Beheer

Zo zet je een goede security-oefening op
Welke vorm kies je, wie moet je betrekken en wat zijn de eerste stappen?
Welke vorm kies je, wie moet je betrekken en wat zijn de eerste stappen?
Stel je voor, je wordt getroffen door een ransomware-aanval. Of een (voormalig) werknemer met een wrok steelt allerlei data of maakt je systemen kapot. Wat doe je dan? Om te voorkomen dat je met de handen in het haar zit, is het goed om dergelijke scenario’s te oefenen middels een cyberoefening. Maar hoe zet je zo’n oefening goed op?
Vrijwel ieder bedrijf voert tegenwoordig brandoefeningen uit. Mocht er dan een keer echt brand uitbreken, dan weet iedereen wat ze moeten doen. BHV-teamleden zorgen dat de juiste hulpverlening ingeschakeld is, iedereen veilig buiten komt te staan op een afgesproken plek en welke andere beleidsregels gevolgd moeten worden.
Een cyberoefening heeft hetzelfde doel, maar dan op digitaal gebied. “Zo’n oefening is heel nuttig om te zien of je de juiste maatregelen hebt genomen, zoals het maken van een back-up volgens de juiste principes. Heb je dat gedaan en werkt die?”, zegt Liesbeth Holterman, strategisch adviseur bij belangenvereniging Cyberveilig Nederland en freelance strategisch adviseur. “Bovendien neem je in een moment van paniek vaak niet de juiste beslissing. Oefenen is nuttig, omdat je dan in ieder geval weet wie je nodig hebt en je alvast hebt nagedacht wat je bijvoorbeeld met je toeleveranciers en klanten doet.”
Daarnaast helpen oefeningen om vooraf vast te bepalen wanneer je wel of niet betaald in het geval van een ransomware-aanval. “Wat zijn je persoonlijke, commerciële en juridische motieven om wel of niet te betalen? En tot hoe ver wil je gaan voor je betaald? Dit soort dingen staan niet per se in draaiboeken, maar zijn wel goed om over te praten, zodat je niet in een oeverloze discussie verzandt op het moment zelf.”
Van simulatie tot tabletop
Wie een cyberoefening wil opzetten, hoeft niet direct een grootschalige, meerdaagse simulatie op te zetten. Cyberoefeningen zijn er in allerlei vormen en smaken, van kleinschalig tot sectorbreed. “Begin gewoon eens op papier en heb het over wat je doet in zo’n scenario”, zegt Dave Maasland, directeur van beveiligingsbedrijf ESET Nederland. “Als je een draaiboek hebt en je doet dit al voor de vierde keer, dan weet je al dat je het draaiboek erbij moet pakken, wie wie belt en wat je gaat communiceren. Maar bij de eerste keer moet je nog bepalen wat stap één eigenlijk is.”
Om te bepalen wat voor soort oefening je het beste kunt doen, is het belangrijk om van tevoren vast te stellen wat de oefendoelen zijn, meent projectleider Charlie van Genuchten van SURF. SURF organiseert eens in de twee jaar een grootschalige cyberoefening voor de onderwijssector en organiseert daarnaast zogeheten tabletop-oefeningen. “Natuurlijk kun je echt op ransomware willen oefenen en een grote simulatie opzetten. Maar als je alleen je centraal managementteam kennis wil laten maken met elkaar, dan kun je gewoon een tabletop oefening doen en hoef je niet twee dagen in simulatie te zitten. Of als je wil checken of iemand bij een crisis binnen een kwartier terugbelt, kun je gewoon iedereen af gaan bellen en zien hoe snel ze reageren. Er zijn veel verschillende smaken. ”
Daarnaast is volgens Maasland belangrijk dat er van tevoren al iemand verantwoordelijk is gemaakt. Wie dat is, maakt weinig uit. “Diegene komt vaak vanuit de security-afdeling, maar kan ook vanuit bijvoorbeeld finance komen.”
Realistisch scenario
Volgens Maasland is dan ook vooral van belang dat het scenario realistisch is. Wat als de meest vitale onderdelen van je bedrijf bijvoorbeeld getroffen zijn? “Omdat het dan om het daadwerkelijke bedrijfsproces gaat, kan men vanuit daar gaan werken”, legt hij uit. De voorbereiding hoeft dan niet eens heel uitgebreid te zijn: een kort scenario met minimale informatie – bijvoorbeeld: “de webshop ligt plat, als gevolg van ransomware, wat nu?” – kan al voldoende zijn. Wie inspiratie zoekt, kan vaak gewoon bij de eigen IT- of securitymensen beginnen. “Vraag aan je eigen IT-werknemers hoe zij het bedrijf zouden aanvallen of kapotmaken. Daar komen vaak de interessante zaken uit.”
Maar natuurlijk kan een volledige simulatie ook, zoals SURF dat doet. En ook bij zo’n grote simulatie kunnen allerlei scenario’s ingezet worden. Zo werd er een oefening rondom ethisch hacken en het aanpassen van gegevens gedaan, maar is er ook al eens geoefend met een ransomware-aanval. Van Genuchten: “We proberen ook oefeningen te doen waarbij niet direct duidelijk is wat er gaande is. Bijvoorbeeld datadiefstal of iets waarbij je per ongeluk buiten je systeem wordt gesloten omdat iemand je wachtwoord heeft aangepast. Hoe kom je daar achter en hoe manage je dat?”
- Begin klein en op papier.
- Stel van tevoren op wat de oefendoelen zijn en wat er precies geoefend wordt.
- Maak iemand verantwoordelijk voor de oefening.
- Stel een realistisch scenario op.
- Zorg dat de juiste mensen aanwezig zijn bij de organisatie
- Vergeet de communicatie niet in de oefening, zowel intern als extern.
- Oefen ook eens met partners in de keten door een supply chain-aanval te simuleren.
- Zorg dat er altijd iemand bij is die observeert en achteraf feedback kan geven. Diegene is verder niet betrokken bij de oefening zelf of het opstellen van het scenario.
- Oefen meer dan eens. Eens per jaar wordt door veel expert aangeraden.
Scenario’s kunnen bovendien ook gaan over situaties buiten je eigen organisatie. Holterman: “Veel mkb-ondernemers zijn afhankelijk van hun IT-leverancier. Dus als er wat gebeurt, is het nuttig om te weten of de IT-leverancier in staat is om je op dat moment te helpen of dat je specifieke incident response-capaciteit nodig hebt.”
Wie moet erbij zijn?
De volgende vraag is wie er dan precies bij moet zijn. En dat hoeft lang niet iedereen te zijn, benadrukt Earth Grob, security expert bij beveiligingsbedrijf Fox-IT. “Uiteindelijk heeft maar een select aantal mensen echt met zo’n oefening te maken. Er is niets irritanter dan te horen: ‘Dit is niet mijn verantwoordelijkheid.’ Dus stel eerst op wie er verantwoordelijk is en wie er echt bij aanwezig moet zijn. Dat definieert ook de rest van de oefening. Heeft bijvoorbeeld vooral het technische team oefeningen nodig? Dan moet er gesimuleerd worden hoe een crisis zich technisch afspeelt. Maar doe je het op bestuursniveau, dan heb je iets minder technisch nodig en draait het meer om hoe je door de bomen het bos ziet.”
Natuurlijk is er ook een optie om beide teams te betrekken, wat Grob zelf het leukste vindt. “Dus dan heb je in één kamer het technische team en in de andere kamer het centrale managementteam. Het technische teams krijgt input en moet doorspelen naar het managementteam wat er gebeurt. Er moeten adviezen voor elkaar worden opgesteld en stappen worden gezet. Je kunt zo dus veel meer inzoomen op hoe het echt gaat en afstemmen hoe je met elkaar omgaat tijdens zo’n incident.”
Maar volgens Holterman van Cyberveilig Nederland zijn er ook snel communicatie- en juridische mensen nodig. “Hoe open kun je zijn als je organisatie plat ligt? Wat is er juridisch nodig? Een cyberoefening wordt vaak heel IT-gericht ingestoken, maar dan mis je de boot. Het is namelijk een organisatorisch probleem, waar ook het management over na moet denken. Wat zijn de consequenties als we stil komen te liggen?”
Loggers en planners
Wat echter nooit mag ontbreken, is iemand die alleen maar observeert, stelt SURF-projectleider Van Genuchten. “Oefeningen werken het beste als mensen observeren en teruggeven wat ze gezien hebben. Het beste is als dat dan niet diegene is die ook het scenario heeft geschreven. Het is fijn als het een neutrale partij is.”
Fox-IT kiest hier volgens Grob graag de CISO voor. “Die zeggen namelijk vaak dat als zij erbij gaan zitten, de rest van het team alles aan de CISO gaat vragen. Natuurlijk is dat realistisch, maar je schuift daarmee het probleem ook wel af op een ander.” En juist dat kan gevaarlijk zijn: een CISO kan om tal van redenen niet beschikbaar zijn tijdens een crisis. Wat doe je in zo’n geval? “Dus geven we de CISO vaak een passieve rol.”
En ook het communicatie-aspect binnen een crisis mag niet ontbreken in een oefening, vinden zowel Holterman als Grob. “Communicatie vind ik echt een ondergewaardeerd onderdeel van de oefeningen. Dit moet echt simpel worden. Je wil niet dat iemand binnen komt lopen met een boek van een duim dik en daar eerst doorheen moet bladeren. Wij [Fox-IT, red.] adviseren om een beknoptere variant uitgeprint te hebben liggen en dat men weet waar die te vinden is. En dat daarmee de communicatie – niet alleen tussen teams, maar ook naar je werknemers toe – goed loopt. Want er is ook een grote groep mensen die gewoon door wil met zijn werk, die vragen heeft en zorgen heeft.”
Maandelijks of jaarlijks?
Een brandoefening wordt bij voorkeur eens per jaar gehouden. En ook daarin is een cyberoefening vergelijkbaar: alle vier de experts adviseren om in ieder geval eens per jaar aandacht te besteden aan cyberoefeningen. “En dat kun je echt al in heel kleine zin doen: ga eens met elkaar om de tafel zitten en bespreek wat het ergste is dat je kan overkomen. Dat heeft al waarde, zelfs als je geen hele oefening kunt opzetten”, aldus Van Genuchten.
Maar uiteindelijk verschilt het per organisatie hoe vaak een cyberoefening eigenlijk gehouden moet worden. “Als de verstoring van de bedrijfscontinuïteit bovenaan je prioriteitenlijstje staat, wil je dit twee keer per jaar doen. Gewoon ter verfrissing”, aldus ESET Nederland-directeur Maasland.
Een technisch team kan een kleinschaligere oefening desnoods nog vaker doen, zegt Grob. “Idealiter laat je je technische team iedere maand een ‘brandoefening’ doen. Dat kan bijvoorbeeld het isoleren van een systeem en het afhandelen van papierwerk zijn, zodat de verantwoordelijke puur op gevoel en ervaring zo’n incident kan afhandelen. Voor het centrale managementteam en hogerop kijk ik toch naar twee of drie keer per jaar. Practice does not make perfect, maar het zorgt wel voor verbetering.”
Wie graag aan de slag wil met cyberoefeningen, maar hier nog meer informatie bij zoekt, kan op verschillende plekken terecht voor draaiboeken en handreikingen. Hieronder een lijstje van een aantal bronnen van informatie:
- Handreiking Cyberoefenen van de Cybersecurity Alliantie
- Handleiding en draaiboek opzetten cybercrisisoefeningen van SURF
- Cyberoefenpakket VNG: Oefenscenario’s digitale incidenten
- Toolbox cyberincident van de Digitale Overheid
Redacteur bij AG Connect. Schrijft onder meer over de IT-arbeidsmarkt, IT-onderwijs, software-ontwikkeling en zakelijke software.
e.meijer@agconnect.nl