Een hack is geen garantie voor verandering.
Vaak wordt gezegd dat organisaties pas echt beseffen dat ze aan de slag moeten met cybersecurity als ze gehackt zijn. Bij een deel van de organisaties is dat ook zeker het geval. Zij gaan direct na de hack aan de slag met het doorvoeren van verbetermaatregelen en zien in dat het anders moet. Andere organisaties gaan meteen weer over tot de orde van de dag. Of erger nog: ze zijn tijdens het onderzoek en herstel al niet geïnteresseerd in wat er zich heeft speelt.
Een gehackte mailbox wordt gezien als een IT-feestje. IT zorgt dat er geen ongeautoriseerde toegang meer is tot de mailbox en met een beetje geluk voeren ze ook onderzoek uit naar wat er gebeurd is. Maar juist in die mailbox staat vaak gevoelige bedrijfsinformatie en veel persoonsgegevens te vinden. Klantgegevens, creditcardinformatie, wachtwoorden, kopieën van identiteitsbewijzen, het staat er allemaal in. Dat er (wellicht) een melding bij de Autoriteit Persoonsgegevens en/of betrokkenen gedaan moet worden, dat weet niet elke organisatie.
Wat mij vooral opvalt is dat dit soort zaak te vaak overgelaten worden aan de IT-dienstverlener met minimale betrokkenheid van de getroffen organisatie. Als er een incident response partij ingeschakeld wordt dan wordt er geschakeld met de IT-dienstverlener. De getroffen organisatie is niet direct betrokken en niet aanwezig bij de intake. Hoe goed de IT-dienstverlener ook ondersteunt, het is onhandig en levert onnodige vertraging op. Vragen en adviezen gaan namelijk niet alleen maar over de technische inrichting.
De urgentie wordt niet of nauwelijks gevoeld. Zelfs als de gehackte mailbox voorafging aan factuurfraude valt het me op hoe snel er gedacht wordt dat het gestolen geld wel terugkomt via de bank of verzekeraar. Voor de organisatie is het al snel weer business as usual.
Bij een ransomware-aanval is die urgentie over het algemeen een stuk groter. Maar ook hier zijn er uitzonderingen genoeg. Een getroffen organisatie die vraagt om de herstelwerkzaamheden en het onderzoek met een paar weken uit te stellen, want “het is nu vakantie”. Een organisatie waarbij IT-medewerkers zich helemaal uit de naad werkten om de organisatie te herstellen en de directie zich de hele week niet heeft laten zien. De directie die een datalekmelding wil overslaan of een directielid die de hack blijft ontkennen.
De pijn van de hack blijft te vaak beperkt tot de IT-afdeling. Zij zien wat anders kan en wat beter moet. De organisatie blijft achter. De urgentie op organisatieniveau wordt niet of nauwelijks gevoeld terwijl dit bij individuele medewerkers heel anders kan liggen. Zij ervaren bijvoorbeeld angst, een schuldgevoel of stress.
Na het herstel gaan organisaties weer over tot de orde van de dag. Als we geluk hebben werkt de IT-afdeling aan verbeteringen. En als we pech hebben worden er geen maatregelen genomen en vindt er spoedig een nieuwe hack plaats. Bij sommige organisaties komen incident responders meerdere keren terug voor eenzelfde type aanval. Bij die organisaties lag er geen prioriteit bij het nemen van (basis)maatregelen na de hack. Soms hebben organisaties niet door dat ze eerder gehackt zijn of schonen de omgeving niet goed genoeg op. Dan kan het dus voorkomen dat je zés soorten ransomware aantreft.
Dat het gedrag van medewerkers automatisch veranderd na een hack is een illusie. Dit wordt bevestigd door de weerstand die komt als er veranderingen nodig zijn in de organisatie. Een lang wachtwoord of multi-factor authenticatie worden nog steeds gezien als irritant en liever niet ingesteld. En fouten worden nog steeds gemaakt. Een medewerker downloadde malware binnen een half uur nadat alle systemen weer actief waren. Gelukkig werd het dit keer wel gedetecteerd.
Een hack is meer dan een technisch onderzoek. Het is een organisatiebreed probleem. Het gaat om impact die verder gaat dan systemen. Het gaat ook om impact op je data, bedrijfsprocessen, financiën, reputatie, relaties, medewerkers en ga zo maar door. Toch wordt deze impact niet altijd ervaren, zelfs niet tijdens of na een hack. Soms denk ik het te begrijpen, want de impact is niet altijd direct zichtbaar en als ondernemer wil je vooral verder met je bedrijf runnen. Maar dan we vergeten we dat cybersecurity óók bij ondernemen hoort. Als ondernemer moet je je verantwoordelijkheid pakken. Als ondernemer moet je cyberaanvallen willen voorkomen en voorbereid zijn voor als je toch slachtoffer wordt.
Ik blijf vooral achter met vragen: als een hack niet voor verandering zorgt, wat dan wel? Wordt het risico op een volgende hack te makkelijker geaccepteerd of maken we de urgentie groter dan die is?
Over Lisa
Lisa de Wilde is cybersecurity expert met hands-on ervaring in het oplossen van complexe cyberaanvallen bij organisaties in binnen- en buitenland. Ze weet als geen ander hoe groot de impact van security incidenten kan zijn – zowel op organisaties als op mensen.
Als spreker en trainer staat ze bekend om haar energieke, interactieve stijl. Ze duikt in de belevingswereld van haar publiek en past haar verhaal direct aan op hun behoeften. Met haar workshops en trainingen en tijdens adviesopdrachten helpt ze organisaties weerbaarder te worden en veerkrachtiger om te gaan met cyberaanvallen.
Bij Security Innovation Stories deelt ze haar praktijkervaringen in columns én korte video’s. Ze put daarbij uit haar frontlinie-ervaring en vertaalt complexe security-uitdagingen naar concrete, praktische inzichten.
