Een incident response abonnement dat hebben we nodig, toch?

Het begint met de vraag kan je een potentieel cyberincident zelf oplossen? “Ja hoor, dat doet onze IT-afdeling wel.” Dat is wat ik vaak hoor, maar bij doorvragen komt al snel naar voren dat ze voor bepaalde onderdelen toch wel graag externe expertise in zouden willen (of zelfs moeten) schakelen. Forensisch onderzoek? “Dat laten we liever door een gespecialiseerde partij doen. Met onderhandelingen hebben we ook geen ervaring, dus kunnen we ook beter uitbesteden. Eigenlijk hebben we geen ervaring met grootschalige cyberincidenten dus het zou fijn zijn als iemand ons begeleidt in het proces”. De vervolgvraag hierop is: zouden we dan vooraf een contract moeten afsluiten om deze expertise in te zetten?

Mijn antwoord: nee. Vaak niet. Een abonnement biedt voordelen, maar past zeker niet bij alle organisaties en dat zie ik terug bij de organisaties die ik spreek. Het is voor hen beter om het maandbedrag dat ze kwijt zouden zijn aan het abonnement te besteden aan preventie of detectie van cyberincidenten. Hierbij accepteren ze dat ze het risico lopen om niet hun voorkeurspartij in te kunnen zetten. Het is goed je te beseffen dat elk abonnement zijn eigen voorwaarden heeft en ik ze hier in generieke zin benader.

De zoektocht naar een abonnement begint meestal omdat de organisatie zeker wil weten dat de incident response partij beschikbaar is in het geval van een cyberincident. Beschikbaarheid heeft alles te maken met vraag en aanbod. Als het rustig is in de markt, heb je geen garantie op beschikbaarheid nodig. De partijen hebben tijd genoeg om je te helpen. Op het moment dat er veel incidenten tegelijkertijd plaatsvinden, is zekerheid wenselijker. Maar krijg je dit wel echt? Dat hangt af van de voorwaarden en daar mag kritisch naar gekeken worden.

Zegt de garantie iets over welke expertise je krijgt en hoeveel expertise je krijgt? Mijn ervaring is dat dat vaak te summier beschreven is en de incident response partij geen contractbreuk pleegt door maar één medewerker te sturen. Zegt de garantie ook iets over de hoeveelheid ervaring die je binnenhaalt of krijg je een junior team? Ook dat is lang niet altijd goed gedefinieerd. En als de garanties wel gespecificeerd zijn, zie ik maar al te vaak voorbijkomen dat er geen consequenties verbonden zijn aan het niet halen van deze garanties.

Verder komt het voor dat specifieke incidenten worden uitgesloten van garanties, bijvoorbeeld, volgend uit hoog risico kwetsbaarheid gepubliceerd door het NCSC. Dat zijn juist de momenten waarop je zekerheid wilt hebben dat je geholpen wordt. Maar is het realistisch om te denken dat als er honderden of duizenden bedrijven geraakt zijn in Nederland dat jij garantie hebt op hulp? Nee, dat is het niet, want de beschikbare expertise is beperkt.

Verder is het de vraag of incident response partijen echt (allemaal) nee tegen je zeggen als ze vol zitten als er geen sprake is van een grootschalige organisatie-overstijgende crisis. Er wordt vaak op basis van nacalculatie gewerkt, met hoge uurtarieven. Dus nee zeggen tegen een incident maakt al snel een verschil. En waarom zou je nee zeggen tegen een reeds bestaande klant van je organisatie zonder abonnement?

De signalen die ik uit de markt opvang is dat het vaker rustig is dan druk bij de incident response partijen. Oftewel, een grotere kans dat als je belt zonder contract dat je geholpen wordt. Maar let wel dit zegt natuurlijk niets over de toekomst.

Een abonnement verkopen is voor een incident response partij natuurlijk enorm interessant. Incidenten leveren geen constante inkomsten op, en abonnementen wel. Daarom wordt er van alles aan gedaan om deze zo aantrekkelijk mogelijk te maken. Zo wordt er korting gegeven op de uurtarieven. Dit levert alleen wat op als jouw organisatie ook daadwerkelijk slachtoffer wordt van een cyberincident. Wanneer het wat oplevert hangt af van het betaalde maandbedrag, de korting en het aantal besteedde uren tijdens het incident.

Een abonnement bevat vaak een gereserveerd budget wat gebruikt kan worden voor inzet tijdens een cyberincident. Dat is handig als je organisatie deze reserveringen niet intern kan doen of dit het inzetproces vereenvoudigd. Daarnaast kan het budget ingezet worden voor andere dienstverlening van de incident response partij als er geen cyberincidenten plaatsvinden. Maar als je al een security-partner hebt en het anders niet zou uitbesteden is het opeens een stuk minder interessant.

Het laatste voordeel wat ik wil benoemen is dat je al kennisgemaakt hebt met de organisatie en hun werkwijze. Eventueel wordt er zelfs informatie uitgewisseld over de IT-infrastructuur. Tegelijkertijd zijn de incident response partijen er ook op voorbereid om organisaties te helpen die ze nog niet kennen. Er wordt dan wel extra tijd en inspanning besteed aan de samenwerking goed laten verlopen en informatie uitwisselen.

Natuurlijk begrijp ik dat er organisaties zijn die meerwaarde zien in het afsluiten van een abonnement. Bijvoorbeeld omdat ze zeker willen weten dat hun voorkeurspartij komt ondersteunen. Of omdat het moet vanuit compliance-doeleinden. Vergelijk dan vooral verschillende abonnementen bij meerdere incident response partijen, bepaal de garanties die je nodig hebt en wees kritisch op de voorwaarden voordat je tekent.

Als je geen abonnement afsluit, maak dan een lijst met incident response dienstverleners en hun contactgegevens. Zoek eventueel informatie over hun werkwijze op, zorg dat relevante incidentinformatie (offline) klaarligt en een tekenbevoegde beschikbaar is. Dit bespaart tijd en zorgt ervoor dat je alsnog een snelle start kan maken met het oplossen van het incident.

Heeft je organisatie een cyberverzekering afgesloten?

Dan heeft de verzekeringsmaatschappij afspraken met incident response partijen. Controleer nog wel in de voorwaarden van de verzekeringspolis of dit aansluit bij de behoefte van jouw organisatie.

Is jouw organisatie NIS2-plichtig is? Bespreek met het toegewezen sectorale CSIRT welke ondersteuning zij wel en niet leveren. Bepaal op basis hiervan of een abonnement bij een incident response partij nog wenselijk is.

Over Lisa

Lisa de Wilde is cybersecurity expert met hands-on ervaring in het oplossen van complexe cyberaanvallen bij organisaties in binnen- en buitenland. Ze weet als geen ander hoe groot de impact van security incidenten kan zijn – zowel op organisaties als op mensen.

Als spreker en trainer staat ze bekend om haar energieke, interactieve stijl. Ze duikt in de belevingswereld van haar publiek en past haar verhaal direct aan op hun behoeften. Met haar workshops en trainingen en tijdens adviesopdrachten helpt ze organisaties weerbaarder te worden en veerkrachtiger om te gaan met cyberaanvallen.

Bij Security Innovation Stories deelt ze haar praktijkervaringen in columns én korte video’s. Ze put daarbij uit haar frontlinie-ervaring en vertaalt complexe security-uitdagingen naar concrete, praktische inzichten.

Een incident response abonnement dat hebben we nodig, toch?

Heeft je organisatie een cyberverzekering afgesloten?

Over Lisa

Moeten slachtoffers van cyberaanvallen zich schamen?

Een beveiligingsincident is zelden de schuld van één iemand

Hoe ‘compliant zijn’ ongemerkt kan bijdragen aan een groeiend aanvalsoppervlak

AI forces us to be human again

Waarom ROI-denken in cybersecurity juist leidt tot alert factories

Innovatie in de leveranciersketen is hard nodig

Heeft je organisatie een cyberverzekering afgesloten?

Over Lisa

Vergelijkbare berichten