Van paniek naar de beste oefening
Maandagochtend, de organisatie ontvangt een melding van Microsoft Defender. Het lijkt erop dat een van hun servers gehackt is. Een server met zeer vertrouwelijke bedrijfsinformatie op. De server wordt geïsoleerd en het security team start een onderzoek. Ze komen er niet uit en besluiten dat externe hulp nodig is. Ook wordt het interne crisisteam geactiveerd en brengen ze de Privacy Officer op de hoogte van de situatie.
Er moet zo snel mogelijk onderzocht worden wat er aan de hand is. Is er toegang verkregen tot de server? Als dat zo is: wat is er met de data gebeurd? Maar eigenlijk nog belangrijker: zit er momenteel een aanvaller in het netwerk?
Al snel blijkt dat de server niet gehackt is. Een enorme opluchting. De impact op de organisatie was minimaal. Het resultaat was maximaal: dit was een ongelooflijk goede oefening. Er zijn veel lessen geleerd en de processen, procedures en samenwerkingen zijn verbeterd.
Er blijkt ook dat de omschrijving van de melding misleidend is en dat de risico-inschatting die standaard meegegeven wordt onjuist is. Er is zelfs wat voor te zeggen om deze melding volledig uit te zetten. Dit voorbeeld laat maar weer zien hoe belangrijk het is dat je zo goed mogelijk weet welke meldingen binnen kunnen komen vanuit je monitoring-software en hoe hierop gereageerd moet worden. Overigens is en blijft dit een uitdaging bij het gebruik van out-of-the-box detectieregels.
Een betere oefening dan dit bestaat niet en dat komt omdat het echt is. Cyberoefeningen worden steeds beter en het lukt ook steeds beter om bij de realiteit te komen. Maar het blijft anders. Vooral de impact op de organisatie en de mensen is moeilijk na te bootsen en de vraag is ook hoe ver je daarin wilt gaan. Systemen kunnen uitgezet worden, maar dan is er ook écht impact. Ik ben hier groot voorstander van, maar begin klein en vergeet niet dat dit ook een mentale impact op je medewerkers heeft. Een andere optie is om als je erachter komt dat een security-melding geen incident is bepaalde acties alsnog uit te voeren alsof het wel een incident was. Op deze manier test je je voorbereiding.
Never waste a good crisis.
Over Lisa
Lisa de Wilde is cybersecurity expert met hands-on ervaring in het oplossen van complexe cyberaanvallen bij organisaties in binnen- en buitenland. Ze weet als geen ander hoe groot de impact van security incidenten kan zijn – zowel op organisaties als op mensen.
Als spreker en trainer staat ze bekend om haar energieke, interactieve stijl. Ze duikt in de belevingswereld van haar publiek en past haar verhaal direct aan op hun behoeften. Met haar workshops en trainingen en tijdens adviesopdrachten helpt ze organisaties weerbaarder te worden en veerkrachtiger om te gaan met cyberaanvallen.
Bij Security Innovation Stories deelt ze haar praktijkervaringen in columns én korte video’s. Ze put daarbij uit haar frontlinie-ervaring en vertaalt complexe security-uitdagingen naar concrete, praktische inzichten.
