Organisaties verdeeld over de benodigde vervolgacties tijdens een cybercrisis
Er zijn steeds meer voorbeelden van cyberincidenten met grote impact op de continuïteit, op het imago en op de medewerkers. Alleen een goede IT-respons is niet genoeg, want een cyberincident kan snel uitgroeien tot een crisis. Wanneer dit gebeurt, is het belangrijk dat uw cybercrisismanagement goed geregeld is. Zo voorkomt u een hoop extra kosten en problemen. Hoe staan Nederlandse organisaties ervoor als het gaat om hun cybercrisismanagement? Wij legden hen drie dilemma’s voor.
Het eerste dilemma treedt op als nog niet eens is geïdentificeert wat er precies aan de hand is. Toch moet u dan al belangrijke beslissingen maken
Er zijn meerdere signalen dat IT-systemen in uw organisatie niet goed functioneren. Meldingen van medewerkers en toenemende haperingen. Mogelijk is het een cyberaanval. Wat doet u? Zet u systemen en internet toegang stop of laat u nader onderzoek door specialisten verrichten?
Iets meer dan 50% van de respondenten koos voor antwoord a. Er is dus duidelijk een tweedeling in aangaande de voorkeur voor vervolgactie. De krappe meerderheid onderkent dat uitzetten of aanpassen van systemen en toepassingen, mogelijk grote gevolgen heeft. Er is inzicht nodig in kritieke systemen en in de IT-samenhang om precies te weten wat mogelijke gevolgen zijn van het stoppen van specifieke toepassingen. De tweede groep wil geen risico nemen: langer wachten betekent mogelijk meer schade. Een belangrijke vraag is wat u verwacht van IT: weten zij hoe te handelen? En: welk mandaat heeft IT of de CISO om op te treden?
Het blijkt zich daadwerkelijk om cybercriminaliteit te draaien. Hoe gaat u om met een vraag om ransom?
Na tien minuten blokkeren alle computers en verschijnt er een ransomware-scherm. U moet twintig bitcoin betalen om weer toegang te krijgen. Een reset zal waarschijnlijk niet helpen. Betaalt u of niet?
Ook hier zijn de antwoorden praktisch gelijk verdeeld. Zo kiest 49% voor a. Uit de praktijk, en ook tijdens de discussies die we hadden op onze seminars, blijkt dat het soms niet zo eenvoudig ligt. Niet betalen is een goed uitgangspunt, maar zijn er situaties denkbaar dat je als organisatie toch gaat twijfelen. We betalen niet, tenzij … Het loont om na te denken over deze tenzij. Niet omdat je dan eerder gaat betalen, maar omdat het antwoord op de vraag ‘wat is onze tenzij?’ veel zegt over de eigen kwetsbaarheid.
De politie adviseert om niet te betalen. Er is geen garantie dat het probleem ook wordt opgelost. Mogelijk komen de kwaadwillenden terug omdat u chantabel bent geworden. Bovendien draagt u met het betalen bij aan het in stand houden van de criminele activiteiten. Toch zijn er organisaties die wel betalen. Vooral als het gaat om cruciale data die niet op een andere manier terug te halen is. Of als de situatie risico’s met zich meebrengt voor veiligheid of beveiliging; bijvoorbeeld omdat cruciale data niet kan worden gebruikt door veiligheidssystemen.
En hoe gaat u om met communicatie richting klanten en leveranciers?
Er is een uur verstreken. Mogelijk gaan klanten en/of leveranciers de problemen nu snel merken. Gaat u over tot het informeren van belangrijke leveranciers en klanten of wacht u tot tot het echt niet langer kan en werkt ondertussen aan oplossing?
Hier is een duidelijke ‘winnaar’ te zien. Antwoord b werd door 73% van de organisaties als beste optie aangemerkt. Het wel of niet communiceren en het moment van communiceren vinden zij moeilijk. Zij stellen dit moment het liefst zo lang mogelijk uit. Deze uitkomst past bij wat wij in vergelijkbare praktijksituaties en oefeningen zien. Organisaties wachten liever. Ze gaan na wat er juridisch verplicht is, maar hebben ondertussen zorg over imago en vertrouwen. De hoop is dat het probleem tijdig wordt opgelost. Toch is er ook een kleinere groep die leveranciers en klanten het liefst vroegtijdig informeren, omdat zij betrouwbaar willen zijn. Zij vinden het belangrijk dat stakeholders het van hen horen en niet op een andere wijze. Informeren kan leiden tot zorgen die later onnodig blijken. Te laat informeren kan leiden tot schade/problemen bij leveranciers en klanten. Een belangrijke vraag is of anderen ook risico lopen door de situatie in uw organisatie.
Crisisdilemma’s: welke keuzes maakt u?
De kans op een cyberaanval is levensgroot en hackers discrimineren daarbij niet op soort organisatie. Het moment dat u geraakt wordt, kan dus dichterbij zijn dan u denkt. Door vooraf, maar juist ook tijdens een aanval de juiste beslissingen te nemen, kunt u een hoop ellende voorkomen. Snelle, goede beslissingen maken tijdens een aanval het verschil. Weet u wat u moet doen? Lees meer op aon.nl/cybercrisismanagement.