Terugblik op NCSC Community Event: risico’s en incidenten beheersen

Een gevoel van urgentie is merkbaar onder de bezoekers. Dat is niet vreemd met de actuele reeks van cyberincidenten. Uit het programma, de diverse stands en partners en de deelnemerslijst blijkt de variatie aan aandachtsgebieden. Cybersecurity gaat allang niet meer alleen over IT, maar ook over wetgeving, certificering, verzekeringen, communicatie, bewustwording en juridische zaken.

Bruidsschat

In zijn opening noemt NCSC-directeur Matthijs van Amelsfort de community ‘de bruidsschat’ die het Digital Trust Center (DTC) inbracht bij ‘het huwelijk’ met het NCSC. ‘Wat we elke dag in de community en hier vandaag doen, is precies waar we als NCSC voor staan: verbinden, leren en delen. We doen het met elkaar.’

Leerlijnen

Rode draden vandaag zijn risicomanagement en incidentmanagement, met vragen als: wat moeten we beschermen, hoe zorg je voor continuïteit en wat doe je als het toch mis gaat?

Deze twee thema’s worden in de vorm van leerlijnen doorgenomen, allebei in drie opeenvolgende sessies. Een groot aantal bezoekers, dat zich hiervoor apart heeft aangemeld, verdiept zich in de onderwerpen vanuit diverse invalshoeken, met verschillende sprekers.

Plan-do-check-act

Jorrit van der Walle van Audittrail opent – voorafgaand aan het middagprogramma - de leerlijn over risicomanagement. Hoe start je daarmee? Jorrit: ‘Het is geen one size fits all. Begin niet direct met een risicoanalyse. Dan vindt iedereen in je organisatie het direct heel moeilijk.' De plan-do-check-act cyclus speelt een grote rol in zijn aanpak: ‘Je moet klein beginnen en al doende, bij elke cyclus, groei je in cybervolwassenheid.’

MASKeR: denken in scenario’s

Daarna gaat Jaap Noordhoek van het NCSC in op de nieuwe methode MASKeR: de Modulaire Aanpak Scenario’s Kennisdeling en Risicomanagement. Organisaties kunnen in een workshop van twee dagen werken aan hun eigen scenario’s voor risicomanagement.

Jaap: ‘MASKeR is vooral pragmatisch. Voor organisaties is het haalbaar, herhaalbaar en deelbaar.’ Op de eerste dag van de workshop brengt de organisatie vooral de belangen in kaart. Wat wil je beschermen?’

Vervolgens wordt er gewerkt aan scenario’s, die zijn opgebouwd uit bouwstenen: de actor, de aanvalsmethode, het doelwit en de impact. Door deze bouwstenen te combineren kun je de relevante scenario’s in kaart brengen. Jaap: ‘Je maakt een heatmap van de scenario’s die je zelf hebt samengesteld. Dan kun je als organisatie beslissen waar je je geld op inzet bij preventie en respons.’

Schade beperken

Naast de leerlijn risiciomanagement laat de leerlijn incidentmanagement in drie opbouwende sessies zien hoe organisaties zich kunnen voorbereiden op een incident, waar je zoal mee te maken krijgt tijdens een incident én hoe crisismanagement, compliance, communicatie en aansprakelijkheid werken ná een incident. Rosalie Brand, advocaat bij Kennedy van der Laan, deelt tijdens de derde leerlijnsessie over incidentmanagement een praktijkgerichte blik op hoe juridische expertise zorgt voor controle, voorkomen van veel gemaakte fouten en beperken van schade door het cyberincident.

Ruige wereld

In de plenaire zaal geeft Bart van den Berg van Instituut Clingendael een geopolitieke duiding van de tijd waarin we leven. ‘De wereld is vrij ruig.’ Hij ziet deze tijd vooral als een overgangsfase naar iets nieuws. Een transitie die gepaard gaat met onzekerheden, waarin verschillende waarden onder druk staan. Zoals de vrijheid van meningsuiting, privacy en de vrije markt.

Bart ziet dat de bipolaire wereld - Rusland versus de VS - na de Tweede Wereldoorlog multipolair is geworden. Dat we van globalisering naar fragmentatie zijn gegaan, en ‘might makes right’.

In het digitale domein zien we de scheidslijnen tussen de ‘bad guys’ vervagen: hacktivisten, statelijke actoren en criminelen zijn vaak niet meer van elkaar te onderscheiden. Bart pleit voor ‘strategische empathie’: probeer andere partijen te begrijpen, dat werkt in je voordeel.

Meer dan systemen

Die strategische empathie krijgt een tastbaar vervolg in de plenaire presentatie van Inge van der Beijl. Als Manager Innovation bij Northwave heeft zij veel te maken gehad met grote cyberincidenten, waarbij ze ook bemiddelde tussen hackers en de getroffen organisatie. De vergeten slachtoffers van ransomware uit de titel van haar betoog zijn zowel werknemers als klanten en burgers. ‘Een cyberincident breekt meer dan systemen.’

Het datalek bij Clinical Diagnostics vorig jaar betekende een grote deuk in het vertrouwen in dit soort bevolkingsonderzoeken. Maar ook medewerkers van organisaties, met name crisisteams, krijgen volgens Inge veel op hun bord. Ze geeft aanbevelingen om de emotionele impact van incidenten te verminderen en ziet daarin een grote rol voor communicatie: zowel intern als extern. Inge: ‘De woorden die je kiest wanneer je naar buiten toe communiceert over een incident luisteren érg nauw. En wees je bewust van de timing, want de cybercriminelen kijken mee met wat je deelt.’

Indrukwekkend in haar verhaal is de geluidsopname van een hacker, die bijna opgewekt zijn doelwit opbelt met het verzoek een e-mailadres aan te maken voor communicatie. Inge: ‘Getroffen organisaties komen in contact met een cybercrimineel en zijn dan – logischerwijs – nog vaak boos én bang. Als je het verdienmodel en je eigen onderhandelingspositie begrijpt, dan kun je in je onderhandelingen sterker staan.’

Oermens

Ook in de workshop ‘Help! een cybercrisis’ gaat het over emoties. ‘Onder druk komt de oermens boven,’ zegt Kelvin Rorive van Cyber Chain Resilience Consortium (CCRC), een van de workshopbegeleiders. Tijdens een praktische crisisoefening aan de hand van een levensecht scenario komen er veel vragen op. Er is een datalek bij je eigen bedrijf én bij een leverancier. Wanneer moet je je zorgen gaan maken? Wat ga je doen? Wie moet er in het crisisteam? Welke rollen heb je nodig? Kelvin: ‘Ervaren managers kunnen slechte crisismanagers zijn.’

En als gevoelige data van medewerkers is buitgemaakt, hoe communiceer je dat? Wat is de rol van HR? En het duivelse dilemma: ga je losgeld betalen? Te veel om aan te denken in zo’n kort tijdsbestek en juist daarom is het goed om dit soort trainingen te doen met je organisatie én ketenpartners. Dan is er tijd om te oefenen voor wanneer er écht wat aan de hand is.  

Tools, frameworks, normen en subsidies

Op het netwerkplein ontmoeten leden elkaar en dagen elkaar - tussen het de hapjes en drankjes door – uit voor een arcadegame om hun security-skills te testen. Daar staan ook de stands vanuit diverse publiek-private samenwerkingen en initiatieven: de Politie met No More Leaks, de kwetsbaarheden analysetool ‘OpenKAT’, CCV met CYRA, NEN met cybersecurity normen en NCC-NL met subsidiemogelijkheden.

Voor én door de community

Tussen de bedrijven door krijgt Irene van der Zanden, communitymanager bij het NCSC, een bos bloemen uit handen van dagvoorzitter Lucinda Sterk. Irene kijkt tevreden terug op 5 jaar bouwen aan - en mét - de community, die met ruim 7.500 leden groter en levendiger is dan ooit. Wat valt haar op in deze derde editie van het community event? Irene: ‘Hoewel we de community vanuit het NCSC faciliteren, zijn het écht de leden die zowel het evenement als de online omgeving waardevol maken. Zij delen hun kennis en ervaring immers met elkaar. Bedankt iedereen!’

Ontdek via de NCSC Community de presentaties van de sprekers, de foto's van het evenement en de cartoons die die dag zijn gemaakt.

Wil jij bij een volgende community bijeenkomst zijn? Sluit je aan bij de NCSC Community en kom in contact met meer dan 7.500 ondernemers en professionals op het gebied van digitale weerbaarheid.