Zeg niet langer ‘continuïteit’; zeg veerkracht. Nu het aantal cyberaanvallen, en de risico’s die gepaard gaan met een onstabiele operationele omgeving, steeds omhoog gaan, moet de IT-afdeling een proactieve strategie hanteren, in plaats van een reactieve.
‘Er zijn twee soorten organisaties’, stelde Eric Van Cangh, Senior Business Group Leader bij Agoria, tijdens het recente TechXperience-seminar georganiseerd door WIN en de NRB Group. ‘De organisaties die gecompromitteerd zijn en de organisaties die zich er nog niet van bewust zijn.’ Die constatering wordt bevestigd door de cijfers. Het VLIAO (het Vlaams Agentschap voor Innovatie en Ondernemen) schatte in zijn Cybersecurity Barometer 2024 dat één op de twee Vlaamse bedrijven slachtoffer was geworden van een cyberaanval en dat in één op de tien gevallen deze cyberaanval schade had veroorzaakt, ondanks het feit dat 71% van de bedrijven van mening was de nodige maatregelen te hebben genomen.
Tijdlijn van hacking
Tijdens hetzelfde seminar besprak Lorenzo Bernardi, CISO van NRB, de tijdlijn van een cyberaanval en de impact ervan op IT en de hele organisatie. ‘Veerkracht vereist een zakelijk perspectief in plaats van alleen een technisch perspectief’, benadrukt hij. Hij noemt ook het voorbeeld van een IT-storing, mogelijk het gevolg van een cyberaanval, die plaatsvindt op het slechtst denkbare moment (vrijdagmiddag). Daardoor kan het centrale aanspreekpunt onbereikbaar zijn terwijl het IT-netwerk platligt.
Toch moeten die IT-systemen zo snel mogelijk worden hersteld. ‘Zonder overhaast te werk te gaan’, benadrukt Bernardi, ‘want dan loop je het risico bewijsmateriaal te vernietigen dat de daders, de oorzaken en meer zou kunnen identificeren.’
Vandaar de noodzaak om de juiste procedures te implementeren, zowel voor IT-herstel als voor communicatie. Denk daarbij aan procedures die back-ups vereisen, maar die mogelijk door hackers zijn geïnfecteerd. Om dit aan te pakken, is het belangrijk om onveranderlijke kopieën van de systemen te maken, kopieën die buiten het bedrijf worden opgeslagen. ‘En we mogen niet vergeten deze back-ups te testen’, merkt de CISO van NRB op.
De volgende stap
En als herstel losgeld vereist, wat doe je dan? Of wat als het losgeld in bitcoins moet worden betaald, terwijl het bedrijf geen cryptocurrency-account heeft? Laten we er nu van uitgaan dat de back-ups zijn hersteld. Weten we welke servers en/of applicaties kritiek zijn en met prioriteit moeten worden hersteld? En op welke infrastructuur moeten ze worden geïnstalleerd? In dit geval pleit Lorenzo Bernardi voor ‘Infrastructure-as-Code’, wat het gemakkelijker maakt om platforms en applicaties opnieuw te implementeren, te beginnen met prioritaire services (die vooraf moeten worden gedefinieerd).
‘Vandaar het belang van een zakelijke aanpak: beginnen met de business en deze vervolgens combineren met de juiste infrastructuur – dat is echte veerkracht’, vervolgt onze CISO. Verder benadrukt Bernardi de juridische rapportage, met name in het kader van de AVG en NIS-2-regelgeving (wie doet de rapportering? in welke vorm?). Hij meldt ook dat elke crisis een emotionele dimensie heeft, wat geformaliseerde plannen vereist. ‘Data is het belangrijkste bezit van een organisatie en is per definitie uniek voor elk bedrijf. Vandaar het belang van een veerkrachtplan waarbij alle belanghebbenden betrokken zijn, niet alleen IT.’
Ten slotte is het, zodra de crisis voorbij is, belangrijk om te reflecteren op de nasleep, te analyseren wat er is gebeurd, het te documenteren, de veerkrachtplannen bij te werken en mogelijk ervaringen te delen met collega’s. ‘Je moet transparantie voorop stellen en zelfs proactief zijn in een dergelijke crisis’, concludeert hij.