Tienduizend euro, kleingeld in incident response 

DoorLisa de Wilde

Tienduizend euro. Een hoog bedrag, maar in de incident response wereld is dit een schijntje. De tarieven kunnen oplopen tot meer dan duizend euro per uur. Extreem hoge tarieven die ervoor zorgen dat een budget van tienduizend euro vaak binnen één tot vier dagen op is. Zeker als er meerdere medewerkers aan een zaak werken. Tarieven waar tijdens een incident in de meeste gevallen direct voor getekend wordt. Je hebt geen keuze. Het is alsof je met je rug tegen de muur staat en een pistool tegen je hoofd hebt. En achteraf komen de vragen. 

Traditioneel gezien werken incident response partijen op basis van nacalculatie. Hoe meer uren er gewerkt worden, hoe meer er verdiend wordt. Vooral buiten kantoortijden werken is voor veel van deze organisaties interessant: het uurtarief gaat dan keer 1.5 of 2. Ik hoor vaak de verklaring dat die verhoging is ingevoerd om te voorkomen dat slachtoffers te makkelijk vragen om ’s avonds of in het weekend door te werken. Klinkt sympathiek, maar in de praktijk voelt het vooral als een verdienmodel. Want bij serieuze incidenten heb je geen enkele keuze: er móét een team buiten kantoortijden door. 

Met dit soort modellen is het helemaal niet interessant om in te zetten op automatisering. Minder uren resulteert namelijk in minder inkomsten. Toch zie ik steeds vaker vaste bedragen voor gekaderde onderzoeken voorbijkomen. Het ene slachtoffer zal goedkoper uit zijn, de ander niet. 

Regelmatig vraag ik me af hoe fijn het zou zijn als slachtoffers van cyberaanvallen 112 kunnen bellen. Je krijgt een centralist aan de telefoon die je eerste adviezen geeft en vervolgens wordt er een incident response team geactiveerd. Je wordt snel geholpen, net als bij de brandweer. Dit alles zonder dat er een contract met extreme uurtarieven onder je neus geduwd wordt. En een factuur? Die ontvang je niet. De kosten worden gedragen door de maatschappij. Door de belasting die iedereen betaalt. 

Een interessant gedachtenexperiment. Ik vraag me wel af hoe we organisaties dan gemotiveerd krijgen en houden om zich te beschermen tegen en voorbereiden op dit soort incidenten. Want wees nou eerlijk: lang niet elke organisatie doet een periodieke brandoefening en lang niet elk huishouden heeft een brandmelder. 

Voor de organisaties die onder de Cyberbeveiligingswet (gaan) vallen is incident response geborgd in de wet middels een sectoraal CSIRT (een publieke incident response partij). Ben je slachtoffer van een incident? Dan kan je kosteloos het sectorale CSIRT inschakelen. Maar helaas lijkt het erop dat hier de financiële realiteit teleurstellend gaat zijn. Voor een groot deel van de werkzaamheden vallen slachtoffers alsnog terug op de incident response partijen. 

De kosten voor incident response zijn slechts een deel van de kosten die een organisatie maakt tijdens een security incident. Tegelijkertijd zijn dit wel kosten die bewaakt kunnen worden en waarop gestuurd kan worden. Onderstaande tips helpen je hierbij op weg.  

  • Zorg dat iemand intern de regie heeft over de gemaakte kosten 
  • Vraag vooraf een uren-/kosteninschatting of spreek een plafondbedrag af 
  • Vraag een dagelijkse update van de uren/kosten 
  • Vraag om opschaling van het team altijd met jou te overleggen 
  • Bespreek dagelijks of afschaling mogelijk is 
  • Bepaal of het nodig is om ’s avonds of in het weekend door te werken (als er dan andere uurtarieven gehanteerd worden). Als een teamlid nog langer moet doorwerken, dan kan de rest gewoon weggestuurd worden 
  • Regel zelf het hotel en eten voor de incident responders 
  • Spreek af dat overige kosten alleen na toestemming in rekening gebracht mogen worden 
  • Stel kritische vragen over of die pentest of monitoring wel écht nodig is tijdens de afhandeling het incident of de crisis 
  • Maak duidelijke afspraken over de scope van het onderzoek en bespreek dagelijks of verder onderzoeken nog waarde heeft 
  • Bespreek dagelijks welke werkzaamheden je zelf zou kunnen uitvoeren binnen het herstel 
  • Bij sommige organisaties wordt onderscheid gemaakt in rollen die gestuurd worden (met ook verschillende uurtarieven); wees kritisch op of de rol passend is bij de werkzaamheden die uitgevoerd worden 

Over Lisa

Lisa de Wilde is cybersecurity expert met hands-on ervaring in het oplossen van complexe cyberaanvallen bij organisaties in binnen- en buitenland. Ze weet als geen ander hoe groot de impact van security incidenten kan zijn – zowel op organisaties als op mensen.

Als spreker en trainer staat ze bekend om haar energieke, interactieve stijl. Ze duikt in de belevingswereld van haar publiek en past haar verhaal direct aan op hun behoeften. Met haar workshops en trainingen en tijdens adviesopdrachten helpt ze organisaties weerbaarder te worden en veerkrachtiger om te gaan met cyberaanvallen.

Bij Security Innovation Stories deelt ze haar praktijkervaringen in columns én korte video’s. Ze put daarbij uit haar frontlinie-ervaring en vertaalt complexe security-uitdagingen naar concrete, praktische inzichten.

Vergelijkbare berichten