Per jaar ervaart een op de vijf Nederlandse organisaties een ransomware-aanval, waarna de cybercrimineel een losgeldbedrag eist ter hoogte van 0,4 tot twee procent van de jaaromzet (bron: FHI-bijeenkomst Industrial Cyber Security, 12 oktober 2021). Alle reden dus om onze economie weerbaar te maken tegen cybercriminaliteit en cybersecurity hoog op de agenda van het management van organisaties te krijgen.
De toon is gezet en de bewustwording komt op gang. In gesprekken met vertegenwoordigers van het bedrijfsleven en de (semi-)overheid is de noodzaak van beveiliging van digitale assets voor iedereen duidelijk. Deze mag nooit verloren gaan. Preventie is natuurlijk de eerste stap. Toch wil we graag weten of er zich bij de organisatie een cyberaanval zou kunnen voordoen en wanneer. Bescherming voor honderd procent is een utopie. De vraag is dan ook begrijpelijk, maar het antwoord is niet meer zo relevant.
Het gaat nu om twee vragen: wat te doen na een aanval en hoe snel zijn we weer ’up and running’? Op die vragen past een relevant antwoord.
Tijdkritisch element
Essentieel voor het slagen van een herstart is een business continuity plan (bcp). Organisatie, groot en klein, moeten dit traject doorlopen. Hierbij neem je alle producten en diensten onder de loep en de kwetsbaarheden in de onderliggende bedrijfsprocessen breng je in kaart, inclusief de bijbehorende applicaties en de infrastructuur waarop ze draaien.
Aan elk proces hangt een tijdkritisch element. Die vatten we samen in een recovery time objective (rto) en een recovery point objective (rpo). Met het eerste meetobject leggen we een doelstelling voor de hersteltijd vast; hoe snel wil je opstarten?
Met het tweede meetobject bepalen we de maximaal toelaatbare ouderdom van de backup van de data. Een bank zal in dit geval streven naar een waarde nul. Immers, wanneer het systeem stopt nadat transacties zijn gedaan, moet je over de rekeninggegevens van een minuut geleden kunnen beschikken. Hoe lager een organisatie haar rto en rpo wil hebben, des te meer wordt er gevraagd van de it-infrastructuur. Daar zal meer budget voor nodig zijn.
Inschatten van risico’s
Bij de start van een bcp gaan we de risico’s inschatten die kleven aan de uitvoering van de productieprocessen aan de hand van twee verschillende analyses: business-impactanalyse (bia) en bedreigingen- en kwetsbaarheidanalyse (bka). Risicomanagement kenmerkt zich door de volgende vraagstelling: kan ik de risico’s voorkomen, kan ik ze verzekeren of kan ik gewoon stoppen met risicovolle activiteiten? Voor de processen waar dat allemaal niet voor kan, zal je een rampherstelplan moeten maken.
Dat doe je aan de hand van calamiteitenscenario’s met templates en documenten, waarin de herstelstappen tot in detail zijn vastgelegd om de processen van de grond af aan op te bouwen. Het is raadzaam dat scenario elk jaar te testen (uitwijktest) en te kijken of hetgeen je had bedacht, ook in de praktijk zo werkt.
Managen van complexiteit
Na het voltooien van de bcp is een bcms op te bouwen. Dat is een managementsysteem, waarmee je zaken in de tijd kunt inplannen en monitoren waaronder het verandermanagement: de veranderingen aan processen met een bcp-component. Een bcp-dienst kan ontstaan uit een managed disaster recovery (mdr), waarmee een bedrijf in geval van een calamiteit zijn it-omgeving kan laten uitwijken naar een andere locatie.
Bij organisaties ontbreekt het soms aan een prioriteitstelling over wat ze precies willen laten testen en waarom. Mdr was van oudsher gericht op een ramp zoals brand, crash of storing. De realisatie van een bcp is meer gericht op cybercriminaliteit. De paniek is er niet minder om. Sterker nog, het risico is groot. Het is raadzaam om te werken met een incident response team (irt), in te vullen door medewerkers van klanten, door jezelf of een combinatie van beide.
Een bcp helpt de leden van dat team om, ondanks de hectiek, op een gestructureerde manier aan herstel te werken. Zeker nu we steeds meer opereren vanuit een versnipperd it-landschap, ingevuld met verschillende providers en op clouddiensten gebaseerde applicaties, biedt een bcp een leidraad om de complexiteit te managen. Daarmee vormt het herstelplan de basis voor een doordachte cyberbeveiliging en databescherming van uw organisatie.
