Ieder bedrijf heeft ontruimingsplannen. Zodra het alarm gaat, staat men op en loopt men zo kalm mogelijk, al dan niet met gebruik van een nooduitgang, naar buiten en ontmoet men elkaar op het vooraf aangewezen trefpunt. Minstens eens per jaar wordt een ontruiming geoefend en worden plannen waar nodig bijgesteld. Logisch, toch? Je wil als bedrijf niet dat je medewerkers bij een alarm allemaal blijven zitten, of dat er grote paniek uitbreek, mensen door elkaar heen gaan rennen en niet weten waar de uitgang is.
Toch is dit wel wat er in digitale contexten vaak gebeurt. Bedrijven hebben soms geen idee wat ze overkomt en weten niet waar ze moeten beginnen. Ondertussen tikt de klok, bijvoorbeeld die van de AVG bij een datalek, die van de omzet bij bedrijfsstagnatie en/of die van de hacker bij ransomware.
Net als bij (bijvoorbeeld) brand, moet er bij cyberincidenten snel gehandeld worden. Met een goede voorbereiding is er al heel wat leed te voorkomen. Het bestuur doet er dus goed aan om, net als een ontruimingsplan, een plan voor cyberincidenten op te stellen. Wat is daarvoor nodig? In deze blog geef ik een aantal tips.
1. Ken uw bedrijf (dus ook uw IT-beheerder of -leverancier)
In de hectiek bij een cyberincident is er geen tijd om eens rustig te worden bijgepraat over de gebruikte systemen en beveiligingsmaatregelen, de crown jewels, de logsystemen, de aard en hoeveelheid van gevoelige data et cetera. Zorg er dus voor dat het bestuur van deze zaken op de hoogte is en dat er korte lijnen bestaan met de IT-afdeling, dan wel de externe IT-beheerder. Maak met de externe IT-beheerder ook afspraken over bijvoorbeeld bereikbaarheid in noodsituaties.
2. Onderhoud uw plan en zorg voor een papieren exemplaar
Zet uw incident respons plan op papier. Sla het plan niet alleen ‘in the cloud’ of anderszins digitaal op, maar zorg ook voor een hardcopy exemplaar. Het zou vervelend zijn als u door een cyberincident niet meer bij uw zorgvuldig opgestelde plan kunt komen. Neem in dit plan ook een lijst van contactgegevens van eventueel in te schakelen externe partijen op (zie ook hierna).
Zorg ervoor dat uw plan up-to-date blijft. Controleer dus regelmatig of de contactpersonen en -gegevens nog correct zijn. Implementeer aanbevelingen van bijvoorbeeld audits, pentests en andere controles die zijn gedaan. Stel daarbij altijd de vraag of het plan nog wel aansluit bij de veranderende techniek, de bedrijfsvoering en de bijbehorende risico’s.
3. Breng uw wettelijke verplichtingen in kaart
Verken van tevoren de eventuele wettelijke verplichtingen die kunnen intreden. Zijn er persoonsgegevens betrokken bij het cyberincident, dan zal al gauw op grond van de AVG een melding aan de AP en eventueel aan de betrokkenen noodzakelijk zijn.
Is uw bedrijf een vitale aanbieder of een digitaledienstverlener (wat in de wet als één woord wordt gespeld), dan dient mogelijk ook op grond van de Wbni een melding worden gedaan. Aan welke bevoegde autoriteit die melding moet worden gedaan, hangt van uw sector af. Zorg dus dat u dit paraat heeft en dat u niet ‘in the heat of the moment’ nog allerlei juridische uitzoekklussen hoeft te (laten) verrichten.
4. Verdeel taken en wijs beslissers aan
Cyberincidenten vragen een multidisciplinaire aanpak: IT-technisch, juridisch, commercieel en management. Zorg dat duidelijk is wie welke rol speelt in het crisisteam.
Bij cyberincidenten moeten verder soms bijna onmogelijke beslissingen worden genomen. Neem het voorbeeld van de Universiteit Maastricht, waar moest worden besloten of wel of niet zou worden meegegaan in de eis van de hackers tot betaling van losgeld. De UM noemde dit een ‘duivels dilemma’. Dit kan ook gelden voor bijvoorbeeld de omgang met de media, of de vraag of het cyberincident naar buiten moet worden gebracht, of, in het geval van een privacy-incident, hoe de betrokkenen het beste kunnen worden benaderd.
Voor het nemen van dit soort beslissingen is bij cyberincidenten vaak heel weinig tijd. Bepaal daarom van tevoren wie beslissingsbevoegd is, wie bij de beslissing moeten worden betrokken en wie externe partijen inlicht (bijvoorbeeld toezichthouders).
5. Externe partijen
Hiervoor noemde ik al dat een incident respons team bij cyberaanvallen idealiter bestaat uit verschillende disciplines: IT-technisch, juridisch, communicatie en uiteraard het bestuur. Afhankelijk van de aard van uw bedrijf, kan het zinvol zijn om van tevoren al externe partijen te benaderen die u in geval van nood kunnen helpen, indien u de expertise of de capaciteit zelf niet in huis heeft.
Werkt u bijvoorbeeld veel met gevoelige gegevens? Dan is het aannemelijk dat bij een privacy-incident ook de betrokkenen moeten worden geïnformeerd. Bedenk van tevoren hoe u dat gaat doen en of u dat wel kunt: moet er bijvoorbeeld een call center worden opgericht? Moeten er brieven of e-mails naar duizenden personen worden gestuurd? Moet er een bericht worden geplaatst in de media?
Werkt u minder met gegevens, maar is bijvoorbeeld uw productie afhankelijk van geautomatiseerde systemen, dan heeft u andere prioriteiten bij cyberincidenten. Bedenk dus van tevoren welke expertise in welke situatie voor u het belangrijkste is en zoek daarbij waar nodig geschikte externe expertise.
6. Overweeg een verzekering
Er bestaan speciale verzekeringen voor schade door cyberincidenten, namelijk ‘cyberverzekeringen’. Deze verzekeringen bieden dekking voor eigen schade (bijvoorbeeld bedrijfsschade, schade door cybercrime of kosten bij het melden van een datalek) en voor schade van derden waarvoor u als verzekerd bedrijf aansprakelijk wordt gesteld. Een belangrijk onderdeel van de dekking zijn incident response diensten. Aan de verzekeraar gelieerde experts schieten u te hulp op het moment dat zich een cyberincident voordoet.
Deze verzekeringen zijn relatief nieuw. Daardoor bestaan er tussen de verschillende aangeboden polissen verschillen. Laat u dus goed informeren door een kundige verzekeringsadviseur indien u deze verzekering wil afsluiten.
7. Oefen
De beste manier om uw incident response plan te testen en goed te zijn voorbereid, is oefenen. Plan net als de jaarlijkse ontruimingsoefening ‘digitale ontruimingsoefeningen’ in. Een goede incident respons bij cyberincidenten vergt een goed op elkaar ingespeeld team. Wees u ervan bewust dat dit team idealiter bestaat uit personen die elkaars taal niet altijd even goed spreken: IT-technici, het bestuur, de juridische afdeling en communicatie. Zorg voor een centraal aanstuurpunt die op de juiste wijze de lijnen uitzet. Het blijft een waarheid als een koe: oefening baart kunst!
Vragen?
Heeft u vragen over cybersecurity, incident respons, cyberverzekeringen, aansprakelijkheid of privacy? Neem dan contact op met Nynke Brouwer.
