Schipper Logistiek, actief op drie continenten, 250 klanten, 15.000 mensen in dienst en een omzet van 800 miljoen per jaar is gehackt. Ransomware zoals het in eerste instantie lijkt, maar ook is duidelijk dat er gegevens gestolen zijn. Grijp je in of wacht je af, en hoe communiceer je met partners, klanten en leveranciers? Dat waren een paar dilemma’s waar acht (logistieke) experts zich over bogen medio juni tijdens een workshop bij en door Hunt & Hackett.
Impact van je besluit
Iedere beslissing heeft impact op de continuïteit van de keten. De allereerste vraag die je jezelf moet stellen is, schakel je een expert in á 200.000 euro (fictief bedrag) of ga je als bedrijf zelf aan de slag met het onderzoek naar het incident? Unaniem kiest de groep trainingskandidaten voor het inschakelen van een expert. De afwegingen: de kosten zijn fors, maar vallen in het niet bij de omzet en de eventuele voortvloeiende reputatieschade. Bovenal mag worden aangenomen dat de expert beter in staat is het incident te managen en sneller. En snelheid is geboden, aangezien bedrijven op basis van de (nog in te voeren) NIS2-regelgeving wettelijk verplicht zullen zijn om binnen een bepaalde termijn incidenten extern te melden. Binnen 24 uur moet je als bedrijf een waarschuwing uitdoen naar buiten dat je bent gehackt. Binnen 72 uur moet je onder meer de ernst en de impact delen en binnen een maand een detailleerde beschrijving van de impact, de oorzaak en de genomen reductiemaatregelen. Kortom: tijd is geld maar in dit geval is dat wellicht de juiste afweging.
Dilemma’s
Maar dan begint het echte werk pas. Je moet achterhalen hoe groot de impact is, wat de oorzaak is en geïnfecteerde bestanden herstellen. Wat krijgt voorrang? Alles heeft een voor- en nadeel. Daarom adviseert Mattijs Dijkstra, Senior Incident Handler bij Hunt & Hackett ook root cause (oorzaak achterhalen) en herstellen zoveel mogelijk parallel te doen. “Je wil zo snel mogelijk herstellen, business impact verkleinen, maar ook weten wat de root cause van het incident is. Om te voorkomen dat je hier over twee weken weer zit met exact hetzelfde probleem.” Dijkstra adviseert om tachtig procent van het onderzoek ‘uit te lopen.’ “Op een gegeven moment weet je voldoende om te kunnen gaan herstellen en ga je gaandeweg nog systemen onderzoeken. Je moet het onverwachte verwachten. Met beperkte informatie moet je toch absolute besluiten nemen.”
Oefening baart kunst ook voor cyberaanvallen
Dat is inherent aan een crisis. En door daarmee te oefenen, word je daar ook steeds beter in. Wat betreft oefenen: de frequentie van oefening hangt af van de volwassenheid die je als bedrijf ten aanzien van cybersecurity en je ‘incident response’ vaardigheden. Je moet ook waken voor oefen moeheid. Daarom adviseert Dijkstra minimaal een keer per jaar te oefenen en goed te kijken naar wie welke rol heeft. De board en het crisismanagementteam hebben andere training nodig dan IT techneuten.
Crisiscommunicatie is geen marketing
Om de impact te verkleinen is goede communicatie essentieel. Crisiscommunicatie is wat anders dan marketing, aldus Dijkstra. Zijn advies is dan ook hier goed over na te denken en de boodschap zakelijk te houden. En wat moet je doen met een interviewaanvraag van een journalist? De groep van acht is verdeeld; een derde wil niet meewerken aan een interview om niet nog meer olie op het vuur te gooien en omdat er geen nieuws is. Een overweging om wél in te stemmen met een interview is dat je in ‘the lead’ blijft, gooit Dijkstra de deelnemers voor de voeten. “Het artikel wordt toch wel gemaakt. Door mee te werken heb je nog enige invloed op de input, timing en kan je nuance aanbrengen.”
Losgeld betalen?
Een ander dilemma waar je als gehackt bedrijf meet moet dealen is: betalen of niet betalen? Dijkstra: “Mijn nette antwoord is niet betalen. Soms mag je ook niet betalen in verband met (internationale) afspraken. Maar als je geen keuze hebt, heb je geen keuze. Daarom wil je ervoor zorgen dat je aan de voorkant genoeg waarborgen hebt ingericht, dat je ‘incident ready’ bent, back‑ups hebt, zodat je niet tot die betaaloptie komt.”
Wil je meer informatie? check het incident response playbook
