunicatie. Het is een compleet SAAS platform dat alle onderdelen van het

beheersen van een crisis uitstekend faciliteert.

Zeker in een crisis is het van belang om te kunnen vertrouwen op de beschikbaarheid van alle in de

voorbereiding gemaakte plannen. Maar ook het hebben van een veilige plek voor het loggen van de

besluiten en feiten, het veilig kunnen communiceren met alle leden van crisis- en oplosteams en het

adequaat evalueren heeft veel baat bij het beschikbaar hebben van een out of band crisismanagement

tool. Een zogenaamd ‘single point of truth’ is essentieel.

11/14


Een groot voordeel is ook dat het zich leent voor oefeningen en dat evaluaties daarvan meteen in de

plannen en processen terecht komen. De informatie uit het platform helpt na de crisis om vast te

stellen wat wanneer op basis van welke informatie is gezegd, gedaan en besloten. Dit helpt om te

leren van de crisis, maar ook om compliance aan te tonen bij eventuele juridische procedures.

Vanuit de uitgebreide ervaring met digitaal forensisch onderzoek en CERT-incidentbestrijding helpen

we u vast te stellen welke informatie u dient te verzamelen om ten tijde van een crisis over de juiste

forensische informatie te beschikken. Forensic readiness is essentieel, want zonder data staat u op

grote achterstand bij het bezweren van een crisis en het vinden van de oorzaken.

5.4 Business Continuity Management (BCM)

Uw vermogen om bij een crisis uw vitale bedrijfsprocessen te continueren.

Business Continuity Management (BCM) biedt de methoden en technieken om het bestaansrecht van

de organisatie veilig te stellen, door risico’s gestructureerd in beeld te brengen, de te nemen

maatregelen te prioriteren en budgetten te bepalen. Dat raakt vooral de voorbereidingsfase en daarna

de recovery fase.

BCM kan succesvol zijn als alle plannen, op elk niveau en in elke fase worden gecoördineerd, gedeeld

en verbonden. Daar is het ISMS voor. Een goede planning is essentieel, maar de praktijk zal altijd

verrassen. Men zegt wel ‘Geen enkel plan overleeft het eerste schot’. Het is dus de kunst een rode

draad te schetsen, met ruimte voor flexibiliteit en handelingsvrijheid. Gedetailleerde plannen en

draaiboeken werken contraproductief, omdat ze nooit recht kunnen doen aan de actuele crisissituatie.

De organisatie moet onder hoge druk in staat zijn te handelen naar eigen inzicht en op basis van eigen

kennis. Een onderneming met een cultuur waarin faalangst heerst, zal het juist daarom in een crisis

minder goed doen. Richt in elk geval een proces in waarmee zowel plan, maatregelen als

besluitvorming en communicatie uitvoerig geoefend en getest worden. Op deze wijze bereidt u zich

voor op de dynamiek van een crisis en bevordert u de samenwerking binnen teams.

Bovendien heeft u meer zekerheid dat u ook echt kunt rekenen op de systemen waar u op rekent.

Eenvoudiger gezegd: maak niet alleen een back-up, zet deze ook veilig weg en test regelmatig of het

werkt als u een back-up terug zet. Dat creëert zelfvertrouwen en vergroot de slagkracht als het er om

gaat.

12/14


6. WAT IS DE BALANS TUSSEN ZELF DOEN EN UITBESTEDEN?

Cyber Resilience en daarbinnen cybersecurity zijn uitermate complexe domeinen die bovendien

voortdurend veranderen. Het is voor de meeste organisaties nauwelijks meer te doen om alle

ontwikkelingen in de technologie, de markt en het dreigingslandschap bij te houden. Bovendien is er

een veelheid aan verschillende expertises nodig en zijn de mensen met ervaring uitermate schaars en

duur. In het geval van Cyber Resilience is uitbesteden onontkoombaar.

Sommige organisaties outsourcen deeltaken, bijvoorbeeld het SOC of het opzetten en certificering van

een ISMS, andere vertrouwen het opzetten en uitvoeren van alle aspecten van Cyber Resilience over

aan de Cyber Security Service Provider.

Outsourcing heeft nog een voordeel: ‘vreemde ogen dwingen’. Door externe deskundigen in te zetten

is de kans kleiner dat de organisatie door eigen bedrijfsblindheid bepaalde risico’s over het hoofd ziet.

Dat geldt ook voor de beoordeling van de door uw organisatie zelf opgestelde plannen voor BCM of

Crisis Management. Vreemde ogen zien bovendien vaak meer. Temeer omdat crisisplannen meestal

zijn opgesteld voor andere crises dan cybercrises. Aan een rampenplan voor brand heb je bij een

ransomware-uitbraak niet veel.

Maar uitbesteden - in welke mate dan ook - ontslaat u niet van zelf doen. Cyber Resilience is een topic

waar de hele organisatie bij betrokken is. Het gaat om besluitvorming op het hoogste niveau en verder

om bedrijfsprocesoptimalisatie, gedragsverandering, communicatie, planning en controle, om maar

een paar aspecten te noemen. Maar om te beginnen gaat het om het gedrag en de werkwijze van elke

individuele medewerker.

Werken aan Cyber Resilience is een dynamisch proces en geen project met einddatum. Het is bij

uitstek een onderwerp waarin de opdrachtgever en de dienstverlener in hecht partnership de

organisatie verder helpen. Daarbij maakt elke organisatie haar eigen afwegingen over hoe met

leveranciers om te gaan. Kiezen we voor elk deelgebied ‘point solutions’ of gaan we een strategische

alliantie aan met een partij die ons interdisciplinair helpt?

13/14


7. DRIE PRAKTIJKVOORBEELDEN

7.1 Ransomware bij een farmaceutisch bedrijf

In de farmaceutische industrie worden momenteel veel bedrijven getroffen door ransomware-

aanvallen. Hierdoor getriggerd ontdekte een fabrikant van medicijnen, met duizenden medewerkers

actief op drie continenten, dat het bedrijfsnetwerk was gehackt. Northwave werd ingeroepen om het

bedrijf te helpen beschermen. Ons onderzoek wees uit dat het ging om een criminele groep die al diep

in het netwerk was doorgedrongen om een aanval met ransomware voor te bereiden. In het diepste

geheim werd een tegenaanval opgezet die ervoor moest zorgen dat de dreiging in één keer werd

afgewend, zonder dat de hackers iets in de gaten kregen om te voorkomen dat zij dan de ransomware

zouden activeren. Het probleem was dat de IT-systemen van de klant niet goed te verdedigen waren.

Ook op andere punten schoot de Cyber Resilience van het bedrijf tekort. Northwave heeft buiten het

netwerk van de klant een complete security infrastructuur gebouwd en daar de IT van de klant

ondergebracht.

De aanvallers konden daarna probleemloos het ‘loze’ netwerk worden uitgewerkt. Dit was de start

voor een compleet Cyber Resilience-programma.

7.2 Cyber Resilience-programma chemisch bedrijf

Een wereldwijde, beursgenoteerde producent van chemicaliën en voedingsmiddelen wilde Cyber

Resilient worden. Northwave is ingeschakeld om vanuit de 3 B’s (Bytes, Behavior en Business)

expertise en capaciteit in te brengen. Onze specialisten hebben op detailniveau meegeholpen plannen

en procedures te schrijven en deze te trainen en te testen.

De klant beschikt nu over zeer volwassen Security Operations waarbij doorlopende risicoanalyse

leidend is voor de te nemen maatregelen.

7.3 Ransomware bij distributeur landbouwmachines

Klikken op een linkje in een phishingmail heeft een wereldwijde distributeur van machines voor

landbouw en grondverzet een schade van tientallen miljoenen bezorgd. De organisatie is met 35

bedrijven en 2.500 medewerkers actief in 10 landen en heeft een omzet van bijna 1 miljard euro.

Zeventig procent van de 35 aangesloten bedrijven werd geraakt door de digitale aanval. Het bedrijf lag

volledig plat.

Northwave is ingeschakeld om de gijzelsoftware van de systemen te halen en het netwerk weer op

te bouwen.

14/14


8. WAAROM WERKEN MET NORTHWAVE?

Wij staan dagelijks bedrijven bij die digitaal worden aangevallen. Alles wat we voor u doen is

gebaseerd op die realiteit. Geen theoretisch advies, maar praktijkervaring, direct en actueel. Opgedaan

in de dagelijkse strijd tegen cybercriminelen. Vertaald naar pragmatische diensten die er op gericht zijn

om 24*7 een slimme security operatie te waarborgen.

Northwave heeft van meet af aan een andere kijk op informatiebeveiliging en cyber security. Leggen

de meeste dienstverleners hun focus op de techniek, bij Northwave zijn wij ervan overtuigd dat je

alleen effectief kunt zijn als je technologie (Bytes), gedrag en de menselijke factor (Behavior) én

bedrijfsprocessen (Business) interdisciplinair opneemt in je beveiligingsbeleid en maatregelen.

Om die reden hanteren wij een multidisciplinaire aanpak, met teams waarin gedragskundigen, juristen,

cyber security specialisten, rechercheurs en communicatieprofessionals zij aan zij optrekken om u als

opdrachtgever veilig te krijgen en te houden.

De aanleiding om Northwave in te schakelen is doorgaans vanuit de behoefte in de boardroom om

meer grip te krijgen op de cyberrisico’s. Het kan ook zijn dat uw organisatie de noodzaak voelt om de

kwaliteit van de bedrijfsprocessen te verhogen - al dan niet daartoe aangespoord door een grote klant.

Northwave werkt nauw samen met uw organisatie om uw weerbaarheid en veerkracht te versterken.

En u bij te staan bij de oplossing van incidenten en het in goede banen leiden van een crisis. We

combineren onze kennis en ervaring op het gebied van Business Continuity Management (BCM), CERT,

Incident Response en Crisis Management, ondersteund door een compleet Information Security

Management System (ISMS).

Onze werkwijze is altijd gebaseerd op toetsbare internationale standaarden en frameworks. Dankzij

die interdisciplinaire aanpak is uw organisatie voorbereid op noodsituaties en blijft zij overeind in een

cybercrisis. Deze aanpak past in de bredere benadering van Risk Management en kan worden

gecoördineerd vanuit ons Security Office.

Meer weten?

We werken vanuit een concrete risicoanalyse naar een pragmatische, adequate en toetsbare

combinatie van maatregelen. Dan ontstaat een slimme en effectieve beveiligingsoperatie. Dat

betekent voor u een safe digital journey. Neem contact met ons op via www.northwave-security.com.

Whitepaper · Deze blauwdruk geeft bestuurders van grotere organisaties alle praktische handvatten...

Documents

Transcript of Whitepaper · Deze blauwdruk geeft bestuurders van grotere organisaties alle praktische handvatten...