Cyberweerbaarheid getest: 24 uur onder vuur | Berenschot cases

In een tijd waarin cyberdreigingen steeds geavanceerder worden en de afhankelijkheid van digitale infrastructuur toeneemt, is oefenen geen luxe maar bittere noodzaak. Organisaties in Nederland moeten niet alleen beschikken over technische beheersmaatregelen, maar ook over geoefende mensen, duidelijke processen en een cultuur waarin crisissituaties niet leiden tot chaos, maar tot coördinatie.

Reden voor een vitale organisatie in de nutssector om te willen weten wat er zou gebeuren als een geavanceerde cyberaanval haar kernactiviteiten raakt. Om die vraag te beantwoorden, ging deze vitale organisatie samen met Berenschot en Fox-IT de uitdaging aan in een realistische 24 uur durende cybercrisisoefening

De organisatie in kwestie had een complexe cybercrisisoefening voor ogen, waarin alles misgaat, maar dan gecontroleerd. Een oefening die niet alleen technisch uitdagend was, maar ook de menselijke en organisatorische kant van crisisbeheersing, zoals besluitvorming onder druk, vermoeidheid en overdracht tussen crisisteams op de proef stelde. Met als centrale vraag: ‘Ontwikkel en begeleid een realistische, 24 uur durende cybercrisisoefening waarin onze volledige crisisorganisatie wordt getest - van operationeel tot bestuurlijk niveau.’

Samen met de klant ontwikkelden Berenschot en Fox-IT een intensieve cybercrisisoefening met een realistischscenario: een geavanceerde criminele actor infiltreert het netwerk om grip te krijgen op de beschikbaarheid van systemen, steelt gevoelige data en poogt de organisatie af te persen. Ondertussen verspreidt zich desinformatie, raken systemen in de war en moeten crisisteams flink aan de bak om zowel de bron als de gevolgen te bestrijden.

De aanpak bestond uit gestructureerde stappen: van kick-off en gezamenlijke scenario-ontwikkeling tot begeleiding van de oefening en evaluatie. Belangrijke elementen:

• Realistische simulatie. Inzet van ethische hackers en technische tooling die zich gedroeg als echte malware op een geprepareerd gedeelte van de daadwerkelijke (!) infrastructuur. Een compromittatie van de infrastructuur, zodat forensische sporen beschikbaar waren voor forensisch onderzoek, op basis waarvan besluitvorming kon plaatsvinden.
• Volledige keten betrokken. Van technisch IT- & securityspecialisten tot de boardroom.
• Geen vooraf ingeplande overleggen. Deelnemers moesten gedurende de 24 uur zelf initiatief nemen op basis van signalen en onderlinge afstemming.
• Waarnemers en responscel. Deze personen observeerden en stuurden bij waar nodig.
• 'Blame-free reporting’. De evaluatie van de oefening was gericht op leerpunten en verbeteringen, niet op fouten.

Dankzij deze cybercrisisoefening weet de organisatie waar zij staat en waar nog winst te behalen valt: in de crisisbeheersingsstructuur, crisiscommunicatie, informatiemanagement en bijvoorbeeld fysieke werkomstandigheden. Crisisbeheersingsprocessen werken op papier vaak beter dan in een te warme ruimte zonder ventilatie en een laag zuurstofgehalte. Daarnaast blijkt vermoeidheid geen hypothetische zorg maar een reëel fenomeen dat zich rond 3.00 uur ’s nachts manifesteert in de vorm van wazige blikken en beperkte coördinatie. Overdracht tussen teams en functionarissen is eveneens essentieel, om te voorkomen dat je als organisatie in het duister tast hoe voorgangers zaken aanpakten.

Kortom, de oefening liet zien dat digitale weerbaarheid en veerkracht niet alleen gaat over firewalls en forensische tools, maar ook over mensen die onder druk het hoofd koel houden en elkaar weten te vinden - zelfs als de wifi hapert.

Benieuwd hoe uw organisatie op het vlak van cyberveiligheid van risico naar regie kan komen? Neem dan contact met ons op, wij vertellen u er graag meer over.