Net zoals bedrijven regelmatig een brandoefening houden, zouden ze ook een plan moeten hebben voor het geval ze te maken krijgen met een cyberaanval. ‘Niet het incident bepaalt de perceptie die we hebben van een bedrijf, wel de manier waarop het ermee omging.’

Kijken we vandaag naar het cybersecuritylandschap, dan komen we tot een tweeledige vaststelling. Enerzijds is het goed om te zien dat er nog nooit zoveel aandacht was voor cybersecurity. Anderzijds vallen veel bedrijven nog altijd uit de lucht wanneer ze het slachtoffer blijken van een cyberaanval, of zijn ze toch minder goed voorbereid dan ze initieel dachten. ‘Het is belangrijk om een set van vooraf bepaalde acties klaar te hebben, zodat je een cyberaanvaleffectief kunt managen en de impact ervan verzachten’, zegt Jan De Bondt, Head of Cybersecurity Advisory Services bij Orange Cyberdefense op het jaarlijkse Orange Cyberdefense Live event.

‘De praktijk toont dat bedrijven eerst tegen de muur moeten lopen, alvorens ze budget en mensen vrijmaken’

‘Bedrijven wanen zich vaak te veilig’, bevestigt Tom De Laet, hoofd van het Europese Incident Response Team bij Check Point. ‘Ze hebben het gevoel dat ze genoeg beveiligingsoplossingen hebben. Maar vaak gaat het om verschillende oplossingen die niet met elkaar geïntegreerd zijn, geen data uitwisselen, of niet correct zijn geconfigureerd.’ Louter voldoen aan het lijstje van software- en systeemvereisten is dus onvoldoende. ‘Bij veel bedrijven zien we dat het bewustzijn onder de medewerkers weliswaar groot is’, vervolgt De Laet, ‘maar dat er in de praktijk te weinig budget of ondersteuning is, bijvoorbeeld omdat het management cybersecurity nog te veel als een zijprobleem beschouwt. De praktijk toont dat bedrijven eerst tegen de muur moeten lopen, alvorens ze budget en mensen vrijmaken.’

Heldere communicatie

Lopen ze tegen de muur, dan is communicatie belangrijk. Ligt een bedrijf plat, omwille van een aanval met ransomware bijvoorbeeld, dan is het belangrijk om te communiceren over wat er aan de hand is en hoe de situatie evolueert. ‘Die taak laat je best over aan personen met ervaring in pr of mediacommunicatie’, zegt Jan De Bondt. De bedrijfsleider zelf is op dat moment emotioneel te sterk betrokken.

Nog belangrijker om een cybercrisis succesvol te doorstaan, is de interne communicatie. Jan De Bondt: ‘Een open en eerlijke communicatie zorgt ervoor dat medewerkers weten wat er aan de hand is en wat hen te doen staat, waardoor ze minder fouten maken.’ Dat is niet alleen bevorderlijk voor de continuïteit op het moment zelf, maar helpt ook later. Medewerkers die op de hoogte zijn van wat er gebeurt, zullen sneller hun bezorgdheden en vragen delen en op die manier zaken aanbrengen die nog niet op de radar stonden. De Bondt haalt het voorbeeld aan van de Universiteit Maastricht, die in 2019 na een ransomware-aanval heel open en informatief communiceerde.

‘In ons land zijn bedrijven vaak beschaamd om naar buiten te komen met het nieuws dat ze slachtoffer zijn geworden van een ransomware-aanval’

Daarin ziet hij een duidelijk cultuurverschil tussen België en Nederland. ‘In ons land zijn bedrijven vaak beschaamd om naar buiten te komen met het nieuws dat ze slachtoffer zijn geworden van een ransomware-aanval en al dan niet losgeld hebben betaald. Het is belangrijk om te onthouden dat je als bedrijf niet beoordeeld wordt op het feit dat je getroffen bent, maar wel op de manier waarop je een cybercrisis aanpakt.’ Net daarom is de externe communicatie zo’n belangrijk instrument. Maar: op het juiste moment. Bij een vroeg geïdentificeerde cyberdreiging die geen schade aanrichtte, is communiceren net af te raden. Jan De Bondt: ‘Er kan immers altijd hulp van binnenuit mee gemoeid zijn. Het afsluiten van alle systemen is dan de eerste prioriteit.’

Bedrijfscontinuïteit voorop

Ivo Jacobs, managing director van het Heilig Hartziekenhuis in Mol, blikt tijdens het evenement van Orange Cyberdefense terug op de ransomware-aanval die het ziekenhuis begin 2021 doormaakte. Jacobs is arts, geen IT’er. ‘Gedurende de crisis kwam het spanningsveld tussen de zorgmedewerkers en de IT-specialisten duidelijk naar voren. De specialisten stelden voor om alle systemen zo snel mogelijk uit te schakelen en ontoegankelijk te maken, maar artsen en verpleegkundigen wilden hun zorg natuurlijk liever voortzetten en daarvoor is toegang tot medische data onmisbaar.’

‘Wanneer je niet langer op IT-systemen kan vertrouwen, moet je overschakelen naar een andere aanpak, in ons geval pen en papier.’

Het Heilig Hartziekenhuis besliste dat zorgverleners nog één uur toegang kregen tot de systemen om alle data te downloaden die ze nodig hadden om de volgende twee dagen de zorg te kunnen garanderen. ‘Zo konden we alle patiënten op dat moment verder verzorgen.’ Het ziekenhuis hanteerde daarbij een aanpak met twee crisiscellen: één van IT-experts, naast een medische crisiscel die de continuïteit van de zorg op zich nam. ‘In tijden waarop je niet langer op IT-systemen kan vertrouwen, moet je overschakelen naar een andere aanpak. In ons geval betekende dat onder meer het registreren van bezoekers en personeel met pen en papier.’

De oorzaak van de ransomware-aanval bleek een gehackte domeincontroller, via een oude account die niet was uitgeschakeld. Al bij al bleek de impact eerder beperkt, aangezien maar 50 van de 800 systemen getroffen waren. Ruimte om te onderhandelen over losgeld was er niet. Maar doordat het ziekenhuis zelf snel achter de beperkte impact kwam, betaalde het uiteindelijk wel minder dan wat de cybercriminelen initieel hadden geëist. Zes dagen later was het ziekenhuis weer volledig operationeel.

Cybersecurityverzekering

De directe kosten van de cyberaanval bij het Heilig Hartziekenhuis liepen op tot een bedrag tussen 700.000 en een miljoen euro. Het ziekenhuis kon die kosten grotendeels verhalen op zijn cybersecurityverzekering. ‘Het resultaat daarvan was wel dat we geen nieuwe verzekering meer konden nemen, tenzij tegen een veel hogere premie en strengere voorwaarden’, aldus Ivo Jacobs. ‘Het incident leidde eveneens tot een discussie over het outsourcen van IT. Het toezicht op onze IT-systemen gebeurt sindsdien extern.’ Over de kwestie of het voor bedrijven opportuun is een verzekering te nemen, is Jacobs duidelijk. Hij raadt zo’n verzekering sterk aan. ‘Want wat als de schade veel groter was geweest?’

Om zich beter te beschermen tegen cyberincidenten, investeerde het Heilig Hartziekenhuis in een security operations center (SOC). Dat is vandaag in veel gevallen trouwens een voorwaarde om in aanmerking te komen voor een eventuele verzekering. ‘Voortaan hanteren we ook een zero-trust benadering, zowel fysiek als online. Zonder toegangsgegevens geraak je nergens binnen en telkens vragen we om expliciete verificatie via tweefactorauthenticatie.’

De cybersecurityverzekering bleek in het geval van het ziekenhuis in Mol zeker haar nut te hebben. Toch houdt ze ook een gevaar in: dat bedrijven zich erachter verschuilen en geen proactieve houding aannemen. Tom De Laet: ‘Elke situatie is anders. Het nut van een verzekering is telkens een afweging tussen de directe en indirecte kosten, verbonden aan het al dan niet nemen van de verzekering. Het is belangrijk dat bedrijven beseffen dat een verzekering slechts een miniem aspect mag zijn van hun hele inspanning rond cybersecurity.’

Ethisch vraagstuk

Voorkomen blijft beter dan genezen. Maar wat als je toch prijs hebt? Bij een aanval met ransomware volgt dan de onvermijdelijke vraag: betaal je het gevraagde losgeld? Of nog: betaal je en hou je zo het businessmodel van de criminelen in stand, of betaal je niet en vergroot je de schade mogelijk nog? “Dat is een ethisch vraagstuk”, zegt Tom De Laet. “Vanuit het oogpunt van de bedrijfscontinuïteit bestaat daar dikwijls minder discussie over, omdat er veel op het spel staat.” Betalen biedt mogelijk de goedkoopste en snelste oplossing. “We zien bovendien dat cybercriminelen woord houden, anders zakt hun businessmodel in elkaar.”

Voor bedrijven is het aangewezen om te proberen te onderhandelen over het bedrag van het losgeld, zoals ook het Heilig Hartziekenhuis dat deed. Tom De Laet: ‘De ruimte die je daarvoor hebt, hangt af van de groep waarmee je te maken hebt en welke data ze te pakken hebben gekregen. Als ze een goeie verkenning hebben gedaan, dan weten ze ook wat de financiële slagkracht van het getroffen bedrijf is. Vertrouw daarom best op professionals voor het voeren van de onderhandelingen, want die zijn emotioneel niet betrokken.’