Cyberincidenten zijn één van de grootste bedreigingen voor organisaties. De juiste (technische) maatregelen nemen en oefenen met (fictieve) incidenten of crises, is niet afdoende.
Om daadwerkelijk weerbaarder te worden, is het noodzakelijk te leren van incidenten en deze te evalueren om verbeteringen te kunnen doorvoeren. Toen een grote onderwijsinstelling slachtoffer werd van een ransomware-aanval, wist zij met vereende krachten te reageren. Daarnaast wilde de instelling leerpunten ophalen. Is er adequaat gereageerd? Hoe verliep bijvoorbeeld de informatie-uitwisseling en de samenwerking? En op welke aspecten kan het beter?
Gevoelige materie
Bij de aanval drongen hackers de systemen van de onderwijsinstelling binnen en chanteerden vervolgens de organisatie met de gestolen informatie. In de daaropvolgende intensieve periode trachtte de instelling dit incident af te handelen. De gevolgen waren maanden na dato nog voelbaar. Zo waren bepaalde systemen nog altijd niet beschikbaar. Desalniettemin vond de instelling het belangrijk om te beginnen met leren en vroeg zij Berenschot om onafhankelijk en objectief de belangrijkste lessen op te halen op basis van onze expertise op het gebied van cybersecurity, incident- en crisismanagement en kennis van de onderwijssector.
Incident- en crisesevaluaties liggen nog altijd gevoelig binnen organisaties en dat gold ook voor deze onderwijsinstelling. Betrokkenen weten niet wat er precies wordt onderzocht, voor wie de crisisevaluatie is bedoeld of wat er met de uitkomsten gebeurt. Regelmatig speelt zelfs de angst dat het resultaat gebruikt of zelfs misbruikt wordt om een schuldige aan te wijzen.
Collectief leerproces
Leren van het incident én rekening houden met de gevoeligheid van een evaluatie stonden centraal in onze aanpak. Omdat de weg naar de gerapporteerde uitkomsten minstens zo belangrijk als de uitkomsten zelf, hebben we het tussentijds bespreken en valideren van de feitelijke bevindingen, eerste inzichten en leerpunten als mijlpalen gemarkeerd. Daardoor werd de evaluatie (ook) als collectief leerproces en gezamenlijke afsluiting ervaren.
Aan de hand van een objectief evaluatiekader bepaalden we samen met de opdrachtgever welke thema’s, onderwerpen en indicatoren we meenamen in de evaluatie. Dat betrof onder meer het proces van melden en alarmering, de informatievoorziening-/uitwisseling, de in- en externe samenwerking en communicatie en de wijze waarop beeld-, oordeels- en besluitvorming had plaatsgevonden. Op basis hiervan hebben we een documentenanalyse uitgevoerd voor een chronologisch in- en overzicht van de feitelijke gebeurtenissen. Vervolgens zijn ter aanvulling interviews afgenomen met degenen die betrokken waren bij de initiële respons en de latere afhandeling van het incident. Het evaluatiekader diende hierbij als gespreksleidraad.
Deze gesprekken en documentatie leidden tot eerste inzichten en leerpunten. In een reflectiesessie met betrokkenen binnen de organisatie hebben we deze eerste bevindingen getoetst om vervolgens gezamenlijk inzichten en leerpunten te identificeren, die passen bij de organisatie. Tot slot is het eindrapport besproken in een sessie met management en college van bestuur, die de aanbevelingen omarmd hebben.
Direct toepasbare handvatten
Dankzij het feitenrelaas kon onderscheid worden gemaakt in de initiële respons in de eerste dagen en weken en de fase van de maanden erna. Dit feitelijk overzicht vormde tevens de basis voor inzichten in de thema’s uit het evaluatiekader, waarbij wij onze conclusies en aanbevelingen deelden. Het handzame adviesrapport biedt de onderwijsinstelling concrete en direct toepasbare handvatten om stappen te zetten op het gebied van digitale veiligheid. Het mooiste resultaat is zonder meer dat de onderwijsinstelling de verbeteringen gezamenlijk kan oppakken – zonder zich zorgen te hoeven maken dat het resultaat gebruikt wordt om een schuldige aan te wijzen.