Onze adviesdiensten op het gebied van Cyber Response Planning (CRP)
Cyberresponsplanning (CRP)
In 2012 zei Robert Mueller (directeur van de FBI): "Er zijn maar twee soorten bedrijven. Degenen die al gehackt zijn en degenen die nog gehackt zullen worden." In 2015 volgde Jahn Chambers, toenmalig CEO van Cisco Systems, en zei: "Er zijn maar twee soorten bedrijven. Degenen die al gehackt zijn en degenen die niet weten dat ze gehackt zijn."Deze uitspraken zijn nog even relevant als toen ze werden gedaan. Volgens de bevindingen van recente onderzoeken heeft slechts ongeveer 30 procent van alle bedrijven de juiste voorzorgsmaatregelen genomen met betrekking tot de detectie, verdediging en het beheer van cyberaanvallen. Het duurt ongeveer 200 dagen (volgens het IBM Data Security Report 2022 gemiddeld 277 dagen - ongeveer negen maanden) voordat IT-beveiligingsincidenten worden ontdekt.
Cyberaanvallen nemen al jaren gestaag toe en veroorzaken zeer grote financiële en reputatieschade bij getroffen bedrijven. Alleen al in Duitsland steeg het jaarlijkse schadebedrag van "nog" 103 miljard euro in 2019 naar meer dan 200 miljard euro in 2022.
Volgens een recente studie van IBM uit 2022 kost een succesvolle ransomware-aanval getroffen bedrijven gemiddeld 4,54 miljoen dollar. Het losgeld zelf is nog niet inbegrepen in dit bedrag.
Tussen 2021 en 2022 steeg de hoeveelheid ransomware met ongeveer 13 procent. Dat is meer dan in de voorgaande vijf jaar samen. Negen van de tien bedrijven (88 procent) werden getroffen door aanvallen in 2020/2021. In 2018/2019 was driekwart (75 procent) slachtoffer. Dit zijn de bevindingen van een representatief onderzoek van de digitale vereniging Bitkom, waarvoor meer dan 1.000 bedrijven uit alle sectoren werden ondervraagd.
-
Malware (virussen, wormen, enz. - deels polymorf)
-
Phishing
-
Distributed Denial of Service (DDoS)
-
SQL-Injection
-
Cross-Site-Scripting (XSS)
In 2022 identificeerde de industriële verzekeraar Allianz Global Corporate & Specialty cyberincidenten als het grootste bedrijfsrisico, ruim voor natuurrampen of de uitbraak van een nieuwe pandemie.
Geopolitieke crises zoals de oorlog in Oekraïne en de handelsoorlog tussen de VS en China spelen ook een rol. Politiek gemotiveerde cyberaanvallen worden vaak uitgevoerd door statelijke actoren die over aanzienlijk meer middelen beschikken, zowel financieel als technisch. Dit maakt het gebruik van geavanceerde aanvalsmethoden mogelijk, waaronder APT's en zero-day exploits (voorheen onbekende kwetsbaarheden) en geavanceerde malware.
Op het darknet/deepweb is de afgelopen jaren de ondergrondse economie ontstaan, die cybercrime-as-a-service aanbiedt. Het is nog nooit zo eenvoudig geweest om aan de "tools" voor een cyberaanval te komen. De jaarlijkse omzet van cybercrime-as-a-service wordt momenteel geschat op ongeveer 3 miljard US dollar.
Als gevolg van deze voortdurende massale dreiging zijn of worden er verschillende updates/wijzigingen in wet- en regelgeving doorgevoerd. Deze dwingen steeds meer bedrijven om na te denken over het gestructureerde beheer van een cyberaanval en om passende beheersystemen te implementeren.
Het volgende moet hier worden benadrukt:
-
"Richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie" (NIS2-richtlijn).
-
Wet inzake de implementatie van de EU NIS2 en de versterking van de cyberbeveiliging (NIS2UmsuCG) - momenteel in ontwerp.
-
Wet IT-beveiliging 2.0
-
Wet digitale operationele veerkracht (DORA)
Onze CRP consulting diensten
We werken met u samen om maatwerkoplossingen te ontwikkelen die zijn afgestemd op uw vereisten in deze complexe (IT-)omgeving. We ondersteunen u bij het opzetten van cyberresponsplanning en cyberincidentresponsmanagement (CIRM). Met onze jarenlange ervaring ondersteunen wij u bij de invoering, doorontwikkeling of evaluatie van uw bestaande CRP of CIRM. Natuurlijk houden we ook rekening met de bijbehorende raakvlakken met andere managementdisciplines zoals business continuity management (BCM), IT service continuity management (ITSCM) en crisismanagement (CM).Onze CRP-coaching
Bij het implementeren van projecten richten onze IT-experts zich altijd op het opbouwen van interne expertise. Ons doel is dat u tijdens de implementatie van het project van ons de nodige kennis over het beheerproces leert en dat u het geleerde daarna direct in de praktijk kunt brengen. Nieuwe processen worden niet altijd onverdeeld positief ontvangen. Volgens onze jarenlange ervaring is de beste manier om interne scepsis te overwinnen het creëren van het nodige bewustzijn bij de werknemers. In lijn met het citaat van Antoine de Saint-Exupéry "Als je een schip wilt bouwen, trommel dan geen mannen op om hout te kopen, taken toe te wijzen en het werk te organiseren, maar leer ze verlangen naar de uitgestrekte, eindeloze zee" - neem gerust contact met ons op als je ondersteuning nodig hebt bij het voorbereiden en implementeren van bewustwordingsmaatregelen.Wat zijn de drie belangrijkste argumenten voor CRP?
Cyber Response Planning creëert organisatorische en personele structuren voor een snelle en effectieve reactie op cyberaanvallen. Dit omvat het identificeren van het incident, het indammen van de dreiging, het herstellen van getroffen systemen en het minimaliseren van de impact op de bedrijfsvoering.-
Snelle indamming en minimalisering van de gevolgen kunnen van cruciaal belang zijn voor het voortbestaan van het bedrijf
-
Voldoen aan de vereisten voor een "cyberverzekering
-
Voldoen aan wet- en/of regelgeving
Waarom is CRP zo belangrijk?
CRP is zo belangrijk omdat het het verschil kan maken tussen een effectieve reactie op een cyberaanval en ernstige gevolgen voor een organisatie. Het maakt snelle detectie van aanvallen mogelijk en passende tegenmaatregelen om de schade te beperken.Bedrijven die van plan zijn om voorzorgsmaatregelen te nemen, richten zich vaak alleen op de reactie op een cyberaanval. Dit is problematisch, omdat dit slechts één onderdeel is van een alomvattende cyberbeveiligingsaanpak en bijvoorbeeld preventie en detectie ontbreken.
Cyberresponsplanning richt zich daarom niet alleen op de reactie na een incident, maar ook op het voorkomen van aanvallen en het vroegtijdig opsporen van bedreigingen. Zonder een proactieve strategie die preventie, monitoring, detectie en respons integreert, zijn organisaties kwetsbaarder voor aanvallen.
Wat is CRP precies?
Cyber Response Planning (CRP) is het proactief en systematisch plannen en voorbereiden van maatregelen om effectief te reageren op cyberaanvallen. Het is bedoeld om te anticiperen op beveiligingsincidenten en voorbereidende maatregelen te ontwikkelen om (IT-)beveiligingsincidenten te voorkomen of in ieder geval de impact ervan te minimaliseren.CRP vormt de basis voor een effectief beheer van de respons op cyberincidenten. CRP beschrijft daarom de "Voorbereidingsfase" in cyber incident response management. CRP wordt gebruikt om CIRM op te zetten, te testen en te verbeteren. CRP creëert ook de mogelijkheid om continu te monitoren op aanvallen. Dit omvat onder andere
-
Het opzetten van een organisatiestructuur voor voorbereiding en respons
-
Voortdurende identificatie en beoordeling van bedreigingen en cyberrisico's
-
Het maken en bijwerken van gedetailleerde plannen om voorbereid te zijn op verschillende soorten cyberaanvallen
-
Gebruik van beveiligingstechnologieën en -tools om incidenten te detecteren en erop te reageren
-
Plannen en uitvoeren van regelmatige tests en simulatieoefeningen
-
Regelmatige training en bewustmakingsmaatregelen
En wat zijn de doelen van CRP?
CRP kan cyberaanvallen niet volledig voorkomen. Er bestaat niet zoiets als 100 procent veiligheid, en het moet eerlijk gezegd worden dat er schade kan optreden. Maar het maakt een significant verschil of er een geplande en geteste reactie op cyberaanvallen is of niet.In principe streeft CRP verschillende hoofddoelen na. Deze omvatten onder andere
-
Het versterken van de weerbaarheid van het bedrijf tegen cyberaanvallen
-
Schade beperken en gegevensverlies, financiële verliezen en verstoring van de bedrijfsactiviteiten beperken
-
De bedrijfscontinuïteit en het voortbestaan van het bedrijf waarborgen
-
Voldoen aan wet- en regelgeving
-
Bescherming van de reputatie en het vertrouwen van klanten
Welke voordelen heeft een bedrijf met een gevestigde CRP?
Een gevestigde CRP biedt bedrijven een hele reeks voordelen. Deze omvatten onder andere-
Snelle en effectieve reactie op cyberaanvallen
-
Minimaliseren van de impact en schade voor het bedrijf
-
Beveiligingsbewuste medewerkers
-
Lagere kosten door het voorkomen van cyberaanvallen
-
Grotere veerkracht bij cyberaanvallen
-
Naleving in het geval van eisen van regelgevers en contractuele partners
Hoe ziet een CRP-implementatie eruit?
Onze gekwalificeerde experts ondersteunen de implementatie of verdere ontwikkeling van uw CRP met behulp van ons procesmodel, dat alle vereisten uit de volgende normen en richtlijnen combineert.-
National Institute of Standards and Technology, Special Publication 800-61, Revision 2, Computer Security Incident Handling Guide (NIST 800-61)
-
NIST Cybersecurity Framework
-
SANS-richtlijnen
Initiatie van CRP
Initiatie is de basis voor een succesvolle implementatie van CRP. Het management geeft opdracht tot de implementatie van CRP in het bedrijf in de vorm van een CRP-beleid. De organisatiestructuur en processtappen worden gedocumenteerd in het CRP-beleid. Bovendien worden maatregelen voor het onderhouden van het CRP-proces, de bewaking en de voortdurende verbetering ervan vastgelegd.Analyse en concept
In de analysefase worden alle huidige bedreigingen en aanvalsscenario's geïdentificeerd en geanalyseerd. De waarschijnlijkheid dat een risico zich voordoet en de impact die het zou hebben als het zich voordoet, worden beoordeeld. De draaiboeken worden aangepast aan de geïdentificeerde bedreigingen.Implementatie
De implementatiefase in het CRP is de stap waarin de geplande (IT-)beveiligingsmaatregelen worden geoperationaliseerd. Hieronder vallen alle maatregelen voor bescherming, preventie, detectie en alarmering/escalatie, zoals het Security Operation Centre (SOC), SIEM en technische monitoring. Deze fase is cruciaal, omdat hier de theoretische en strategische overwegingen en resultaten van de voorgaande fasen worden omgezet in concrete maatregelen en veranderingen binnen de organisatie.Planning
Tijdens de planningsfase wordt een gedetailleerd en gedocumenteerd plan opgesteld voor een mogelijke noodoperatie, de procedure voor het opschonen van de systemen, het herstellen van gegevens en het opnieuw opstarten van de IT-infrastructuren, IT-systemen en applicaties.Validatie
In de validatiefase van het CRP wordt gecontroleerd of de geïmplementeerde bewakings- en (IT-)beveiligingsmaatregelen effectief, efficiënt en geschikt zijn. Deze fase omvat regelmatige tests en audits. Deze fase is cruciaal voor de voortdurende verbetering van het beveiligingsniveau en zorgt ervoor dat de organisatie kan reageren op nieuwe uitdagingen en veranderende bedreigingen. Regelmatige validatie en aanpassing van beveiligingsstrategieën zijn essentieel om een hoog niveau van cyberbeveiliging te handhaven.Verbetering
De verbeteringsfase is gericht op het continu verbeteren van het planningsproces voor cyberrespons en het beheer van de respons bij cyberincidenten. Continue verbetering (CIP of PDCA-cyclus) is het kernprincipe van alle moderne beheersystemen. De resultaten van de validatiefase van het CRP en de postincidentfase van het beheer van incidenten die hebben plaatsgevonden, vloeien naar deze fase. Alle informatie wordt gebruikt om het potentieel voor verbetering te identificeren. Voortdurende verbeteringen verhogen de algehele effectiviteit van het CRP en het CIRM.Bewustzijns- en trainingsprogramma
De implementatie van regelmatige bewustmakings- en trainingsmaatregelen zijn cruciale onderdelen in de context van cyberresponsplanning. Meer dan 80 procent van succesvolle cyberaanvallen is terug te voeren op menselijke fouten. Training en bewustmakingsmaatregelen stellen werknemers in staat om potentiële cyberbedreigingen te herkennen en er op de juiste manier op te reageren. CRP-training bereidt werknemers voor om snel en effectief te reageren op incidenten, waardoor de schade beperkt blijft.Een bedrijf dat investeert in de opleiding van zijn werknemers toont zijn inzet voor cyberveiligheid, wat het vertrouwen van klanten en partners versterkt.