Webinar Incident Readiness
Hallo allemaal.
Jullie kijken nu naar de opname van een webinar van het NCSC over Incident readiness.
Ja, waarom hebben we dit webinar eigenlijk georganiseerd?
Ja, we leven in een digitale wereld.
En dat biedt ons veel voordelen.
Maar er kleven ook nadelen aan.
En één daarvan is dat het niet langer de vraag is of
maar eerder wanneer je wordt getroffen door een Cyberaanval.
Nou, betekent dat nou dat je achterover kunt leunen
en afwachten totdat het je gebeurt?
Nee, bereid je voor.
Zorg ervoor dat je je Incident readiness op orde hebt
zeggen wij vanuit het Nationaal Cyber Security Centrum.
Betekent dat dat je het allemaal alleen moet doen?
Nee, ook dat is niet het geval.
Er zijn incidentresponspartijen die je daarbij ondersteunen.
Een aantal van hen is vandaag bij ons te gast.
We stellen ze straks aan je voor.
En ook het NCSC ondersteunt je erbij.
Wij zijn Koen en Ellen, wij zijn jullie hosts vandaag
bij dit webinar over Indicent readiness.
En in het dagelijks leven zijn wij adviseur bij het NCSC.
Koen, wat doen wij eigenlijk allemaal als adviseur?
Ja als adviseur helpen wij om bedrijven in Nederland
hun weerbaarheid te verhogen.
Weerbaarheid verhogen dat wil niet alleen zeggen
dat je alle incidenten weet te voorkomen.
Er zal toch altijd iets kunnen gebeuren.
En wat er ook hoort bij weerbaarheid is
dat je dat op tijd in de gaten hebt
en dat je er adequaat op kunt reageren
en dat je zo snel mogelijk weer terug in bedrijf bent.
Dus daar helpen wij partijen graag bij,
in geschreven en gesproken adviezen.
Zoals deze.
Als jullie nu kijken, betekent dit dat het een opname is.
Het webinar werd wel live uitgezonden en
bijgewoond door kijkers die hun vragen hebben gesteld.
En we hebben dus ook in de uitzending wat vragen
van kijkers kunnen behandelen.
Dus laten we daar nu naar gaan kijken.
Goed, een incident.
Ja, waar moet ik dan zoal aan denken?
Ja, stel je komt ‘s morgens op je werk en je zet je computer aan
en je hebt een groot zwart scherm
en middenin een balkje dat je hele netwerk platligt
en dat je bent gehackt.
Om weer te kunnen werken moet je eerst losgeld betalen.
Je bent kortom slachtoffer geworden van een ransomware-aanval.
Ja, ransomware, dat is er inderdaad eentje,
die is behoorlijk verstorend voor je organisatie.
Maar er kunnen ook andere dingen gebeuren.
Een iets kleinschaligere maar eigenlijk ook met behoorlijke impact is
wat we dan de defacement noemen.
Dan is bijvoorbeeld je website vervangen door ineens een boodschap
met allemaal Russische vlaggen en plaatjes van atoombommen.
Met een soort pro-Poetin boodschap
en dood aan het Westen en dergelijke.
Nou, op zo’n moment zit je natuurlijk met
honderden vragen.
Wat is hier gebeurd? Wie zitten hierachter?
Hoe heeft dit zomaar kunnen plaatsvinden?
Maar vooral ook: hoe kom ik er zo snel mogelijk weer terug in bedrijf?
Ja, want waarom is dat nou zo erg hè?
Waarom ben je er niet met een nieuw boekhoudprogramma?
Of met het opnieuw installeren van jouw computer?
Je moet je de vraag stellen wat het voor jou zou betekenen,
voor jouw bedrijf of organisatie
als je weken of zelfs maanden niet kunt werken.
Dat ook je medewerkers niet aan de slag kunnen.
Wat zou dat betekenen voor je productie, voor je omzet,
voor je klanten en voor je imago?
Zo ingrijpend kan het zijn.
Dus laten we eens kijken wat je nou moet doen he,
op het moment dat je bent getroffen door een cyberaanval.
Ja, daarbij is het sowieso het belangrijkst om voorbereid te zijn,
om dus van tevoren al je draaiboek daarvoor klaar te hebben liggen.
Op papier zelfs, want als al je systemen zijn geblokkeerd,
dan kun je er misschien digitaal ook niet bij.
En bovenin dat draaiboek daar staan de telefoonnummers
van wie je wil bellen op dat moment.
Ja, en op papier he Koen? Want...
Ja.
Je kunt natuurlijk niet meer bij je systemen,
dus heb het op papier klaarliggen in een kast.
Ja, en partijen om te bellen zijn bijvoorbeeld
nou ons, het NCSC.
Maar ook de incidentresponsbedrijven
die er zoal zijn.
Zij kunnen je ondersteuning bieden in het verhelpen van een incident.
Maar denk ook, als je heel veel van je ICT hebt uitbesteed,
dat je ICT leverancier ook zeker een
een partij is die je zo snel mogelijk wil bellen.
Nou, dan is de hulp misschien niet meteen
binnen een minuut bij jou voor de deur.
Maar wat je dan als eerste ook zelf kunt doen
is even kijken naar welke van je systemen
daadwerkelijk getroffen zijn.
En, als je dat weet, je hoeft niet helemaal onderzoek te gaan doen
als je daar geen verstand van hebt
maar als je het wel doorhebt
ontkoppel dat getroffen systeem dan van je netwerk,
door gewoon de netwerkkabel eruit te trekken,
door de WIFI verbinding te verbreken.
Maar tegelijkertijd: zet het systeem niet helemaal uit.
Nee.
Laat de stekker erin, want er staan nog sporen
in het werkgeheugen van wat er gebeurd is
en dat is voor het forensisch onderzoek
in een later stadium misschien interessant.
Ja, vergelijk het een beetje met als je thuis een inbraak hebt,
dan ga je ook niet meteen daarna eerst schoonmaken.
Dan bel je de politie. Zorg je ervoor dat zij
eerst forensisch onderzoek kunnen doen
voordat uiteindelijk je wel kunt gaan schoonmaken.
Precies. En de politie in het geval van een digitale aanval,
die wil je ook
Je wil natuurlijk aangifte doen als er sprake is van een strafbaar feit.
De politie kan je alleen niet helpen met het weer
terug in bedrijf komen.
Maar incidentresponspartijen,
die zijn daar wel de best aangewezen partijen voor.
Ja.
Daar... we gaan zo over naar de incidentresponspartijen.
Wat belangrijk is in dit hele verhaal is dat je eigenlijk alle adviezen altijd
moet vertalen naar wat het betekent voor jouw organisatie.
Want jouw organisatie heeft specifieke belangen
die je wilt beschermen.
Er gelden voor jouw organisatie of branche
wellicht specifieke dreigingen.
En dus ook het nemen van mitigerende maatregelen
om de riscio’s te mitigeren die
gelden specifiek voor jouw sector of bedrijf.
Dus realiseer je dat je daarin een
grote eigen verantwoordelijkheid hebt.
Naast wat de incident respons partijen
en het NCSC voor je kunnen doen.
Ja, ik heb een vraag...
En die vraag is dat...
Ik heb al mijn ICT uitbesteed aan een leverancier, en
die leverancier die is helemaal niet bereikbaar in het weekend.
Wat doe ik nou als er in het weekend een incident is?
Dat vind ik een hele mooie vraag.
Ja. En ja in het weekend inderdaad als je ICT leverancier
de telefoon niet opneemt, maar daar zijn alle problemen.
Dat is inderdaad een lastige om op zo’n moment ad hoc op te lossen.
Wij zouden willen adviseren om dan eigenlijk voordat het fout gaat
een keer een gesprek aan te gaan met je leverancier
om te kijken of je daar toch afspraken over kunt maken.
Nou een goed natuurlijk moment daarvoor is bijvoorbeeld
op het moment dat je een contract gaat verlengen of vernieuwen
of een nieuwe aanbesteding doet.
Ja.
En om dan te weten welke vragen je moet stellen
aan je IT-leverancier
dat is een van de vele onderwerpen
waarop het NCSC je ook advies biedt.
In de vorm van allerlei publicaties
die wij op onze website hebben staan.
Dus ook daarin kunnen wij je ondersteunen.
Ja nog een andere vraag:
als je nu gekoppeld zit aan WIFI?
Dat gaat over inderdaad je besmette systemen ontkoppelen.
Ja. Als je toegang hebt tot het systeem,
schakel de WIFI dan gewoon uit op dat systeem zelf.
Mocht die nou helemaal zijn geblokkeerd
dan kun je overwegen om inderdaad gewoon echt
je hele WIFI netwerk dan maar eventjes uit te schakelen
om te voorkomen dat een besmetting zich verspreidt of dat
een ingebroken actor gewoon zijn gang kan blijven gaan.
Dat heeft natuurlijk impact op je
hele netwerk dan meteen
En dat is een overweging die je op dat moment
die zal heel moeilijk zijn om te maken,
en met de stress van het moment van zo’n incident
is dat een moeilijke knoop om door te hakken.
Dus daarin zou ik willen adviseren:
bedenk van tevoren
Ga kijken naar het risicoprofiel hè.
Wat jij al zei, van
welke belangen heb je te beschermen? Wat zijn de dreigingen?
En wat voor impact hebben verschillende incidenten?
En ga van tevoren alvast nadenken:
Wanneer is iets erg genoeg om ook echt de hele
de hele stekker van mijn WIFI of mijn internetverbinding
van mijn hele organisatie eruit te trekken.
Die keuze wil je van tevoren gemaakt hebben,
zodat die op het moment zelf makkelijker te nemen is.
Ja, dat hoort echt bij je voorbereiding he.
Scenario’s doornemen
Kijken wat het voor jouw organisatie betekent als er iets gebeurt.
En wat je dan, in welke situatie ook, doet
dat ligt dus vast in je draaiboek die je in de kast hebt liggen.
Mooie vraag.
Ja.
En er is nog een vraag binnengekomen.
Waar zien jullie het onderscheid tussen
incidentrespons en disaster recovery?
Oh ja, dat is een hele mooie.
Ja. Incidentrespons, nou daar kunnen de heren straks
misschien ook nog wel wat over vertellen...
Maar dat ...
Die hanteren de containment, eradication en recovery als fasen.
En, ja dat wil dus zeggen: je wil als eerste de aanval tegenhouden,
echt stoppen en de impact ervan zo snel mogelijk beperken.
Dat is je containment.
En eradication, dat is alle sporen uitwissen
die een aanvaller heeft achtergelaten.
Dus al je systemen weer schoon inspoelen.
En dan de recovery is weer helemaal je bedrijfsvoering
terug naar normaal brengen.
En... nou ja disaster recovery is
een onderdeel van de vraagstelling, hè.
Kijk, wanneer iets een incident is of een,
of echt een ramp.
Ja, dat is moeilijk van tevoren een definitie aan te geven, en
ja, dat heeft ook
dat heeft ook weer te maken met hoe
je je eigen risico inschatting uiteindelijk doet
Wat je zelf een gewoon incident vindt en wanneer je zelf,
er zelf sprake vindt van een disaster die
Maar je aanpak zal als het goed is
ongeveer hetzelfde moeten zijn.
Zeker in die eerste fase.
Ja. Als we er tijd voor hebben, ik neem hem graag mee
zometeen voor de incidentresponspartijen.
Ja. En nog een andere vraag:
wat is de definitie van een significant incident?
Ook daar is dat inderdaad weer:
ja dat hangt af van je eigen organisatie
... belangen.
Ja, die vraag kunnen wij dus niet voor je beantwoorden,
want dat hangt zo af van de sector waarin je opereert
van je bedrijf zelf, nogmaals van je te beschermen belangen,
en van de risico’s die je wilt mitigeren.
Precies. Dus je hebt daarin, gewoon in die voorbereiding
in je incident readiness ook gewoon echt heel,
heel erg duidelijk een eigen verantwoordelijkheid
om je plannen goed te doen.
en je risico management daarin
ook een beetje op orde te hebben.
Ja. Het lijkt mij een goed moment om
naar de incidentresponspartijen te gaan.
Dan geef ik jou het woord, Koen.
Ja, dankjewel Ellen.
Dan... Voordat we in gesprek gaan met de incident respons partijen,
wil ik ook nog even vertellen wat het NCSC kan doen
op het moment dat je ons belt.
Het NCSC is in de nieuwe Cyberbeveiligingswet,
die hopelijk later dit jaar ingaat
aangewezen als de coördinerend nationale CSIRT.
Dus het Computer Security Incident Response Team.
Het NCSC wil dus ook reageren op incidenten.
Het belang dat wij daarbij hebben is dat wij willen weten
wat de aanvalsmethoden zijn,
of wat de oorzaken van een incident zijn.
En eventueel wat voor gevolgen, wat voor impact het heeft
op Nederland als geheel.
Want op het moment dat we een nieuwe aanvalsmethode zien,
of we zien een sterke toename van een bepaalde aanvalsmethode
dan willen we daar andere partijen in Nederland
ook voor waarschuwen.
Dus die informatiegaring over incidenten is
op dat moment heel belangrijk voor ons.
Daarnaast is het natuurlijk zo dat wij als overheid ons
verantwoordelijk voelen voor de maatschappelijke stabiliteit.
En wij willen daarom belangrijke,
en essentiële partijen die onder de Cyberbeveiligingswet
als zodanig worden aangewezen
of worden gedefinieerd,
die willen wij ook gewoon helpen om
zelf weer overeind te komen.
Maar wij kunnen dat niet zelf doen voor jullie.
Wij helpen om jezelf weer er bovenop te helpen.
Dat is waar het in feite op neerkomt.
Dus dat is een beetje de taak van het NCSC.
En daarnaast heb je...
Nou we zeiden het al die eigen verantwoordelijkheid
ook zeker als je onder die Cyberbeveiligingswet valt,
heb je een zorgplicht ook om je eigen zaken op orde te hebben.
Dan wil ik hem nu doorgeven aan Ellen.
Die is inmiddels aangeschoven bij de incidentresponspartijen.
Ja, dank je Koen.
Welkom Bastiaan van Tesorion,
Christiaan van Northwave en Joep van FoxIT.
Jullie zijn alle drie werkzaam
bij een incidentresponspartij.
En Bastiaan, jij zit bij uitstek op de plek
waar de telefoon gaat.
Klopt.
Stel d’r gaat...
de telefoon gaat
en jij krijgt te horen:
Help, mijn bedrijf ligt plat.
Wat is dan het eerste wat jij gaat doen?
Goeie vraag. We krijgen natuurlijk geregeld zo’n belletje.
En eigenlijk...
Eigenlijk verloopt zo’n gesprek in fases.
Het eerste gesprek is wat wij
de triage noemen.
Dat is net als in een ziekenhuis waar
een zwaar gewonde patient binnenkomt
probeer je te bepalen:
Waar is die gewond? Wat is er gebeurd?
In het geval van Cybersecurity is het vooral
luisteren naar welke personen zijn hierbij betrokken
welke machines zijn erbij betrokken?
Wat weet het slachtoffer zelf al?
En je probeert eigenlijk een risico gebaseerde analyse
te maken op dat moment:
Ok, moeten wij hier gaan ondersteunen?
Kunnen wij ondersteunen?
En als we op dat moment besluiten dat we dat gaan doen,
dan gaan we eigenlijk naar een tweede fase.
Dan gaan we een zogenaamde intake doen met deze klant.
En die intake is bij voorbaat iets wat je face to face,
via nou tegenwoordig, via Teams natuurlijk, doet.
En dan ga je iets verder het detail in
om ook te bepalen:
Ok, maar waar bevindt zich het incident nu?
Wat zijn de directe risico’s van dit bedrijf?
In het geval van ransomware is er natuurlijk al een heleboel gebeurd.
Maar vaak is ook het verhaal dat er iets ontdekt is
en is het helemaal nog niet duidelijk wat de risico’s zijn.
Dus je probeert die in die eerste fase duidelijk te krijgen,
en daar probeer je eigenlijk zo snel mogelijk acties op te ontwikkelen.
Ja. Ja, duidelijk.
Acties op ontwikkelen, en...
Daar komen we zometeen nog eventjes op terug.
Dat is wat er gebeurt op het moment dat er...
Dat ik ben getroffen en dat ik jou ga bellen
als incidentresponspartij.
Maar wat doet een incidentresponspartij nog meer?
Christiaan?
Dat verschilt.
Maar je kan bijvoorbeeld denken aan zorgen dat je
voorbereid bent op zo’n incident.
Dus op het moment dat je de noodzaak voelt om te bellen,
dat je weet wie je moet bellen, wat er dan gaat gebeuren.
En ook dat het proces daarna geoefend is en enigszins bekend is.
Dus dat je weet wat je ongeveer kan verwachten,
dat je de juiste spullen klaar hebt.
Dat je bijvoorbeeld het forensisch bewijsmateriaal
klaar hebt om onderzoek te kunnen gaan doen
zodat je alweer sneller kan gaan herstellen.
Herstelplannen hebben.
Maar ja nog veel belangrijker natuurlijk
is het hele stuk van bescherming aan de voorkant.
Maar echt in de context van het incident
moet je zorgen dat je weet wat je draaiboek is.
Dat je weet dat je de juiste informatie alvast voor handen hebt.
Je zegt: dat is in de context van het incident.
Maar ik hoor je ook eigenlijk meer vertellen
dan alleen maar: heb je techniek op orde.
Ja absoluut.
Dan ga ik even naar jou, Joep.
Waar moet ik dan nog meer aan denken als het
niet alleen de techniek is die ik op orde moet hebben?
Ja, nou een heel belangrijke is inderdaad
wat ook gezegd werd, dat stukje, de voorkant.
En je kan incidenten ondervinden oftewel ervaren.
Maar je hebt natuurlijk ook het stukje detectie.
En ik denk een heel belangrijke is dat een incident respons partij
dat ofwel zelf doet of in samenwerking met he de organisatie
kijkt wie voert nou die analyse uit als het gaat om die detectie.
Dat kan zijn misschien een IT-leverancier
Hè want incidenten kunnen dan wel misschien
technisch gedetecteerd worden
maar nog belangrijker: wie kijkt er daadwerkelijk
naar om te voorkomen dat een incident
zich ontwikkelt naar een te grote crisis?
Dus het is niet alleen techniek?
Ik vind detectie ook nog wel een technisch onderwerp.
Maar het is natuurlijk ook je mensen voorbereiden.
Ja bijvoorbeeld... zorgen dat mensen weten waar
ze het moeten melden als ze wat geks zien.
Ja.
En zorgen dat de mensen waar gemeld wordt
dan weten wat ze moeten gaan doen.
Ja.
Zorgen dat ze weten wanneer ze moeten opschalen,
wanneer ze wie er moeten bij betrekken.
Ja.
En dat is nog allemaal voordat je een echt incident
hebt waar je ons voor zou bellen.
Gewoon intern: iemand is een USB stick kwijt,
iemand heeft een gek mailtje gehad en toch ergens op geklikt.
Ja.
Weten mensen dan wat ze moeten doen?
En voelen ze de veiligheid om dat te doen?
Ja.
Cultureel is dat een hele belangrijke.
Ja.
Durf je een melding te maken van een incident,
ook als je zelf onderdeel bent van dat incident?
Een veilige meldcultuur,
belangrijk, ja dankjewel.
En misschien een hele belangrijke daarbij is
ook de terugkoppeling richting de medewerker.
Maar wat we veel zien is dat
er wel meldingen gedaan worden
maar dat eigenlijk de medewerker denkt van:
ja, is die melding er goed aangekomen?
En was het een legitieme melding?
Een terechte melding of niet?
Dus met name de terugkoppeling
is een hele belangrijke om mee te nemen.
Ja. Mooie aanvulling.
En ik hoorde net even jullie al zeggen:
je crisisorganisatie op orde hebben.
Dus ook je processen zijn hierin belangrijk?
Ja, als je kijkt naar incidenten, dan denken mensen
vaak dat het heel technisch van aard is.
Dat is ook zo, als je het hebt over een stukje
forensisch onderzoek en herstel werd net al genoemd.
Maar op een gegeven moment gaat een incident
zich escaleren en heeft echt impact op de organisatie.
En het crisismanagementteam is dan de formele term,
maar gaat eigenlijk over de beslissers
als het gaat om impact en
een stukje stake holder management
Oftewel wie moeten we nou betrekken
bij dit grootschalig incident
om te voorkomen dat het ook echt
impact op de langere termijn heeft.
Ja.
En stekkermandaat hebben we ook nog.
Ja?
Ja, stekkermandaat dat is
: weten wie wag beslissen...
Maar wat ik in de praktijk meer mis zie gaan
is de executie van dat mandaat.
Ah.
Want je kan het mandaat hebben
en dan komt bijvoorbeeld een board erachter
na uur vergaderen:
oké we gaan echt offline, alles moet uit.
En dan kom je met die beslissing bij IT
en dan zeggen ze: Ja, ok. Wat bedoel je met uit?
Ah ja.
Moet ons MetroLAN tussen locaties uit,
moeten alleen de internet breakouts uit?
En dan blijkt dat ze geen overzicht hebben van alle
internet ... lokale ... alle breakouts die ze hebben, dus...
Ja.
... die field office heeft zijn
eigen internet uplink, die niet.
Dan blijkt dat er op plekken nog een modem in de kast
ligt waar ze toch ongemonitord internet hebben.
Dus weten waar je allemaal netwerkpunten hebt
die je op welk moment zou willen stil leggen, doorknippen
dat is net zo belangrijk als het
mandaat hebben om dat te doen.
Ja. Ja, die begrijp ik.
Nou denk ik als relatieve buitenstaander
dat heb je toch allemaal op orde
als afdeling IT?
Maar dat is dus niet zo,
begrijp ik hè van jou?
Nou, het is natuurlijk...
IT is niet een statisch iets. Het is een levend iets.
Dus wat je vaak ziet is dat,
dat er wel zo’n overzicht is
maar dat overzicht niet meer recent is.
Of dat er ooit een keer een noodoplossing is
ergens is gecreëerd
wat dan toch een permanente oplossing
weer geworden is
wat dan weer niet in de documenten is gekomen.
Een andere keer... Wat ook wel eens voorkomt, is dat
dat er dan technische oplossingen zijn,
om dit soort dingen in kaart te brengen
Maar die zijn niet beschikbaar ten tijde
van een incident. Dus dan weet
Dan valt men eigenlijk ook weer terug op die kennis
die in de hoofden leeft van de IT-afdeling
Sorry, maak die eens concreet als je wil.
Nou tijdens een ransomware aanval bijvoorbeeld
Ja...
Dan zijn vaak eigenlijk al je servers zijn geroute.
Ja.
En een van die servers is vaak je,
dat heet dan het CMDB.
Ja.
Daar staat eigenlijk precies in welke systemen,
welke servers je hebt
en welke apparatuur je als bedrijf allemaal in gebruik hebt.
Mooi voorbeeld.
Ja, dankjewel.
Wat wij ook nog wel eens horen bij het NCSC is
en met name ook bij het DTC geldt dat ook
Ik ben maar een kleine ondernemer
dan ben ik toch helemaal niet interessant
voor een cybercrimineel?
Ja. Ja... hele, hele
interessante vraag.
Het doet mij een beetje denken aan het boek
‘Je hebt wel iets te verbergen'.
Ja.
Het is natuurlijk
omdat je in een, niet in een villa woont
betekent niet dat je je deur niet op slot moet doen,
Hè dus, cybercriminelen die maken eigenlijk geen verschil.
Of je nou in een villa woont,
een normaal huis, een kabouterhuisje
dat maakt eigenlijk niet zoveel uit.
Wat wel zo is, is dat je risico natuurlijk anders wordt.
Je loopt als klein MKB-bedrijf,
loop je andere risico’s dan
dan een grote multinational.
Ja.
Hè, dat is duidelijk.
En je moet er ook rekening mee houden dat
het gaat er niet om wat jij hebt
in termen van waarde voor de aanvaller.
In het geval van ransomware gaat het erom
wat jij hebt in termen van waarde voor jouzelf.
Want afpersing maakt gebruik van
wat datgene jou waard is
Ja.
Niet wat het op de markt waard is.
Je te beschermen belangen,
daar hebben we ze weer. Ja.
En risicogebaseerd, dat is eigenlijk waar dit
natuurlijk mee te maken heeft.
Ja, mooi antwoord.
Wat wij ook nog wel eens horen is
cyber is heel ingewikkeld, zeker voor een boerenzoon.
En gelukkig heb ik een afdeling IT die zich daarmee bezig houdt.
Ik wacht wel af wat er gaat gebeuren in de toekomst.
Het gaat wel aan mij voorbij.
Hoe denken jullie daarover?
Ja, dat kun je natuurlijk doen.
Ja, met heel veel dingen kun je afwachten
en kijken wat er gebeurt.
Het risico bestaat dat je dan ineens een groot probleem hebt.
Dit is gewoon de afweging die je moet maken.
Ja.
En je kan je kop in het zand steken,
of je kan heel afgewogen besluiten niets te doen.
Laten we wel wezen, het is een risico afdeling.
Je kan het risico gewoon met open ogen nemen.
Ja.
Ik denk, als je heel eerlijk naar de risico’s kijkt,
dus naar de kansen en de impact
dan zijn er toch wel een boel cyber risico’s
waar je wel wat aan zou doen.
Ja. Ook als klein bedrijf dus hè?
Ook als klein bedrijf.
Je kunt zelfs op een andere laagdrempelige manier hè
Dan gaat het misschien meer via een combinatie
van je verzekering en je IT-partij
waar je goede afspraken mee maakt
voor ondersteuning bijvoorbeeld.
Ja.
Ik denk juist bij een kleine IT partij zijn vaak ook
de kosten die je moet maken natuurlijk om
cyberweerbaar te worden,
om voorbereid te zijn op een incident
die zijn een stuk kleiner dan bij grote bedrijven.
De afweging is dan, is belangrijk.
Want inderdaad kosten is een afweging om dingen niet te doen.
Maar het expliciet maken waarom
we bepaalde maatregelen niet treffen
ja is eigenlijk cruciaal.
Want dan kan je achteraf gezien
ook in de spiegel kijken en denken:
Ja, ik heb bewust een risico genomen
een keuze gemaakt om dingen niet te doen.
Ja, weer terug bij af.
Maar niet achteraf denken ja
waarom wist ik het niet?
Of die vraagtekens.
En daarom is er ook geen one size fits all aanpak
te bedenken, en moet je echt gaan kijken wat
cyber weerbaarheid voor jouw bedrijf specifiek geldt.
Dan is er ook nog eentje:
Ik heb alles uitbesteed
aan mijn IT-leverancier, inclusief afspraken
rondom uptime in het contract.
Dus ik kan alsnog gewoon achterover leunen, toch?
Joep?
Ja, heel ... heel logisch.
Wat we ook zien is dat steeds meer organisaties
meer naar een regiefunctie toegaan.
Dus eigenlijk zo min mogelijk IT’ers zelf in huis willen,
alles uitbesteden. Een stukje efficiency, gemak.
Centralisatie. Allemaal heel logisch.
En die IT-partijen zijn ook ja, heel kundig
om zelf dingen veilig te maken.
Maar het neemt niet weg dat het risico,
oftewel de impact als het daadwerkelijk fout gaat
bij jouzelf als organisatie ligt.
Dus
Voel wel dat het risico bij jou blijft liggen.
Dus dat je ook zelf kritisch blijft richting je leverancier.
Welke maatregelen heb je getroffen om mij veilig te maken?
En die kritische mentaliteit van vertrouwen is goed,
maar controle is beter bij wijze van spreken
die moet er wel in blijven.
Ja.
Ja, en wat ik al eerder zei: kijk ook eens op
de website van het DTC en van het NCSC
naar welke vragen moet ik
mijn IT leveranciers stellen
zodat ik weet hoe ik, of ik überhaupt
op ze kan rekenen bij een cyberaanval.
Dus stel die vraag ook. Ga het gesprek
ook aan met je IT-leverancier.
Ja. Je noemt al eventjes die eigen verantwoordelijkheid hè.
Maar...
Wat is nou de situatie als ik een contract met jullie heb?
En natuurlijk hangt dat ervan af
wat voor een contract dat dan is.
Maar hoe zit het dan met die verantwoordelijkheid?
Nemen jullie die dan van mij over?
Nee. Wij kunnen als externe partij, die binnen komt
vliegen op het moment dat het in de brand staat,
niet de verantwoordelijkheid over je IT overnemen.
En ook niet de verantwoordelijkheid over het
herstellen van je, het weer werken van je IT.
Dus we zullen alles doen om je IT weer
werkend te krijgen, zo snel mogelijk.
Daar bestaan we voor.
Ja.
Maar we weten niet wat we gaan aantreffen.
We weten niet welke afhankelijkheden er zijn.
We weten niet welke
expertise en capaciteit je in huis hebt.
Dus die verantwoordelijkheid,
die kunnen we niet overnemen.
Wat Koen net bij de introductie zo mooi aangaf, is
inderdaad: wat zijn nou de taken tijdens zo’n incident?
En dan heb je het inderdaad over een stukje forensisch onderzoek,
advies als het gaat om mitigeren van het incident zelf.
En soms ook het herstel, maar zeker bij het herstel,
ligt ook een grote verantwoordelijkheid bij die IT-partijen,
of bij de eigen IT’ ers,
en daar moet je mee samenwerken.
En dat is het belangrijkste dat je er dus ook van tevoren
duidelijke afspraken over maakt, misschien een keer oefent
om ook ja ... die samenwerking goed
in de vingers te hebben, in plaats van
achteraf te kijken, ja hoe gaan we
dit varkentje nu eens wassen.
Ja.
Wat we wel doen, is de regie
over het herstel overnemen.
Ah.
Dus we nemen coördinatoren mee,
we nemen heel seniore IT’ers mee,
netwerkspecialisten, storingsspecialisten.
Mensen die gaan helpen met de herbouw
en die de coördinatie daarover overnemen en dus ook
over de partijen die daaraan moeten meewerken.
Misschien heb je een andere IT-partij voor je werkplekken
dan voor je datacenter, dan voor je cloud, wat dan ook.
Nou die regie voeren we wel.
Kijk, das een interessante.
En Joep, ik hoor jou ook zeggen:
ga oefenen
Want volgens mij hebben we die nog
ook nog even hier liggen.
Het voorbereiden is niet natuurlijk alleen
afspraken maken, zorgen dat je techniek op orde is
dat je je crisismanagement hebt,
of crisisteam hebt staan.
Dat betekent ook oefenen.
Ja, kijk het gaat over een een-twee-drietje.
En de eerste stap is dan die processen,
die procedures ook op papier neer te zetten.
Want dan maak je eigenlijk impliciet
meteen al de afspraken met elkaar.
Het tweetje is dan om daarna te gaan trainen. Dat is
ofwel de IT’ers, maar ook zeker de strategische laag.
En als je een wat kleiner bedrijf bent, dan is dat misschien
inderdaad met een paar man eens een keer een traininkje volgen...
Of dit webinar is wel een mooie daarvan.
En het derde is dan om te oefenen,
ja laat het je een keer overkomen.
En dat kan op vele manieren.
Ook in samenwerking met IT-partijen.
Ja.
Ga het gewoon een keer ervaren.
Want sommige organisaties hebben niet het geluk
om zelf een cyberincident te ervaren.
Dus dan maar oefenen.
Ja.
En ik heb ook wel eens begrepen
dat jullie als incidentresponspartij
op het moment dat jullie een contract
aangaan met een organisatie
dan krijgen ze ook een workshop. Of een training.
Of hoe moet ik dat voor me zien?
Dus welke rol spelen jullie in die,
die trainende fase?
Ja je probeert natuurlijk door alles wat je,
wat je ziet in de praktijk
probeer je natuurlijk die 'lessons learned' zo goed mogelijk
weer te implementeren bij je bestaande klanten
En dat doe je dan in de vorm van inderdaad consultancy-
diensten zoals het forensic readiness verhaal
waar we onlangs ook samen met het
NCSC natuurlijk over gepubliceerd hebben.
Maar daar zit ook, een crisisoefening
kan daar ook onderdeel van zijn.
Dat je een keer met de board gaat zitten om te kijken
hoe werkt die dynamiek nou?
Is er een
Vallen alle beslissingen uiteindelijk
terug op één iemand zeg maar?
En is zo iemand dan eigenlijk,
fysiek compleet onbereikbaar tijdens een incident?
Een keer het incidentresponsplan oefenen.
Ja.
Dat kan daar allemaal onder vallen uit die,
onder die voorbereiding.
En misschien een iets laagdrempeligere manier,
want sommige organisaties zijn te klein om dan
zelf zo’n workshop of een oefening
te faciliteren en te betalen.
En je merkt dat heel veel incidentresponspartijen
van dat soort workshops generiek binnen sectoren
ook organiseren. Vrije inschrijving.
Soms tegen zeer laag kosten
om toch die ervaring van de experts mee te krijgen.
Dus ik zou ook zeggen: kijk daar vooral
naar om daar eens aan deel te nemen.
Ja. Dat is een hele interessante.
Kijk ook eens als klein bedrijf dan wat een
incidentresponspartij voor je kan doen.
En dan kan ik toevoegen
Want in de allermeest minimale vorm moeten
wij dus zorgen als incidentresponspartij
dat we iets aan parate kennis
over jouw organisatie hebben.
Ja.
Voor wanneer we tot een uiterlijk moeten komen.
Dat de frictie minimaal is wanneer dat gebeurt.
Dus aan de kant van klant...
wie weten wie ze moeten bellen.
Wij weten wie er gemachtigd is
om ons in te schakelen.
En we weten hoe het proces dan gaat lopen.
En dat is een groot voordeel vind ik zelf van een
incident respons partij contacteren voordat je een incident hebt
versus een telefoonnummer gaan zoeken en gaan googlen op incident respons wanneer je eenmaal een incident hebt.
Ja.
Dan is het helemaal koud contact.
Ja en dat kunnen we niet genoeg benadrukken:
wees voorbereid.
Zorg inderdaad dat je,
dat je zelf binnen de organisatie
hier ook over hebt
nagedacht met elkaar.
En niet alleen de afdeling IT,
of met je IT-leverancier.
Maar ook binnen de boardroom.
Wat doe je nou op het moment
dat een incident je treft?
En ja, wees voorbereid.
We kunnen het vanuit het NCSC en
het DTC niet vaak genoeg benadrukken.
Ik ben eventjes benieuwd Koen
of we al vragen hebben.
Er worden zeker nog vragen gesteld door kijkers.
Aanhakend op het oefenen: is het een idee
om een landelijke oefening te houden?
Zoals ISIDOOR? Maar dan voor het MKB?
Wat een interessante vraag, dankjewel.
Ja, wie zou hierover zijn licht willen laten schijnen?
Ja, ik denk dat er al heel veel initiatieven zijn om binnen sectoren dergelijke oefeningen inderdaad te organiseren.
Ja, wat je ziet, zeker MKB, qua aantallen
gaat dat natuurlijk exponentieel omhoog.
Dus ik denk dat we veel beter kunnen kijken naar
groepen die aan elkaar gerelateerd zijn.
Dus dat we binnen sectoren, ja op MKB niveau
een oefening ervoor gaan doen.
Want je zegt.
Maar niet te groot.
Nee, want je zegt: het groeit exponentieel.
Je bedoelt het aantal getroffen organisaties? Of...
Ook. Maar ook als je kijkt naar bijvoorbeeld een ISIDOOR.
De doelgroep van ISIDOOR is een bepaalde groep.
En als je dat dan gaat doortrekken ...
- Oh zo ja.
... naar andere lagen binnen zakelijk Nederland, dan
groeien het aantal organisaties die mee zouden doen.
Ik zou zelf willen pleiten voor niet oefenen op sectorniveau
maar op ketenniveau.
Ah mooi.
Bedrijven die met elkaar in een keten zitten
die gaan ook met elkaar te maken
krijgen bij een incident.
Ja.
En die doen er heel goed aan als ze weten
van elkaar dat ze in een keten zitten
om te gaan oefenen.
Ja.
Wat ik nu al merk is dat de oefeningen
geïnitieerd worden vanuit IT-leveranciers.
En dat ze een paar klanten uitnodigen
om mee te kijken
om dus te ervaren van: Goh, zo doen wij een crisisoefening.
Of zo zouden we handelen tijdens...
En dat ze dus ook mee kunnen oefenen.
Maar uiteraard kunnen van een IT-leverancier
niet alle klanten mee oefenen.
Nee.
Maar ik zie wel ontwikkeling dat ze
een aantal klanten daarvoor uitnodigen.
Ja dat is ook een heel goed punt.
Ook daarover heeft het NCSC
al regelmatig gepubliceerd.
Dus wat te doen als er bij jou in de keten
een partij wordt getroffen?
En je triggerde me,
ja over incident readiness
en voor ransom readiness niet te vergeten
hebben we natuurlijk ook al het nodige gepubliceerd.
Dus check de website alsjeblieft.
En kijk hoe je een begin kunt
maken met het voorbereiden.
Koen, hebben wij nog meer vragen
vanuit het publiek?
Er is nog een vraag
Zijn deze incidentresponspartijen niet
veel te duur voor een kleine MKB-partij?
Dat is ook een hele leuke.
Zijn jullie niet veel te duur?
Wie wil hierover zijn licht laten schijnen?
Ja, het is natuurlijk onze taak om het niet te zijn.
Dit is onze business weet je wel.
Dus das heel eenvoudig.
Nee maar ik snap de vraag wel.
Het wordt natuurlijk snel gezien als iets duurs.
En het is natuurlijk ook een uitzonderlijke inspanning
die we leveren of die je meemaakt als slachtoffer.
Of we te duur zijn hangt af van het soort incident.
Dus je moet ons niet bellen om met man
uit te rukken voor elk verdacht emailtje.
Nee, dat werkt niet.
Maar als je een ransom incident hebt waarbij
het voortbestaan van je bedrijf op het spel staat
Ja, dan kun je maar wel beter iemand inschakelen.
Dus het is afhankelijk natuurlijk
van de ernst van het incident ...
Heeft ook de grootte van je bedrijf
daar iets mee te maken?
Vooral de mensen die bij het bedrijf zitten.
Ik heb hele grote bedrijven meegemaakt die zelf
eigenlijk op IT gebied nou alles uitbesteed hadden
en zelf daarin niet zoveel konden betekenen.
En tegelijkertijd heb je hele kleine bedrijven
met hele kundige mensen eigenlijk
Oh ja,
die ontzettend veel werk uit handen van
incidentresponspartijen kunnen nemen.
Die je alleen maar hoeft aan te sturen met
met 'best practices' eigenlijk.
Ja. Ja, ja.
Helder.
Helder antwoord.
En daarover gesproken
als je ons daarin nodig hebt en we komen
tot de conclusie dat het niet passend is
dan proberen we alsnog zoveel mogelijk
advies en pointers mee te geven uiteindelijk.
We willen natuurlijk gewoon met zijn allen
graag dat de schade beperkt wordt.
Ja, want daar zien jullie ook wel een belangrijke taak.
Laten we dat niet vergeten.
Dat is ook de reden dat we jullie hebben uitgenodigd.
Jullie zien ook een belangrijke taak voor je zelf
weggelegd in het Cyberweerbaar worden van Nederland.
Wat doen jullie met de kennis
die je opdoet in het veld?
En dan bedoel je tijdens de incidenten?
Vooral die incidenten bij wie
de 'lessons learned' eigenlijk.
Ja.
Kijk het is natuurlijk altijd een lastige want organisaties kunnen
ervoor kiezen om dingen juist niet publiekelijk te maken.
Dat zie je bij heel veel organisaties dat ze het liefst
die externe exposure zo minimaal mogelijk houden.
Dus we zijn altijd erg blij als organisaties er
ook voor kiezen om hun 'lessons learned' te delen.
Want dan kunnen wij ook ja,
een duit in het zakje doen
van hoe wij daaraan hebben bijgedragen,
en die 'lessons learned' delen.
Nou er zijn genoeg voorbeelden van die ook publiek
toegankelijk zijn, die je gewoon kan Googlen
van organisaties die hun rapporten delen.
Ja, dat is me uit het hart gegrepen.
Het NCSC roept organisaties echt op om
je informatie te delen.
Recent een heel goed voorbeeld,
de TU Eindhoven
die hun rapporten allemaal
publiek hebben gemaakt.
Heel lezenswaardig.
Buitengewoon
interessant ook om van te leren.
Dus ik ben blij te horen dat
jullie daar ook zo instaan.
Ja.
En uiteraard vinden alle 'lessons learned'
die we tijdens een incident opdoen hun
weg naar de diensten die we leveren.
Ja.
Dat is waarop
de ervaring en kennis waarop wij zeggen:
dit zijn de maatregelen die je moet nemen
en onze adviezen baseren.
Ja.
En natuurlijk in de vorm van
whitepapers, presentaties enzovoorts.
Ja.
We hebben daarnaast ook nog publiek private
samenwerkingen in de vorm van
Project Melissa of Cyclotron
waarin we eigenlijk ook samen praten
over: wat zien we nou in de markt
en wat zijn de verschuivingen eigenlijk?
Dus daar ja brengen we elkaar ook goed
op de hoogte over wat wat we gezien hebben.
Het is ook natuurlijk in jullie eigen belang
om heel goed op de hoogte te zijn
en dat vervolgens ook weer te delen.
En daarnaast zijn het gewoon
allemaal vak-idioten bij elkaar.
Ja, ja.
Ja dat is zo.
Koen, hebben we nog meer vragen van het publiek?
Er zijn nog wat vragen, maar
die zijn vooral voor het NCSC.
Dus mag ik je weer even
uitnodigen aan deze tafel, Ellen?
En dan kunnen we nog een aantal andere vragen behandelen.
Ja. Ik kom naar je teruglopen Koen.
Ik wil jullie alvast bedanken.
Ik kom straks nog even bij jullie terug.
Maar heel interessant verhaal.
Dank jullie wel.
Ja, nou oh
Oh was er toch nog eentje binnen gekomen
ook voor de incidentresponspartijen
maar misschien kunnen we daar
straks dan weer eventjes naar teruggaan.
Maar vragen die ik zie,
die gaan ook een beetje
die te maken hebben met de
meldplicht rondom de NIS.
Dus een persoon vraagt: ik mis een beetje context
met betrekking tot het registreren van incidenten.
Wanneer moet het wel?
Wanneer moet het niet?
En eerder was er een vraagsteller die vraagt:
Gaat het alleen over Cybersecurity-incidenten?
Of moeten we ook meldingen maken als er een outage
is na het uitvoeren van een change op het netwerk?
Ja, wij ... Wij zijn niet de juristen.
Ik vind het zelf moeilijk om echt iets te zeggen over
wat precies onder de meldplicht van de NIS gaat vallen.
Maar ik denk dat wij als NCSC wel gewoon
meldingen willen ontvangen in het kader van de,
zoals dat onder de wet dan
heet de vrijwillige meldingen, ja.
Ja, ja daar roepen we partijen echt toe op.
Doe melding.
Ook als je niet onder de NIS valt.
Dus
wees niet beschroomd en bel ons vooral.
En doe melding van
ja, dat wat zich laat aanzien als een
een cyberincident.
En dan krijg je vervolgens ook advies over of wij
dan de partij zijn die daarin wat voor jou kunnen betekenen
of dat we je doorverwijzen
naar een andere partij.
Maar wij zijn inderdaad niet de juristen, en wij kennen
ook niet de NIS van A tot Z uit ons hoofd.
Nee, daar zijn drempelwaarden voor gedefinieerd.
Of die worden nog gedefinieerd. Ik kan...
Ja.
Ik weet ook de laatste status helaas niet daarvan.
Die vraag hadden we beter kunnen
beantwoorden met andere mensen aan tafel.
Maar, ja het heeft allemaal te maken met drempelwaarden.
Op het moment dat het echt een gedefinieerde drempel
overgaat als incident, dan valt die onder de meldplicht.
En dan moet je het NCSC bellen als je onder die,
onder die
Die zijn volgens mij ook niet openbaar.
Maar, bel ons vooral. En dan geven we je advies.
Dan geven we je antwoord.
Ja.
Er is nog iemand die zegt: de publicaties
op de NCSC website zijn verouderd.
Worden er dit jaar nieuwe versies geplaatst?
Een voorbeeld die hierbij wordt gegeven, ia
die gaat over een publicatie in het Engels.
We hebben nou net een inhaalslag gemaakt met het
actualiseren van onze publicaties in het Nederlands.
Maar volgens mij lopen we met Engels
nog een beetje achter, of niet?
Eh ja. De laatste stand van zaken is inderdaad
dat die, as we speak worden eigenlijk al onze
kennisproducten en onze publicaties,
die wij in de toekomst doen verschijnen
dus ook alle die we updaten, die
komen ook beschikbaar in het Engels.
Maar we zitten inderdaad in een transitie-proces
waarin we nog te maken hebben met wat oudere
publicaties in het Engels.
Dus das een juiste observatie.
Wordt heel hard aan gewerkt op dit moment.
Ja.
Nou, en we hebben nog wel wat tijd over.
Vind je het goed om toch nog eventjes terug
te gaan naar de incidentresponspartijen?
Want er zijn toch nog twee vragen voor hen binnengekomen.
Zeker. Geef ik jou weer even het woord
en dan loop ik nog een keertje terug.
Ja, dat is goed.
Nou, één van de vragen die
daarover is binnen gekomen is:
zijn er ook incidenten waar de incidentresponsbedrijven zich
niet mee bezig houden en buiten hun dienstverlening valt?
Dus Ellen, de vraag is ja... wat is eigenlijk wel of niet
in scope voor de incidentresponspartijen?
Ja Koen dankjewel. En dankjewel vragensteller.
Vind ik ook weer een hele interessante.
Zijn er ook incidenten waarvoor ze jullie,
nou ze kunnen jullie overal voor bellen denk ik,
maar waarvan jullie zeggen:
dat valt buiten onze scope?
Ik denk dat het sowieso goed is om mee te geven
dat inderdaad, wij het prettig vinden als er zo snel
mogelijk gebeld wordt.
Dat bij wijze van spreken,
als je echt wel vermoedens hebt
dat het niet lekker zit, bel
dan liever eerder dan later.
Dat wil ik in ieder geval gezegd hebbende.
Daarnaast zijn er natuurlijk weinig zaken
waar we in willen assisteren.
Misschien een voorbeeld is als
er een ethische kwestie aan de gang is.
Ik kan niet precies duiden wat dat dan is,
maar dat zou een overweging kunnen zijn.
Ik denk dat de meesten van ons ook
in het buitenland veel dingen doen.
Maar ook daar kunnen mogelijk beperkingen zijn.
Ik kan me voorstellen: een ethische kwestie,
betaal je losgeld of niet?
Want we roepen natuurlijk, ook vanuit
de overheid, nooit losgeld betalen.
Maar er kunnen zo maar eens situaties zijn
waarin je daartoe toch geneigd bent.
Daar ga ik vooral nu niks over zeggen.
Want dat is inderdaad heel erg
persoonlijk ook weer, voor het bedrijf.
Maar dat valt natuurlijk wel middenin
het gebied van onze dienstverlening.
En wat er voor mij bijvoorbeeld dan weer aan de rand valt, is verstoringen die misschien wel, misschien niet
met cyber te maken hebben.
Oh ja.
Dat zijn ook incidenten, en je moet
er respons op doen.
Maak eens die concreet als je wil.
Wat voor verstoringen denk je dan aan?
Gewoon waarbij een vermoeden is dat het wel eens
met een kwaadwillende te maken zou kunnen hebben.
Ja.
Nou dan kunnen we natuurlijk onderzoek naar gaan doen,
maar dan kom je al snel op het gebied van
ik heb een urgent IT-probleem en ik wil nu hulp.
Oh ja.
In plaats van...
Ja.
Maar misschien een voorbeeld wat
je net al bij de introductie aangaf
de schermen gaan op zwart, ja is dat door een aanvaller
die de schermen, de systemen op zwart zet
of dat er ergens brand is in een serverruimte
en dat de servers plat gaan.
Als je dat niet meteen weet, dan kan je het vermoeden
hebben: Hé een aanval, een cyberaanval maar
ligt de oorzaak ergens anders.
Ja.
Soms kom je daar gaandeweg
in een onderzoek ook achter.
Dat je zegt van nou het is helemaal geen cybersecurity
probleem. Het is inderdaad een ander soort probleem.
En dan...
Kun je die concreet maken ook weer? Waar...
Nou, als je het inderdaad hebt over bijvoorbeeld
de kwaadwillige wat Christiaan zegt...
Soms dan uit zich dat als een
soort van Cybersecurity-probleem.
Is deze machine gecompromitteerd?
Heeft iemand toegang gehad tot dit apparaat?
Maar dan blijkt eigenlijk gaandeweg een onderzoek
van... Ja maar we zien helemaal niks.
We vinden helemaal niks.
En dan ga je het gesprek aan met je klant,
en dan blijkt eigenlijk dat er meer speelt
en al gaandeweg kom je er eigenlijk achter dat,
dat er eigenlijk heel iets anders aan de hand is.
Dus dat je met een werknemer bijvoorbeeld te maken hebt die,
ja die iets aan het uitvoeren is bij een bedrijf.
We hebben het ook wel eens meegemaakt
dat we uitrukten voor iets wat ransomware leek
want er was een hele servercluster onbereikbaar
geworden en de CPU-belasting was ontzettend hoog.
Dus men dacht: dit is ransomware.
Paar verdachte alarmen in de IDR.
Nou uiteindelijk bleek het een ongelukkige samenloop
van updates en backup-cyclus, dat kan.
Ja.
Dan zit je in dat grensgebied.
Maar ja. Jouw vraag Ellen, ik denk dat wij
als incidentresponspartij in principe
overal bij willen assisteren. En als wij niet direct
kunnen assisteren, zullen wij advies geven.
Ja.
Omdat het gewoon buiten de jurisdictie van
ook van degene die ons belt ligt.
Want dat gebeurt nog wel eens.
Dat ze bellen en zeggen van: ja een ketenpartner
van ons heeft een ransomware-incident.
Lopen wij ook gevaar? Kun je dat onderzoeken
of er bij ons ook iets aan de hand is?
Wij hebben namelijk een VPN-verbinding met hen en we
zijn bang dat, dat ook bij ons binnen gekomen is.
Nou dan kunnen we eigenlijk vaak, tijdens zo’n intake
gaan we wel technisch even de diepte in,
om te kijken van: ok, hoe zit
dat netwerk dan aan elkaar vast?
En wat deel je dan met die klant?
En dan geven wij eigenlijk op dat moment advies:
ja, beste klant, we kunnen wel onderzoek gaan doen,
maar wij achten dat eigenlijk niet nodig.
Nou op die manier kunnen wij eigenlijk
ook van een opdracht afzien dan.
Ja. Helder.
Misschien dat ik het nog even combineer
met een eerdere opmerking van:
bel zo snel mogelijk en de intake.
We zullen dus ook aangeven bij het eerste belletje:
Goh, wij gaan die intake inplannen
betrek dan deze en deze stakeholder bij die intake.
Ja.
Zodat we al die inhoudelijke vragen ook
met de juiste mensen erbij kunnen stellen.
In plaats van dat we een intake doen met
mensen die geen antwoord hebben. Dus
vandaar zo snel mogelijk bellen en de intake
met de inhoudelijke kennisexperts.
Heel interessant. Een heel verhelderend
kijkje achter de schermen.
Koen, hebben wij nog meer vragen van kijkers?
Ja, nog eentje.
Hoe borg je / continuïteit bij een incidentrespons
als je maar één CISO hebt in je bedrijf?
Hoe borg je deze functie bij ziekte,
vakantie, enzovoort?
Ja, lijkt me ook een hele duidelijke vraag.
Je hebt maar CISO?
Ja.
Wat nu?
Ja, en je hebt twee bestuursvoorzitters, weet je wel.
Er zijn er een heleboel waar je er één van hebt,
en dat werkt in de praktijk gewoon wel.
En dat zijn vaak ook functies waar mensen
er rekening mee houden dat als
het echt misgaat, ze worden gebeld.
Ja.
Dus ik zou niet zeggen: je moet een
piketdienst voor een CISO-functie inrichten.
Nee.
Je moet wel zorgen dat je ten alle tijde
kan reageren op een incident.
Dat is een belangrijke...
Dat is niet de CISO.
Een belangrijke tip uit de praktijk hier, is dat
de CISO die / bereikbaar moet zijn,
ook moet zorgen dat als hij zijn Iphone,
zijn Android telefoon, ‘s nachts op een
soort van slaaproutine heeft staan.
Dat daar ook telefoonnummers tussen zitten
die daar wel doorheen komen.
Oh ja.
Dat hebben we ook wel eens meegemaakt, dat
iemand onbereikbaar was omdat
het na tienen was ‘s avonds.
Ja. Maar eigenlijk zeg je ook:
niemand is onbereikbaar?
Ja, nou ik zou me eerder druk maken ook,
of zorg dragen voor de beschikbaarheid
van je belangrijkste IT’ers. Wij zien...
In elk ransomincident komt het neer
op één of twee gasten uit het team ...
... ook al is het een team van , , man.
Ja.
Het zijn er één of twee die alles weten van de oudere systemen,
of van de systemen die daar geweest zijn, en dingen, dusm
En die , als die uitvallen, en dat gebeurt onherroepelijk,
in een langer incident een keer
Ja.
Dan zit je...
Kortom, sorry Joep, ik geef je zo het woord.
Wees voorbereid. Zorg dat je je plan
hebt uitgedacht, dat het op papier staat
en dat je het hebt met elkaar,
met elkaar hebt geoefend.
Dat je ook weet wie er op welk
moment beschikbaar moet zijn.
En zorg natuurlijk voor achtervang.
Maar dat is logisch.
Joep.
Ja, ik wil misschien ook toevoegen:
bij heel veel vragen, waaronder ook deze
de vraag stellen is hem eigenlijk
al voor de helft beantwoorden
omdat je dus ziet: je denkt
er van tevoren over na
Ja.
Dus er is geen passende oplossing voor
alle organisaties. Maar de vraag stellen is
hem eigenlijk al voor de helft beantwoorden.
Ja. En daardoor is er geen 'one size fits all-
oplossing' hiervoor te geven.
Ja, nog wel een leuke toevoeging,
misschien niet helemaal evident
dat als incidentresponspartij wat natuurlijk,
ja ten tijde van een engagement,
dat vrij technisch van aard is zeg maar,
zit er ook wel een hele grappige menselijke kant ook,
en wat Christiaan zegt: onherroepelijk vallen er mensen uit.
Die eerste weken van een incident zijn
chaotisch, zijn druk. Dat zijn lange dagen.
Maar naarmate dat incident wordt opgelost,
merk je dat de normale workload ook weer op gang komt.
Oh ja.
En die heeft een achterstand van weken of maanden
en die krijg je er dan bovenop. En dat is
eigenlijk het moment dat je ziet dat mensen
dat mensen zeg maar afhaken,
dat mensen in elkaar storten.
Maar er zit dus voor incidentresponspartijen,
zit er ook een soort van ja,
menselijke factor in dat we door ervaring weten
dat we deze mensen in de gaten moeten houden.
Om af en toe te vragen: Hoe gaat het met je?
En ook al is het druk, dat we soms ook een keer
om uur ‘s avonds zeggen:
jongens we stoppen ermee.
Ja. Cyberweerbaarheid is niet
een kwestie van techniek alleen.
Het is juist ook, de menselijke factor is hierin
essentieel. En goed voor elkaar zorgen.
En ik ben blij dat jullie daar ook,
dat jullie dat ook in het vizier hebben.
Ja.
Koen, zijn er nog vragen?
Nee, we zijn er voor nu weer eventjes doorheen.
Dan ga ik dit blokje ook weer afronden.
Wil ik jullie wederom bedanken.
We komen nog even bij jullie terug.
Kom ik weer teruglopen Koen naar jou,
en geef ik het woord aan jou.
Ja.
Ja... sowieso hele goede vragen
die er worden gesteld, daar zijn we heel blij mee.
Een andere is: is de informatie die jullie
vandaag vertellen ook digitaal beschikbaar?
Ja. Hè, zoals ik aan het begin in de inleiding,
maar misschien had je die gemist,
al zei,
gaan we deze opname ook
achteraf beschikbaar stellen.
Maar ook een heleboel dingen die we zeggen,
is bestaande kennis die bijvoorbeeld ook in
geschreven vorm aanwezig is
op de website van het NCSC.
Ja.
Ja, we vertellen geen
geen nieuwe dingen.
Dit is, wij hebben hier al
veel over gepubliceerd,
allemaal vindbaar op
de website van het NCSC.
Dus kijk daar vooral. En kijk de...
Ja kijk de opname nog een keertje
.terug. En heb je dan nog vragen,
dan hebben wij een heel erg goed
klantcontactcentrum dat je ook
kan ondersteunen nog
als je bepaalde vragen hebt of iets niet
kunt vinden met name op de website.
Ja, ik denk dat wij
langzamerhand richting afronding gaan.
Ja.
Ik kijk even naar jou, Koen. Zullen wij eens kijken
wat we voor take aways hebben van vandaag?
Ja. Nou ja, ik, ik heb de woorden
‘Wees voorbereid’ vandaag heel vaak gehoord,
nog nooit zo vaak in uur denk ik.
Maar dat blijft wat mij betreft
gewoon de belangrijkste les.
Maar onthoud ook dat je het
niet allemaal zelf hoeft te doen.
Er is hulp beschikbaar.
Dus
wees vooral voorbereid in weten wie
je moet bellen om je te laten helpen.
Ja. Ja. En zorg voor maatwerk.
Dat de oplossing voor een ander
de draaiboek dat je klaar moet hebben liggen,
dat dus, dat je dat op maat maakt
voor je eigen organisatie.
En ik denk dat ook een heel belangrijke is:
ga het gesprek aan met je IT-leverancier.
Zorg ervoor dat het niet alleen iets is
wat je overlaat aan je IT-leverancier
of aan je afdeling IT. Het is iets
voor de hele organisatie.
Dus in die voorbereiding hoort ook:
stel de juiste vragen.
En ja die zijn dus ook allemaal te vinden, de vragen
die je moet stellen op de website van het NCSC.
Gaan we denk ik over naar het bedanken van onze gasten.
Ik wil beginnen met het bedanken
van de incidentresponspartijen.
Dat is: Bastiaan van Tesorion, Christiaan van Northwave
en Joep van Fox-IT.
Ik wil onze eigen collega Marcia bedanken
en collega Jeroen van het DTC
voor het modelleren van de vragen.
Ik wil Clingendael en Wietse bedanken voor
de gastvrijheid en voor de cameravoering.
En ik wil jou bedanken Koen.
Ja, ik wil jou bedanken Ellen.
En ik wil de kijkers bedanken voor het kijken.
En de goede vragen die jullie gesteld hebben.
Het is heel fijn om hier een goed gesprek
over hebben te kunnen voeren.
Die werkwoorden stonden
niet in de juiste volgorde.
Bedankt voor het kijken dus en graag tot een
volgende keer bij een volgend NCSC webinar.
Dag.