Na een cyberaanval verschuift de focus van preventie naar respons

Nog te veel mensen denken bij een cybercrimineel aan een eenzaat in een hoodie die ergens in een kelder razendsnel zit te typen en liters frisdrank zit te hijsen. Het wordt echter tijd dat we beseffen dat cybercriminaliteit in de voorbije jaren naast bijzonder lucratief, ook zeer georganiseerd is geworden, en dat hackersgroepen hun kwaadwillige activiteiten nu beheren als echte bedrijven.

Het is een kat-en-muisspel geworden, waarbij ondernemingen er continu moeten voor zorgen dat ze cybercriminelen een stap voor blijven. Door de nieuwe General Data Protection Regulation (GDPR), en het toenemende tekort aan cyberbeveiligingsvaardigheden, wordt dat er trouwens allemaal niet eenvoudiger op. In deze complexe context wordt een cyberaanval een zekerheid in plaats van een mogelijkheid, en is het enkel nog een kwestie van tijd. Een goed doordacht incidentresponsplan is in deze nieuwe realiteit dan ook essentieel.

Een enorm uitgestrekt strijdtoneel

De explosie van mobiele toestellen en apparaten die verbonden zijn met het Internet der dingen, de toenemende open samenwerking tussen bedrijven, de steile opmars van cloudtechnologieën … Allemaal dragen ze ertoe bij dat het strijdtoneel van cybersecurity enorm is uitgebreid. De onaflatende stroom verhalen over cybercriminaliteit en datalekken – denk maar aan WannaCry, of de wekelijkse verhalen van miljoenen persoonlijke gegevens die gelekt worden – is geen toeval. Datalekken zijn onvermijdelijk geworden. Een goed doordachte incidentresponsstrategie is dan ook essentieel geworden, vooral aangezien heel wat bedrijven overweldigd raken en moeite hebben om met de vereiste snelheid en efficiëntie te reageren wanneer ze een lek hebben of gehackt zijn.

Tel daar nog eens de nieuwe reguleringen bij zoals de GDPR (General Data Protection Regulation, van kracht vanaf mei 2018) die bedrijven 72 uur de tijd geeft om een inbreuk te melden, of PSD2 (dat nu al van kracht is) dat nog strenger is, en FSS-bedrijven (Financial Software & Systems) verplicht elke inbreuk binnen de 4 uur te melden. Dergelijke strakke deadlines vragen om een bijzonder praktisch incidentresponsplan.

Een heilige drie-eenheid onder druk

De klassieke zogenaamde ‘heilige drie-eenheid’ van cyberbeveiliging is detecteren, voorkomen en reageren. Inbreuken en hacks detecteren en voorkomen was lange tijd de belangrijkste investeringsfocus. Maar in een omgeving waarin het niet langer de vraag is of je gehackt zal worden, maar wanneer, moeten we onze focus beginnen te richten op het ontwikkelen van robuuste incidentresponsmaatregelen, met een reëel verdedigingsplan.

Een recent onderzoek van Ponemon (The Third Annual Study on the Cyber Resilient Organization, Ponemon Institute, maart 2018) toonde echter aan dat we nog een lange weg af te leggen hebben: 77% van de organisaties geeft toe geen formeel incidentresponsplan voor cyberbeveiliging te hebben (CSIRP – cybersecurity incident response plan) dat consistent doorheen de hele organisatie wordt toegepast. Het begint allemaal bij de keuze voor de juiste technologie, die op steeds meer geautomatiseerde wijze kan helpen anomalieën te detecteren. Hackers worden immers steeds slimmer. Sommige aanvallen kunnen in een oogopslag al voorbij zijn, terwijl andere jaren voorbereiding vergen voor ze zich volledig ontplooien.

AI kan daarbij helpen

Een goede stap om je te wapenen tegen deze brede waaier aan mogelijke aanvalsstrategieën, is zoveel mogelijk kennis vergaren, zo snel en efficiënt mogelijk. Ik illustreer dat even met een voorbeeld: het is niet handig om ergens een gigantische collectie pdf-bestanden te hebben met blogs over recente ontwikkelingen en responsstrategieën van beveiligingsexperts. Die gegevens zijn ongestructureerd, en het zou enorm veel tijd vergen om door al die blogs te gaan op zoek naar nuttige inzichten.

Als we onze eigen intelligentie echter aanvullen met technologie – met Watson for Cybersecurity bijvoorbeeld – dan wordt die enorme rijkdom aan inzichten plots ontginbaar, en kan je die doorzoeken op een manier waarvoor mensen gewoon de intellectuele ‘bandbreedte’ missen. Op die manier kunnen nieuwe technologieën helpen om incidentresponsplannen naar het volgende niveau te tillen.

Gedeelde problemen, gedeelde oplossingen

Wat nog belangrijker is om incidentresponsplannen naar het volgende niveau te brengen, is beseffen dat die plannen doorgevoerd moeten worden in de volledige onderneming. Het is een misvatting dat cybercriminaliteit enkel een probleem is voor de IT-afdeling en het veiligheidspersoneel. Problemen die de hele onderneming treffen, moeten ook aangepakt kunnen worden door de hele onderneming.

Hoe zal bijvoorbeeld een PR-manager omgaan met de reputatieschade die veroorzaakt wordt door een lek? Hoe zal een verkoper communiceren met zijn klanten? Hoe zal je omgaan met alle diverse andere betrokkenen, zoals de leveranciers, de klanten, de consumenten, de overheden …?

Ik persoonlijk zie twee verschillende niveaus waarop je je kan voorbereiden op incidenten. Ten eerste moeten dreigingen dag en nacht detecteerbaar zijn. Als je niet over de vereiste medewerkers of vaardigheden beschikt (geloof me vrij, je bent niet de enige, de vaardigheidskloof in cybersecurity is een wereldwijd fenomeen), dan zijn er oplossingen zoals ‘managed security services’, die je naast een continu toezicht ook de allernieuwste dreigingsdetectiemethoden garanderen.

Ten tweede moet er een volwaardig incidentresponsplan ingevoerd zijn, dat zo weinig mogelijk aan het toeval overlaat. Dat houdt ook in dat je jouw plan test in reële scenario’s, iets wat mogelijk is in gespecialiseerde locaties als IBM’s Cyber Range. De meeste bedrijven doen wel elk jaar een brandoefening voor het hele bedrijf, dus waarom geen cyberveiligheidsoefening waaraan iedereen deelneemt?

De coördinatie van de incidentresponsprocedures is nog een andere broodnodige vaardigheid. Dat stelt organisaties immers in staat om het volledige responsproces te beheren en te coördineren – over alle technologieën, processen en medewerkers heen – voor een accurate en snelle respons. De automatisering van de incidentresponsplannen is daarbij essentieel: heel wat van het manuele werk van het onderzoeken en verhelpen van cyberincidenten kan ondersteund worden met software. Automatisering helpt de vaardighedenkloof te verkleinen, want het helpt beveiligingsanalisten intelligente beslissingen te nemen, en snel te reageren op waarschuwingen.

Veranderende tijden vragen om een verandering in mentaliteit

Kortom, de dreiging van cybercriminaliteit wordt dan wel steeds groter, maar ik ben ervan overtuigd dat we met de juiste voorbereiding vol vertrouwen en fundamenteel een verandering kunnen doorvoeren in hoe we reageren op cyberdreigingen. In het kielzog van nieuwe ontwikkelingen in de cybercriminaliteit duiken nieuwe verantwoordelijkheden op binnen een organisatie. Maar meer en meer beginnen organisaties in uiteenlopende sectoren het belang van cyberbeveiliging te onderkennen, ook al hadden ze er historisch gezien helemaal niets mee te maken (denk aan verwarmingssystemen: nog maar recent zijn ze aangesloten op het internet en delen ze gevoelige gegevens via de cloud naar de mobiele toestellen van technici).

De menselijke inspanningen en intelligentie verbeteren met technologie is al een stap in de juiste richting, net als onderzoeken hoe de beveiligingslast verlicht kan worden aan de hand van managed security services. Maar je kan een gigantische stap voorwaarts zetten als je al die maatregelen integreert in een breder incidentresponsplan waarin ook automatisering en beheer zijn opgenomen.

 

Dit is een ingezonden bijdrage van Jef Gielkens, Cyber Security Expert bij IBM Security. Via deze link vind je meer informatie over de diensten van het bedrijf.