Een cyberincident kan iedereen overkomen. Het goede nieuws: meestal is het mogelijk om de schade te beperken. Wat kun je het beste doen wanneer je organisatie vermoedelijk is getroffen door een cyberaanval? En wat moet je vooral níét doen?
Security incidenten zijn niks nieuws. Bovendien kunnen ze zeer divers van aard zijn en zich zeer snel ontwikkelen en complex blijken. Het professioneel en afdoende managen van een dergelijk incident vereist specifieke ervaring, kennis en kunde. Het Computer Security Incident Response Team (CSIRT) helpt getroffen organisaties bij het gehele incident-responseproces. Denk hierbij aan het analyseren van het incident, het treffen van mitigerende maatregelen, het forensisch onderzoek en het herstel van systemen. Alles is erop gericht om de totale impact te minimaliseren.
Het CSIRT is dus een soort digitale brandweer die 24/7 paraat staat. Incident-responders zoals Jermain Riedewald en Rang Salih hebben de afgelopen jaren al vele organisaties uit de brand geholpen. Op basis van hun ervaringen geven Riedewald en Salih een aantal praktische adviezen:
1. Schakel direct hulp in
Heb je een verdacht bestand gedownload? Of zie je een rare virusmelding op je scherm? Stap dan meteen naar de IT- of securityafdeling. “Medewerkers doen vaak alsof er niks aan de hand is”, vertelt Riedewald. “Ze verwijderen het bestand of zetten hun laptop uit en denken dat het probleem daarmee opgelost is. Maar zo werkt het meestal niet. Een kleine melding kan uiteindelijk een groot beveiligingsprobleem veroorzaken.”
“Het is ontzettend belangrijk dat je iemand met technische kennis laat meekijken om het probleem vast te stellen”, voegt Salih daaraan toe. “Als je die mensen niet zelf in huis hebt, schakel dan externe professionals in. Niet morgen of volgende week pas, maar zo snel mogelijk. Hoe eerder je erbij bent, hoe kleiner de kans op ernstige consequenties.”
2. Zet je device niet uit
Riedewald adviseert om je laptop niet uit te schakelen bij verdachte activiteiten. “Mogelijk vernietig je dan sporen, bijvoorbeeld in het geheugen. Dit maakt het voor ons moeilijker om het probleem en de schade vast te stellen. Laat je apparaat dus gewoon aan staan en breng het in ongewijzigde staat naar de helpdesk.”
Er zijn overigens wel situaties waarin het loont om snel onderdelen van de IT-infrastructuur uit te schakelen. Salih: “Stel dat je als IT-medewerker verdachte activiteit waarneemt op een belangrijke fileserver. Bijvoorbeeld als er bestandsextensies wijzigen naar een onbekende extensie. Dan kan dat wijzen op een ransomware-aanval. Het is hierbij belangrijk dat met zekerheid vastgesteld is dat het om malafide activiteit gaat. In dat geval moet er snel ingegrepen worden en is het uitschakelen van de server een logische maatregel.”
3. Documenteer alles
Een incident-responder wil zo snel mogelijk de oorzaak van een incident vinden. Dat wordt makkelijker als het getroffen bedrijf alles goed heeft gedocumenteerd. “Houd heel goed bij welke acties je zelf al hebt uitgevoerd, zoals het in quarantaine plaatsen van een verdacht bestand of een server of laptop”, licht Salih toe. “Maar leg ook vast hoe je communiceert met partners, klanten en betrokken medewerkers.”
Riedewald: “Het is essentieel dat wij precies weten wat er is gebeurd, en in welke volgorde. Hoe beter de logging en het bewijsmateriaal, hoe sneller wij het probleem kunnen vaststellen en mitigerende maatregelen kunnen treffen. Anders moeten wij zelf alles uitzoeken of doen we dubbel werk. Dat kost tijd die je tijdens een incident niet hebt.”
4. Maak weloverwogen keuzes
Een cyberincident stelt de organisatie voor moeilijke keuzes. Als voorbeeld noemt Salih een ransomware-aanval. "Ga je systemen opnieuw opbouwen? Zijn er bruikbare back-ups waar je op terug kunt vallen? Of betaal je het losgeld omdat er geen andere opties zijn? Wij geven advies, maar uiteindelijk moet de organisatie zelf de knoop doorhakken. Durf besluiten te nemen en zorg samen met het Incident Response Team dat alle herstelmogelijkheden duidelijk zijn en daarmee de mogelijke gevolgen ook worden overzien.”
Het helpt om verantwoordelijkheden vast te leggen in een incident-responseplan, maar dit is volgens Riedewald niet zaligmakend. “Je kunt niet voor alles een draaiboek maken. Elk incident is anders en de impact verschilt per organisatie. Het is een complexe afweging. Maar als je geen keuzes maakt, loop je sowieso achter de feiten aan.”
5. Volg de aanbevelingen op
Na hun onderzoek doen incident-responders aanbevelingen om herhaling te voorkomen, zoals het aanbieden van een security-awarenesstraining of het implementeren van multi-factor authenticatie. “Doe daar dan ook wat mee”, zegt Riedewald. “Het is weleens voorgekomen dat een opdrachtgever die we hadden geholpen met een incident na twee maanden weer contact met ons zocht. De aanbevelingen waren niet tijdig opgevolgd.” Salih krijgt regelmatig te horen dat de aanbevolen maatregelen al op de planning stonden. “De eerste reactie is vaak dat men zich wel degelijk bewust was van de risico’s. Soms is het IT-team ook blij met de aanbevelingen omdat ze intern al hadden aangedrongen op bepaalde securitymaatregelen. Een gevolg van het incident kan zijn dat daar nu wél budget voor is.”
6. Wees voorbereid op een nieuw incident
Met de juiste securitymaatregelen kun je het cybercriminelen zo moeilijk mogelijk maken om opnieuw binnen te komen. Toch adviseert Salih om je voor te bereiden op een nieuw cyberincident. “Dat begint bij inzicht in je IT-omgeving. “Zorg dat je een up-to-date assetlijst hebt. Hoe ziet je netwerk eruit? Welke servers en applicaties draaien er? Een goed overzicht van de IT-infrastructuur en de applicaties bevordert het herstel.” Riedewald: “IT-omgevingen veranderen snel. Het is dus belangrijk om je assetlijst en incident-responseplan continu te updaten en verbeteren. En zorg ervoor dat de kennis hierover niet bij één IT-goeroe ligt, maar bij meerdere mensen. Want anders heb je een probleem als die ene persoon tijdens een stressvol incident uitvalt.”
Specialistisch werk
De twee experts van KPN Security sluiten af met een algemeen advies: beknibbel niet op incident-response. “De kosten wegen niet op tegen het risico dat je hiermee afdekt”, stelt Salih. “Je wilt zeker weten dat de aanvallers niet meer in het netwerk zitten, en dat ze geen achterdeurtje hebben geïnstalleerd om later terug te komen. Dit is specialistisch werk dat je niet zomaar bij de systeembeheerder kunt neerleggen.”