Goed voornemen: denk na over je respons op een cyberaanval

DDoS en Harry Potter

Het jaar begon met enkele in het oog springende incidenten. Meerdere onderwijsinstellingen, ziekenhuizen en DigiD kampten met DDoS-aanvallen. Bij zo’n aanval wordt zo veel data naar een systeem verstuurd, dat dat systeem daaronder bezwijkt. Vergelijk het met de beroemde scene in Harry Potter, waarbij de toverschool Zweinstein zo veel brieven stuurt naar het huis van Harry’s dreuzelfamilie Duffeling, dat de brievenbus het niet meer aan kan. Dergelijke aanvallen zijn vaak kortstondig, maar notoir moeilijk om tegen te houden en eenvoudig te bestellen.

Daarnaast zal ransomware ook in 2025 een probleem blijven. Niet alleen blijft dit een lucratieve zaak voor cybercriminelen, maar ransomware-aanvallen zijn ook steeds vaker politiek gemotiveerd, wees recent onderzoek van Stanford University uit. Zo neemt het aantal aanvallen toe rondom tijden van verkiezingen. Gezien de huidige geopolitieke spanningen, laat het gevolg op de digitale veiligheid zich raden. Bovendien brachten incidenten als met de systemen CrowdStrike en Defensienetwerk NAFIN ons vorig jaar met harde hand in herinnering dat een digitale storing geen malafide oorzaak nodig heeft om tot flink wat onrust te leiden.

Focus op repressiekant

Het aloude adagium van de cybersecurity blijft daarom actueel: het is niet de vraag of het je overkomt, maar wanneer. Of je nu een grote overheidsorganisatie bent of een mkb’er met vijf medewerkers, het risico om slachtoffer te worden is voor elke organisaties aanzienlijk. Helaas blijft de voorbereiding op incidenten bij organisaties nog sterk achter bij het dreigingsniveau. Daarbij focus ik op de responskant. Hoe je reageert op een incident, is namelijk minstens zo belangrijk als hoe je een incident voorkomt.

En daar is nog veel te winnen. Onderzoek van onder meer de Haagse Hogeschool wees bijvoorbeeld uit dat een groot deel van de overheidsdiensten niet of niet regelmatig oefent op cyberincidenten. En uit verschillende onderzoeken blijkt dat een minderheid van de bedrijven maatregelen voor hulpverlening bij een incident heeft. Een grote meerderheid heeft geen incident responsplan, en vaak zelfs geen bellijst met belangrijke telefoonnummers. Een cyberverzekering is, zeker in het mkb, een zeldzaamheid.

Laten we daarom in 2025 met zijn allen meer nadenken over de vraag: wat als het onze organisatie overkomt? Maak goede afspraken met je IT-dienstverleners, stel een (offline) bellijst op met belangrijke contacten, bepaal welke personen in je organisatie een rol hebben bij een incident, stel een communicatieplan op, et cetera.

Daarnaast wijs ik graag op het belang van oefenen. De afgelopen jaren heb meerdere cybercrisisoefeningen meegemaakt. Van de landelijke oefening ISIDOOR tot kleine simulaties van cyberaanvallen bij mkb’ers. Elke keer blijkt zo’n oefening leerzaam te zijn. Een simulatie vergroot de online weerbaarheid van organisaties en kan de impact van een incident verkleinen. En het is vaak nog leuk ook. Genoeg argumenten dus om aan de slag te gaan met je online weerbaarheid.

Jan-Peter Soenveld is docent en onderzoeker Cyberweerbare Organisaties bij het lectoraat Maatschappelijke Veiligheid van Saxion Hogeschool, en tevens community manager Oost bij Cyberweerbaar NL.