'Organisaties niet goed voorbereid op cyberincidenten door te weinig oefening'
De politie, het Openbaar Ministerie (OM), 32 gemeenten en verschillende veiligheidsregio’s in Noord-Holland hebben recent een cyberoefening uitgevoerd. Organisaties die incidentscenario’s oefenen zijn beter voorbereid wanneer een echt incident plaatsvindt. De meeste organisaties oefenen echter veel te weinig. In een tijd waarin cyberincidenten aan de orde van de dag zijn, is het is essentieel dat ze dat veel vaker gaan doen en ook met veel verschillende scenario’s oefenen.
Veel organisaties bereiden zich voor op incidenten door een draaiboek op te stellen. Dit draaiboek maakt inzichtelijk welke stappen ze moeten doorlopen om een incident op te lossen en wie ze hierbij in welk stadium moeten betrekken. Ze oefenen met deze draaiboeken door incidenten te simuleren. Zo leren hun beveiligingsteams hoe ze hun beveiliging kunnen aanscherpen.
Er wordt echter veel te weinig geoefend. Vaak maar één keer per kwartaal of zelfs per jaar. En negen van de tien keer beslaat de oefening één en hetzelfde incidentscenario: een ransomware-aanval. Hoewel ransomware-aanvallen aan de orde van de dag zijn, bestaat ‘dé ransomware-aanval’ niet: ze zijn divers in hun soort. Bovendien maken cybercriminelen gebruik van veel verschillende aanvalstactieken. Denk aan phishing, Man-in-the-middle-aanvallen of DDoS-aanvallen. En dit zijn alleen nog maar dreigingen van buitenaf. Incidenten kunnen ook door interne IT-problemen ontstaan.
Het is daarom belangrijk dat organisaties verschillende incidentscenario’s gaan oefenen. En dat niet af en toe, maar het hele jaar door. Het liefst één keer per twee weken. Het continu trainen zorgt ervoor dat teamleden goed op elkaar ingespeeld raken, waardoor ze beter zijn voorbereid wanneer een echt incident plaatsvindt. Beveiligingsteams hoeven deze scenario’s niet zelf te creëren. Software-tools kunnen met behulp van kunstmatige intelligentie unieke scenario’s creëren waardoor beveiligingsteams met veel verschillende incidenten in aanraking komen.
Door: Pieter Jansen, SVP of Cyber Innovation bij Darktrace