Cyber calamiteiten plan Hoe je de impact van een cyberaanval beperkt

Wat is een cyber calamiteitenplan?

Een cyber calamiteitenplan of cyber incident response plan is een document dat beschrijft hoe een bedrijf zal reageren op cyberaanvallen. Het geeft instructies voor verschillende soorten scenario’s, zoals datalekken, DDoS-aanvallen, firewall-inbraken, virus- of malware-uitbraken, of interne bedreigingen.

Het is een strategie die IT-personeel en andere personeelsleden van het bedrijf begeleidt bij dit soort incidenten zodat deze sneller ingeperkt worden, het herstel effectiever plaatsvindt en de normale bedrijfsvoering spoedig terugkeert. Zo blijft de impact van een incident minimaal.

Waarom heb je een cyber calamiteitenplan nodig?

Cyberaanvallen komen steeds vaker voor en voornamelijk kleine bedrijven krijgen te maken met aanvallen die ernstige gevolgen kunnen hebben voor de bedrijfsvoering, de financiën en het imago. Volgens onderzoek van ABN Amro kregen bedrijven in 2022 maar liefst 45% vaker te maken met cyberaanvallen dan in 2021. Voor zzp’ers is er een toename van 32% in 2022.

Bovendien zijn de gemiddeld genomen cybersecurity maatregelen bij het MKB vaak onvoldoende in vergelijking met de toenemende dreiging van cyberaanvallen met bijvoorbeeld ransomware. Cybercriminelen hoeven steeds minder kundig te zijn door de toenemende mate van kant-en-klare hackoplossingen.

Een ongeluk zit in een klein hoekje, dit is ook zo met cyberaanvallen. Technisch kan alles in orde zijn, maar als je werknemer een phishing-mail aanklikt met malafide inhoud dan kan er nog steeds een cyberaanval plaatsvinden met een grote impact die zelfs de bedrijfsvoering stil kan leggen. Het is dan maar goed dat je voorbereid bent op een mogelijke aanval.

Opstellen van een goed cyber calamiteitenplan

De verantwoordelijkheden

Beschrijf de taken en rollen van de mensen die betrokken zijn bij het incident response proces, zoals de IT-partner, de communicatieverantwoordelijke en de directie. Het is belangrijk om duidelijk te maken wie wat doet, wanneer en hoe.

Inventarisatie van bedrijfskritische onderdelen

Dit zijn de systemen, processen en informatie die essentieel zijn voor de bedrijfsvoering en die beschermd moeten worden tegen cyberaanvallen. Het is belangrijk om te weten waar deze onderdelen zich bevinden, hoe ze met elkaar verbonden zijn en wat de impact is als ze verstoord worden.

Met deze informatie kan bepaald worden welke stappen er gezet moeten worden bij het inperken en herstellen van een aanval. Tevens kunnen hier speciale procedures of verantwoordelijkheden worden vermeld. Bijvoorbeeld bij het gebruik van een cloudapplicatie kan het zijn dat deze cloudleverancier apart gecontacteerd moet worden.

Incident analyse en classificatie 

Beschrijf de methoden die gebruikt moeten worden om een incident te analyseren en classificeren. Als eerste is het belangrijk om voldoende informatie te verzamelen over het incident zodat er een volledig onderzoek uitgevoerd kan worden. Beschrijf de stappen die gezet moeten worden om deze informatie te verzamelen en te bewaren voor een latere analyse.

Met deze informatie kun je hierna bepalen wat de mogelijke impact is van een incident, zodat er passend gereageerd kan worden. Er moeten bijvoorbeeld andere stappen gezet worden als er sprake is van ransomware dan als er adware wordt ontdekt.

Beschrijving van inperkende maatregelen

Bepaal de acties die genomen moeten worden om een incident te isoleren, te stoppen of te verwijderen. Het is belangrijk om te weten welke maatregelen passend zijn voor elk type incident, hoe ze uitgevoerd worden en wat de gevolgen zijn. Bijvoorbeeld het afsluiten van het netwerk, het uitschakelen of van het netwerk afkoppelen van een machine of het inschakelen van de IT-partner of externe leverancier.

Een duidelijk communicatiebeleid

Beschrijf de manier waarop er gecommuniceerd wordt over een incident, zowel intern als extern. Het is belangrijk om te weten wie er geïnformeerd moet worden, wanneer, hoe en met welke boodschap. Bijvoorbeeld het informeren van de directie, de medewerkers, klanten of de autoriteiten.

Afspraken met je IT-partner en leveranciers

Maak afspraken met je IT-partner en andere leveranciers over de samenwerking bij een incident. Het is belangrijk om te weten wat je van elkaar verwacht, wie welke verantwoordelijkheden dragen, hoe je elkaar bereikt en welke informatie je uitwisselt of misschien van tevoren moet gaan uitwisselen.

Bijvoorbeeld het delen of verzamelen van logbestanden, toegang verkrijgen tot het bedrijfspand, het geven van toegang tot systemen of het melden van incidenten. Maar denk ook aan de bereikbaarheid: moet je in het weekend bellen naar een storingsnummer of is er geen ondersteuning in het weekend mogelijk?

MKB-specifieke tips voor het opstellen van een cyber calamiteitenplan

Offline bellijst

Zorg voor een offline bellijst en benoem hierin de belangrijkste personen en bedrijven in het geval van een cyberaanval. Denk hierbij onder andere aan je IT-partner, verzekeringsmaatschappij en cloudleverancier. Zorg ervoor dat deze bellijst voor iedereen toegankelijk is en dat het bekend is dat deze bestaat en gebruikt moet worden bij een cyberincident.

Laagdrempelige meldpunt

Veel incidenten zorgen uiteindelijk voor veel schade omdat ze te laat worden gemeld. In veel gevallen komt de ICT-beheerder er pas achter als meerdere systemen zijn geraakt of sommige processen volledig stoppen. Het is daarom belangrijk om het melden van mogelijke incidenten laagdrempelig te maken.

Laat je personeel daarom weten bij wie ze dit kunnen melden; deze persoon kan vanaf hier een korte risicoanalyse maken en hierna kiezen welke actie passend is voor dit incident. Een aanval kan in veel gevallen gestopt worden voordat deze schade aanbrengt aan een systeem zolang er maar tijdig wordt gehandeld.

Periodiek testen

Een plan op papier is pas nuttig wanneer je weet dat dit werkt. Het is daarom belangrijk om periodiek te controleren (bijvoorbeeld na grote technische wijzigingen) of je plan wel uitvoerbaar is en dat je de uitkomsten krijgt waarop je hoopt. Laat iemand anders eens het proces doorgaan en reflecteer op de uitkomsten en onduidelijkheden.

Misschien staat er in je plan dat je zelf een back-up moet terugzetten, maar staat er niet beschreven hoe dit moet. Of misschien is er een wachtwoord nodig dat bij niemand bekend is. En in je plan kan staan dat je altijd een volledige machine vervangt met een veilige back-up, maar hoelang duurt dit proces eigenlijk?