Samen of alleen? Cyberincidenten worden complexer

Het aantal cyberincidenten stijgt elk jaar nog steeds. Ze zijn, net als onze IT-systemen, complexer geworden met meer impact op bedrijfsvoering. Dit raakt niet alleen de organisatie zelf maar ook klanten, partners en toeleveranciers. We krijgen steeds meer te maken met elkaar tijdens incidenten.

Een voorbeeld is de afhankelijkheid van de IT-dienstverlener, de MSP (Managed Service Provider). Soms leveren ze niet alleen de werkplekken en andere infrastructuur, maar dragen ze zelfs verantwoordelijkheid voor de security, zowel voor het inrichten daarvan als ook de monitoring. Als een incident optreedt is er dus een grote afhankelijkheid van de dienstverlener. Omdat de schade van een cyberincident aanzienlijk kan zijn, komt de vraag logischerwijs steeds vaker op of een IT-dienstverlener niet deels verantwoordelijk is voor het feit dat de security niet op orde was. Tijdens een incident kan dit contraproductief zijn, omdat een dienstverlener zich defensief kan opstellen, en erg gaat opletten op wat voor informatie gedeeld kan worden. Ook achteraf kan het vragen opleveren: ben je wel transparant op de hoogte gesteld van alle bevindingen?

Maar niet alleen het spanningsveld met de IT-dienstverlener wordt complexer, ook die met andere organisaties. Criminelen richten zich steeds vaker op toeleveranciers. Op die manier kunnen ze meerdere slachtoffers maken door een hack te plegen. Het kan zo maar voorkomen dat je daardoor met andere slachtoffers in hetzelfde schuitje zit. Communiceer je dan met elkaar? Ga je bevindingen uit onderzoek met elkaar delen, en misschien zelfs collectief naar de crimineel stappen om te onderhandelen als dat nodig is? De meeste mensen die ik spreek vinden dat een goed idee, maar in de praktijk zie ik dat de meeste organisaties geheim willen houden dat er een incident heeft plaatsgevonden. Hierdoor worden er echte kansen misgelopen.

Ook naar personen, intern en extern, is er meer aandacht voor persoonsgegevens die gelekt worden tijdens hacks. Stel: een e-mailaccount van een HR-medewerker is gehacked, en er is niet precies te zeggen welke mails zijn ingezien door de hacker. Ga je er dan vanuit dat alle e-mails zijn ingezien? Vaak betekent dat een flinke lijst met mensen die geïnformeerd moeten worden. Hoewel steeds meer organisaties een goed retentiebeleid op dit soort informatie voeren, zie ik toch steeds vaker gebeuren dat dit soort meldingen gewenst zijn. Personen zijn zich steeds vaker bewust van de risico’s die dit met zich meebrengt, en verwachten ook meer van de organisatie om te helpen dit risico te begrijpen en mogelijk zelfs op te lossen.

Het risico is dat dit een ingewikkelde toekomst teweegbrengt. Een toekomst waarbij we minder samenwerken met alle stakeholders die nodig zijn tijdens een incident, maar eerder tegenover elkaar zullen staan. Goed voorbereid zijn op incidenten, waarbij duidelijk is welke leveranciers allemaal nodig zijn en hoe er samengewerkt kan worden, is essentieel. Het vermijdt de defensieve en conservatieve reactie om andere stakeholders te zien als risico’s in plaats van kansen.

Zorgen dat je in die voorbereiding de verantwoordelijkheden goed scheidt tussen die leveranciers, zoals IT en security apart beleggen, kan je een hoop wc-eend-situaties besparen in de toekomst!

Martijn Hoogesteger
Martijn is Head of Cyber bij S-RM en is bereikbaar via m.hoogesteger@s-rminform.com.

Deze column verscheen in IB5-2024.