Een CSIRT is alleen nuttig als het te laat is
Een CSIRT is een soort brandverzekering voor IT, maar het beschermt je huis niet tegen de vlammen, waarschuwt Steven De Munter, Orange Cyberdefense.
“Een CSIRT is als de brandweer: ze zijn 24 uur per dag, 7 dagen per week oproepbaar en kunnen snel ingrijpen om een brand te blussen en de oorzaak te vinden!”
En Steven De Munter, Cybersecurity Advisory Services, Orange Cyberdefense, merkt op: “Het is een verzekeringspolis voor je IT-omgeving, maar alleen is het niet genoeg. Zeker als je weet dat het heel goed mogelijk is om veel kleine brandjes te voorkomen door de juiste preventieve maatregelen te nemen.”
Ben je het slachtoffer van een cyberaanval? Dan is het belangrijk om heel snel te handelen. Een CSIRT gaat onmiddellijk ter plaatse om de verspreiding van de brand te beperken en je organisatie zo snel mogelijk weer op gang te helpen. Het CSIRT-team beschikt over specialistische hulpmiddelen en experts die precies weten wat ze moeten doen om het probleem op te lossen en uit te zoeken hoe de brand is ontstaan. “Het klinkt allemaal heel mooi, en het hebben van een CSIRT is ongetwijfeld een aanwinst voor je organisatie. Aan de andere kant zou uw organisatie nog beter af zijn als u er nooit een beroep op hoefde te doen. Kunt u zich voorstellen dat u door het nemen van de juiste maatregelen uw organisatie en anderen weerbaar kunt maken tegen cyberbranden?”
Voorkomen is beter dan genezen
“In de praktijk blijkt dat bedrijven vaak investeren in een CSIRT als hun cyberbeveiliging te wensen overlaat,” merkt de Orange Cyberdefense specialist op. Ze dichten niet alle mazen in de wet, ze hebben geen goed opgezette netwerkbeveiliging en ze slagen er vaak niet in om hun personeel, dat te vaak als “menselijke firewall” fungeert, bewust te maken. Op deze manier “geeft een CSIRT een vals gevoel van veiligheid… waardoor het werk van de hacker veel gemakkelijker wordt“.
Zie een CSIRT als een soort verzekeringspolis voor je organisatie, zegt Stéphane De Munter. “Het is goed om er een te hebben voor het geval er iets misgaat, maar je hoopt natuurlijk dat je hem nooit nodig zult hebben. Laten we een andere analogie nemen: het is belangrijk om een autoverzekering te hebben voor het geval je betrokken raakt bij een ongeval, maar dat weerhoudt je er niet van om je veiligheidsgordel te dragen en je aan de verkeersregels te houden tijdens elke rit om ongevallen te vermijden. Bovendien ga je niet op een totaal afwijkende manier rijden door blindelings het gaspedaal in te trappen. Je moet ook rekening houden met andere weggebruikers, die een ongeval kunnen veroorzaken door plotseling te manoeuvreren of zich op een ongepaste of gevaarlijke manier te gedragen. Als de nodige voorzorgsmaatregelen niet worden genomen, kan een kwetsbaarheid bij een van uw leveranciers zich snel verspreiden naar uw eigen IT-systemen. Op dat moment zal een CSIRT-contract, hoe duur ook, absoluut niets veranderen aan de situatie!”
Organiseer regelmatig brandoefeningen
Voor de organisatie zijn cyberaanvallen net als die verkeersrisico’s. We weten dat ze plotseling kunnen gebeuren. We weten dat ze plotseling kunnen gebeuren, maar we doen er alles aan om ze te voorkomen. “Ga na wat je kunt doen om te anticiperen op een cyberbrand. Welke gebreken moeten worden verholpen of welke ‘brandbare’ elementen moeten worden beveiligd? Hoe configureer je je firewalls om je waardevolle gegevens te beschermen? Je moet ook zorgen voor een goede back-upstrategie en een strategie voor beveiligde verbindingen, zodat je in het geval van een incident snel kunt zien waar en wanneer de brand is begonnen. Op die manier gaat er minder tijd verloren en kun je beter inschatten welke systemen mogelijk gecompromitteerd zijn of waar een sintel nog smeult.”
Medewerkers blijven een zwakke schakel en hackers maken daar misbruik van. Dus, adviseert Stéphane de Munter, organiseer voldoende training om ervoor te zorgen dat ze het juiste gedrag aannemen. “Je zou bijvoorbeeld niet willen dat ze een sigarettenpeuk in de vuilnisbak gooien zonder hem uit te maken… Gegevens die niet langer nuttig zijn, mogen niet rondslingeren. Ze moeten worden vernietigd voordat ze in verkeerde handen vallen. Als ze goed zijn opgeleid, zullen uw werknemers ook verdachte gebeurtenissen aan u melden. Zo kan een kleine brand meestal snel worden geblust voordat de vlammen zich verspreiden.”
Net zoals brandoefeningen verplicht zijn, zouden bedrijven de reflex moeten hebben om hetzelfde te organiseren voor hun cyberomgeving. Kortom, steek een virtuele vuilnisbak in brand en kijk of iemand reageert! Of organiseer als alternatief een incident response simulatieoefening: simuleer een aanval om de impact ervan op de organisatie in te schatten. Dit is ook een uitstekende manier om het management bewust te maken.
Deel uw informatie met andere bedrijven
Over het algemeen is er geen rook zonder vuur. Voordat er brand uitbreekt, zijn er al waarschuwingssignalen. Denk maar aan een oververhit apparaat. Bedrijven doen er daarom goed aan om meer te communiceren met andere spelers in hun eigen sector. Als hackers erin slagen een bank aan te vallen via een kwetsbaarheid in het ene systeem, lopen andere banken die hetzelfde systeem gebruiken ook gevaar. “Deze meldingsplicht is een belangrijke pijler van de toekomstige NIS2-richtlijn, maar organisaties moeten ook initiatief tonen en informatie delen. De beste crisisbijeenkomst is de bijeenkomst die wordt georganiseerd nog voordat er sprake is van een crisis. Het uiteindelijke doel is om een hele sector cyberbestendig te maken“.
Concluderend, gezien het feit dat , het nooit mogelijk zal zijn om het risico van een cyberaanval volledig uit te sluiten biedt een CSIRT een beetje gemoedsrust… maar dat is geen reden om een lakse houding aan te nemen als het gaat om uw investeringen en activiteiten op het gebied van cyberbeveiliging, benadrukt Steven De Munter. “Een CSIRT is pas nuttig als het te laat is. Denk aan de kosten van drie jaar verzekering en de totale kosten van een cyberransomware-aanval die uw organisatie een week zou lamleggen… Door de juiste cyberbeveiligingsmaatregelen te nemen, beperkt u niet alleen het risico op brand, maar verkleint u ook de impact van een cyberincident. In plaats van een hele brandweer te mobiliseren, is een goede brandblusser misschien alles wat je nodig hebt… ”
