211service.com
Crisiscommunicatie na een aanval
In samenwerking met Hewlett Packard Enterprise Security Services en FireEye Inc.
Dit is een scenario dat steeds vaker voorkomt: u bent een bedrijf of IT-leider en u verneemt – mogelijk van bronnen buiten uw bedrijf – dat cyberaanvallen de systemen van uw organisatie hebben gecompromitteerd. U weet nog niet met welke ernstige inbreuk u wordt geconfronteerd, maar het is duidelijk tijd om uw crisiscommunicatieplan te activeren.
Behalve dat je geen plan hebt. Of je hebt er een, maar het dekt geen cyberbeveiligingscrises.
In beide gevallen ben je niet de enige. Beveiligingsexperts zeggen dat zelfs de meest beveiligingsbewuste organisaties vaak hopeloos slecht voorbereid zijn als het gaat om de communicatie met interne en externe belanghebbenden tijdens en na cyberaanvallen - en dat laat hen klauteren om de controle terug te krijgen in een crisis. Dat komt meestal omdat ze niet genoeg werk hebben gedaan voordat de breuk.
'De grootste fout die ik bedrijven zie maken, is dat ze geen crisiscommunicatieplan hebben', zegt Vitor De Souza, vice-president van wereldwijde communicatie bij FireEye Inc., een toonaangevend wereldwijd cyberbeveiligingsbedrijf. De observatie van De Souza wordt ondersteund door een onderzoek in februari 2016 uitgevoerd door MIT Technology Review Custom in samenwerking met FireEye en Hewlett Packard Enterprise (HPE) Security Services. Vierenveertig procent van de 225 ondervraagde bedrijfs- en IT-leiders zei dat hun organisaties geen communicatieplannen voor cyberbeveiligingscrisis hadden; nog eens 15 procent wist niet of ze zulke plannen hadden.
Een soortgelijke fout: vertrouwen op een crisiscommunicatieplan dat zich richt op andere soorten noodsituaties: branden, stroomstoringen, natuurrampen. Dit soort plannen gaat niet in op communicatie over problemen die uniek zijn voor inbreuken op de informatiebeveiliging, zoals mogelijke toegang van cybercriminelen tot persoonlijk identificeerbare informatie of intellectueel eigendom van het bedrijf.
Video: Crisiscommunicatie na een aanval
Cyberaanvallen zijn ingewikkelder om mee om te gaan dan branden, en ze zijn veel ingewikkelder om met het publiek te bespreken. 'Als er brand is in het gebouw, zijn er een of twee uitwegen, maar in cyberspace zijn er veel verschillende scenario's. Je moet weten waar je mee te maken kunt krijgen, zegt De Souza.
Als individuen in een organisatie, als we rook ruiken of brand zien, voelen we ons gemachtigd om alarm te slaan, zegt Andrzej Kawalec, CTO van HPE Security Services. Een brandalarm activeert op een vrij eenvoudige manier noodhulp- en crisiscommunicatieplannen, maar, zegt Kawalec, gebeurt dit om twee redenen niet bij cybersecurity-incidenten.
Resultaten van de enquête
Uitdagingen, risico's, trends en effecten op het gebied van cyberbeveiliging
Geproduceerd door MIT Technology Review Custom in samenwerking met Hewlett Packard Enterprise Security Services en FireEye Inc.
Ten eerste worden inbreuken vaak eerst door buitenstaanders gemeld, waardoor organisaties verrast worden. In 2015 werd 53 procent van de incidenten die werden afgehandeld door Mandiant, een FireEye-bedrijf, voor het eerst onder de aandacht van bedrijven gebracht door externe bronnen, zoals klanten, partners, wetshandhavers, journalisten of de aanvallers zelf. Ze bevinden zich onmiddellijk in een zeer reactieve situatie, met een grote mate van onzekerheid, constateert Kawalec.
Ten tweede vinden inbreuken vaak plaats gedurende lange perioden. Volgens het Mandiant-rapport was de mediane tijd dat tegenstanders van Mandiant-klanten in 2015 binnen de perimeter doorbrachten voordat ze werden gedetecteerd. M-Trends 2016 . Als je het op dag vijf vindt, is er maar zoveel schade die in die tijd kan worden aangericht, zegt Kawalec. Maar soms worden inbreuken maanden of zelfs jaren niet ontdekt. Lange vertragingen bij de detectie maken de crisis veel moeilijker te beheren en uit te leggen aan verschillende betrokken doelgroepen. De vragen die worden gesteld in de nasleep van een lek, zoals waarom het zo lang duurde om de lek te ontdekken en waarom het überhaupt gebeurde, kunnen veel schadelijker zijn voor de reputatie van een bedrijf dan de vragen die doorgaans worden gesteld na een brand. of een andere natuurramp.
Toch zeggen Kawalec en andere experts dat het van cruciaal belang is om belanghebbenden op de hoogte te houden na een inbreuk. Het ergste zijn geruchten en vermoedens, zegt Kawalec. Creëer een kader om vragen eerlijk en integer te beantwoorden. Wees transparant over wat je wel en niet weet.
Communiceer continu - en vanaf de top
Chris Leach, hoofdtechnoloog voor HPE Security Services en voormalig Chief Information Security Officer (CISO) voor een groot bedrijf, is het daarmee eens. Communiceer naar boven en naar beneden met mensen en communiceer continu, beveelt hij aan. Vermeld wat u weet om vertrouwen te wekken dat u, als bedrijf, het probleem aanpakt en de informatie beschermt. Waar mogelijk, zet u in voor actie: zeg bijvoorbeeld 'we gaan dit hebben opgelost tegen' - en vul vervolgens de lege ruimte in. Beloof updates wanneer er meer informatie is om te delen.
Leach raadt echter aan om informatie te delen op een 'need-to-know'-basis: we zouden normaal gesproken niet alle details van een inbreuk aan alle werknemers meedelen, zegt hij. We zullen alleen genoeg delen om ervoor te zorgen dat ze er zeker van zijn dat we het afhandelen en dat dit informatie is die ze met hun klanten kunnen en moeten delen.
Tegelijkertijd is het belangrijk om de zorgen van werknemers over de vraag of hun eigen persoonlijke informatie is gecompromitteerd, weg te nemen, zegt Kawalec. Werkgevers hebben doorgaans gevoelige gegevens over werknemers: salaris, adres, arbeidsachtergrond, gegevens over werkprestaties en andere persoonlijke gegevens. Om die reden, zegt Kawalec, moeten uw medewerkers het gevoel hebben dat u met hen communiceert en dat ze begrijpen wat er is gebeurd.
Alle drie de experts benadrukken het belang van het betrekken van de top van het bedrijf bij het crisiscommunicatieplan, niet alleen tijdens een cyberaanval, maar ook ruim daarvoor. Een datalek is geen IT-probleem, zegt De Souza. Het is een zakelijk probleem. De C-suite moet hands-on zijn. Bereid ze voor. Als je dat eenmaal hebt gedaan, heb je een partner, een bondgenoot, om de uitdaging aan te gaan.
Bovendien beschouwen slimme organisaties die de reis van digitale transformatie omarmen, hun communicatieplan voor cyberbeveiligingscrisissen als een voortdurend werk in uitvoering en actualiseren het om de nooit eindigende evolutie van nieuwe bedreigingen weer te geven. Een voorbeeld van een opkomende dreiging: ransomware, waarbij een aanvaller de toegang tot een computersysteem beperkt totdat een bedrijf forse chantagekosten betaalt. In een spraakmakend incident in februari 2016 blokkeerde een ransomware-aanval de toegang van werknemers tot computersystemen in het Hollywood Presbyterian Medical Center in Los Angeles. De cyberaanvallers eisten dat het ziekenhuis het equivalent van ongeveer $ 17.000 betaalde via het virtuele Bitcoin-valutasysteem om de decoderingssleutel te verkrijgen voor het ontgrendelen van de systemen. In het belang van het herstel van de normale operaties hebben we dit gedaan, schreef ziekenhuispresident en CEO Allen Stefanek in een brief geplaatst op de website van het ziekenhuis.
Stefaneks brief merkte op dat de Hollywood Presbyteriaanse cyberaanval de patiëntenzorg niet in gevaar bracht en dat, voor zover het ziekenhuis kon nagaan, de aanvallers nooit toegang hadden tot werknemers- of patiëntinformatie. Maar het losgeldconcept maakte leiderschapsteams in andere organisaties over de hele wereld zenuwachtig. Wat als uw systemen uitvallen omdat iemand u vraagt om $ 1,5 miljoen te betalen? vraagt De Souza. Ben je bereid om daarmee om te gaan? Even belangrijk: wat gaat u erover zeggen - en gaat uw communicatieplan in op een dergelijk scenario?
Bouw een sterke basis
Natuurlijk zullen crisiscommunicatieplannen sterk verschillen van organisatie tot organisatie. Maar de experts doen een paar aanbevelingen voor het opzetten van een effectief kader voor crisiscommunicatie:
- Creëer een crossfunctioneel communicatieteam. We hadden een HR-persoon. We hadden communicatie- en juridische mensen, en iemand van het IT-team, zegt Leach bij het beschrijven van het cybersecurity-crisiscommunicatieteam bij zijn voormalige werkgever. Afhankelijk van het type datalek haalde het kernteam soms andere specialisten in huis. Het kan dus een opslagspecialist zijn, of een specialist uit een branche in een andere regio van de wereld, legt hij uit.
- Zorg voor een duidelijke leiderschapsstructuur. 'Als dingen gebeuren, gaan ze snel,' zegt De Souza. De communicatiestructuur moet goed gedefinieerd zijn, met een eigenaar die zich prettig voelt bij het nemen van de leiding.
- Spreek met één stem . Dat betekent niet per se dat je een enkele woordvoerder moet gebruiken. In plaats daarvan moet ervoor worden gezorgd dat iedereen die bevoegd is om met belanghebbenden te spreken, dezelfde boodschap deelt. In al onze communicatie waren er slechts twee of drie mensen die namens het bedrijf mochten spreken, herinnert Leach zich. Hij raadt aan om die woordvoerders een professionele mediatraining te geven - nogmaals, lang voordat ze die vaardigheden moeten gebruiken.
- Zorg dat communicatieplatforms klaar zijn voor gebruik. Mensen zijn niet gewend om een crisis te managen met de snelheid van Twitter, zegt Kawalec. Als de inbreuk openbaar wordt, zet dan zo snel mogelijk een speciale website online. Zet meerdere tweerichtingskanalen op zodat belanghebbenden - werknemers, klanten, partners, de media en anderen - met informatie of vragen contact kunnen opnemen met het bedrijf.
- Oefen, oefenen, oefenen. De Souza raadt aan om tafeloefeningen te doen, regelmatige repetities met communicatiestrategieën voor het reageren op verschillende soorten cyberaanvallen. Hoe regelmatig? Souza zegt dat in de beste voorbeelden die hij heeft gezien, organisaties elk kwartaal oefeningen houden, zowel de C-suite als het crisiscommunicatieteam. Je moet zorgen dat het communicatieplan operationeel is en dat je het ook daadwerkelijk kunt gebruiken, merkt hij op.
Kijk naar externe expertise
Natuurlijk hebben veel organisaties niet de interne middelen die nodig zijn om uitgebreide crisiscommunicatieplannen te maken, te oefenen en voortdurend bij te werken, vooral gezien de enorme diversiteit aan mogelijke cyberaanvalscenario's. In die gevallen is het zinvol om externe partners in te schakelen die veel ervaring hebben met het opstellen van blauwdrukken en beste praktijken voor crisiscommunicatie. Een voorbeeld: HPE Security Services en FireEye, die duizenden klanten wereldwijd oplossingen hebben geboden voor incidentrespons, compromisbeoordeling en bedreigingsdetectie, en ook veel beproefd advies bieden over planning voor crisiscommunicatie.
Het is duidelijk dat je de communicatiecyclus niet kunt beheersen zonder vooraf wat werk te hebben verzet, merkt Kawalec op. Zo kunnen we samen met u of voor u een zeer doordacht crisisresponsplan ontwikkelen met verschillende blauwdrukken en scenario's. Dan gebruiken we dat als trainingshandboek waarmee uw teams realtime aan de slag kunnen.
Op die manier zijn organisaties goed voorbereid als het onvermijdelijke zich voordoet, zegt Kawalec. In het heetst van de strijd weet je wat je moet zeggen en hoe je het moet zeggen. Je weet verschillende boodschappen aan verschillende doelgroepen over te brengen. Je kunt de situatie onder controle krijgen en communiceren.
Lees dit voor meer informatie over digitale transformatie en cyberbeveiliging HPE-FireEye-bronwebsite.