Datalekken zijn een van de belangrijkste cyberdreigingen voor organisaties, maar als ze zich voordoen, reageren veel bedrijven niet op een manier die hun klanten of de toezichthouders geruststelt. Wat kunnen bedrijven doen om ervoor te zorgen dat ze krachtig reageren in de cruciale nasleep van een incident?
- Volgens de Allianz Risk Barometer 2023 zijn cyberincidenten het grootste bedrijfsrisico voor bedrijven over de hele wereld, met datalekken als de meest zorgwekkende cyberblootstelling.Toezichthouders oefenen druk uit op bedrijven om de gegevensbeveiliging aan te scherpen, met hoge boetes of zelfs gevangenisstraffen voor wie tekortschiet.
- Bedrijven moeten reactieplannen voor cyberincidenten opstellen, testen en oefenen, en daarbij gespecialiseerde derden raadplegen.
- Crisiscommunicatie moet deel uitmaken van uw paraatheid en ervoor zorgen dat belanghebbenden en autoriteiten tijdig worden geïnformeerd.
Na een cyberinbreuk is er een kritiek moment - misschien slechts enkele minuten of hooguit een uur of twee - waarop de genomen beslissingen de uitkomst aanzienlijk beïnvloeden. Om zo min mogelijk schade te berokkenen, moet men goed weten wat er waarschijnlijk gaat gebeuren en wat er op het spel staat.
Dat adviseert Robin Kroha, Chief Information Security Officer & Head of Global Protection and Resilience bij Allianz Services. Een bedrijf moet nauwgezet voorbereid zijn op een ernstige inbreuk, met een organisatie en plan voor de bestrijding van cyberincidenten. Dit omvat het vooraf oefenen van kritieke scenario's en het hebben van een getraind team dat hun rollen en verantwoordelijkheden duidelijk begrijpt.
"Plannen zijn belangrijk", erkent Kroha. "Maar oefeningen zijn cruciaal, want zelfs de beste plannen kunnen een goed voorbereid team niet vervangen. Plannen moeten worden geoefend om hun effect bij een echt incident vast te stellen."
Het groeiende aantal cyberincidenten blijft voor het tweede jaar op rij de belangrijkste zorg van bedrijven, zo blijkt uit de jaarlijkse Allianz Risk Barometer. "In het 2023-rapport rangschikte 34% van de antwoorden van meer dan 2.700 experts over de hele wereld cyberincidenten als het grootste risico voor hun bedrijven," zegt Michael Daum, Global Head of Cyber Claims bij Allianz Global Corporate & Specialty (AGCS). "In het bijzonder zien we steeds meer gevallen van datalekken, hetzij met ransomware-aanvallen of op zichzelf staand."
Volgens de respondenten van de Allianz Risk Barometer is een datalek de blootstelling die bedrijven het meeste zorgen baart (53%). Privacy en bescherming van gegevens is een kritiek risico dat steeds groter wordt - volgens het The Cost of a Data Breach Report van IBM bereikten de gemiddelde kosten van dergelijke incidenten in 2022 een recordhoogte van 4,35 miljoen dollar en zullen ze naar verwachting in 2023 de 5 miljoen dollar overschrijden.
De druk van de regelgeving neemt toe
Toezichthouders worden strenger voor bedrijven met onvoldoende beveiligingsmaatregelen om gegevens te beschermen. In 2019 kreeg British Airways een boete van £183mn ($222mn) van het Britse Information Commissioner's Office (ICO) nadat gegevens van 500.000 passagiers waren gestolen. De boete werd in 2020 in hoger beroep verlaagd tot £20mn.
Vorig jaar gaven twee zaken in de VS een waarschuwing aan bestuurders en senior executives die niet adequaat omgegaan zijn met cyberinbreuken. In oktober werd een voormalige chief security officer van een mobiliteitsbedrijf schuldig bevonden aan pogingen om een cyberbeveiligingsincident in de doofpot te stoppen. Dit is vermoedelijk de eerste keer dat een leidinggevende van een Amerikaans bedrijf strafrechtelijk is vervolgd wegens een cyberinbreuk. De directeur kan een gevangenisstraf van maximaal acht jaar krijgen wegens belemmering van de rechtsgang en het opzettelijk verbergen van een misdrijf.
Eveneens in oktober kondigde de Federal Trade Commission (FTC) maatregelen aan tegen de CEO van een bedrijf dat online drankjes bezorgt, wegens beveiligingsfouten die hebben geleid tot een cyberinbreuk waarbij persoonlijke informatie van 2,5 miljoen klanten werd bloot gelegd.
Nu toezichthouders en aanklagers strenger worden, voeren grote bedrijven hun investeringen in cyberbeveiliging op. Een betere beveiliging dwingt hackers om slachtoffers te zoeken in kleinere en middelgrote bedrijven, waar zwakkere controles een gemakkelijk doelwit kunnen vormen.
Wanneer het ondenkbare gebeurt
Zodra een inbreuk op persoonsgegevens plaatsvindt, begint de klok te tikken. Volgens de Europese Algemene Verordening Gegevensbescherming (GDPR) moeten bedrijven een inbreuk binnen 72 uur na ontdekking melden. De ICO legt dezelfde termijn op in het VK.
In de VS is het minder duidelijk, met een lappendeken van rechtsgebieden, waardoor in sommige gevallen datalekken binnen 60 dagen kunnen worden gemeld. Vorig jaar heeft president Biden echter nieuwe federale wetgeving inzake het melden van inbreuken op gegevens ondertekend. Hierdoor zou de kennisgeving van dergelijke incidenten aan het Department of Homeland Security kunnen worden aangescherpt tot binnen 72 uur nadat er een heeft plaatsgevonden.
De Amerikaanse FTC geeft advies over de cruciale stappen die bedrijven moeten nemen na het ontdekken van een datalek, evenals de Britse ICO. De EU geeft richtsnoeren voor wie wanneer in kennis moet worden gesteld, met inbegrip van andere getroffen bedrijven en personen.
Het team voor inbreuken mobiliseren
Binnen deze stappen moet echter een hele reeks complexe acties worden ondernomen. De meest kritieke is het mobiliseren van het cyberincidentbestrijdingsplan. "Een cybercrisis is een van de moeilijkste incidenten om mee om te gaan," zegt Daum. "Het is niet zoals een natuurramp of wanneer een fabriek afbrandt. Als je wordt getroffen door een encryptie- en ransomware-aanval, kun je te maken krijgen met een bedrijfsonderbreking die wereldwijd is. Ook heb je te maken met criminelen en hun specifieke gedrag is moeilijk te voorspellen."
De toepassing van dubbele afpersing is wijdverspreid geworden, wat de dimensies van complexiteit verder uitbreidt, voegt Daum toe. Dubbele afpersing combineert de versleuteling van gegevens, systemen of back-ups met het dreigement om gevoelige gegevens vrij te geven.
Kroha zegt dat een van de belangrijkste dingen die een bedrijf moet doen is zich verzekeren van deskundige hulp - zowel na als voor een cyberaanval.
"Het wordt steeds moeilijker voor bedrijven om de expertise die nodig is om een cybercrisis aan te pakken in huis te hebben," legt Kroha uit. "De veranderende aard van de misdaad zorgt voor een dynamische dreigingsomgeving die moeilijk te overzien kan zijn. Hoewel veel grote en middelgrote bedrijven vaak goed voorbereid zijn op traditionele risicoscenario's, hebben sommige nooit goed nagedacht over een cybercrisisbeheersplan."
Bij een significante inbreuk zal een bedrijf een beroep willen doen op zijn cyberbeveiligingsdekking. Externe deskundigen kunnen dan gespecialiseerd advies geven, afhankelijk van de aard van het incident. AGCS heeft een wereldwijd netwerk van partners die verzekerden hulp bieden wanneer zich een cyberincident voordoet. Deze omvatten incident response diensten zoals IT forensische diensten, forensische boekhouding, public relations, crisiscommunicatie, reactie advies over cyber afpersing, en breach coach of juridische diensten. Een breach coach is meestal een advocaat die gespecialiseerd is in data privacy en cyber security. Vaak zijn bedrijven overweldigd door de situatie, en een breach coach kan helpen hen op een gestructureerde manier door de crisis te loodsen om de schade te beperken.
Duidelijke communicatie is de sleutel
Rishi Baviskar, Global Head of Cyber Risk Consulting bij AGCS, zegt: "Elke cyberaanval is uniek." Volgens Baviskar is een essentieel onderdeel van een responsteam een uitgebreid communicatieplan dat alle betrokken doelgroepen bereikt: werknemers, klanten, investeerders, zakenpartners en andere belanghebbenden. Een dergelijk plan moet anticiperen op vragen die mensen zullen stellen.
"Verkeerde communicatie rond een inbreuk kan aanzienlijk bijdragen aan de gevolgen voor de reputatie door een incident, waaronder een dalende aandelenkoers", aldus Baviskar.
Norsk Hydro, een van 's werelds grootste aluminiumproducenten, werd in maart 2019 getroffen door een cyberaanval nadat ransomware de op alle systemen opgeslagen bestanden had versleuteld. Hackers eisten bitcoins om de gegevens te ontsluiten. Toch steeg de aandelenkoers van Norsk Hydro, ondanks de ernst van de inbreuk, in de weken daarna terwijl het bedrijf streed om de schade te herstellen.
"Norsk Hydro weigerde te betalen", legt Baviskar uit. "Wat door de markt werd gewaardeerd was de transparantie en openheid van het bedrijf, omdat dit in schril contrast stond met de geheimzinnige reacties van veel bedrijven nadat ze waren gehackt. Het vertrouwen bleef behouden en de aandelenkoers steeg in reactie op het incident."
Checklist crisiscommunicatie
Naast uw wettelijke rapportageverplichtingen is tijdige en transparante communicatie met belanghebbenden na een inbreuk essentieel als u de schade aan uw bedrijfsactiviteiten en reputatie wilt beperken.
Volgens Haydn Griffiths, Chief Information Security Officer bij AGCS, moet een crisiscommunicatieplan deel uitmaken van uw reactieplan voor cyberincidenten, met een lijst van contactpersonen, dringende taken en aangewezen mensen om daarop toe te zien - waaronder een senior woordvoerder communicatie - met vooraf opgestelde (en geteste) verklaringen voor verschillende scenario's. Hier is een checklist waarmee u rekening moet houden bij het opstellen van een cybercrisiscommunicatieplan:
- Wie moet je informeren? Naast de relevante autoriteiten kunnen dit uw klanten, aandeelhouders, werknemers, externe contacten, het publiek, de media, uw advocaten, beroepsorganisatie en verzekeraar zijn. Zet verschillende communicatiestromen op om de doelgroepen te sturen naar regelmatige updates.
- Wat is het doel van de communicatie? Het kan gaan om geruststelling, informatie over herstelmaatregelen, een verontschuldiging of een verklaring om onjuiste berichtgeving elders te voorkomen.
- Hoe kunt u de angst van klanten wegnemen? Toon slachtoffers van de inbreuk empathie en een bereidheid om oplossingen te bieden. Als u in staat bent, deel dan mee welke maatregelen u neemt om de schade te beperken en houd uw klanten op de hoogte. Geef hen richtlijnen over hoe zij door de inbraak zouden zijn benaderd en welke maatregelen zij kunnen nemen om zich te beschermen, zoals het wijzigen van wachtwoorden of het controleren van e-mails op malware.
- Hoe kunt u werknemers geruststellen? Communiceer snel via meerdere kanalen om ze gerust te stellen en ze te wapenen met de bruikbare informatie die ze nodig hebben. Houd ze op de hoogte. Verstrek ook alle details die uw leveranciers, consultants, investeerders en personeelsvertegenwoordigers of vakbonden nodig hebben.
- Hoe moet u communiceren met zakenpartners? Tijd is essentieel om hen in staat te stellen actie te ondernemen om zichzelf te beschermen. U kunt bijvoorbeeld regelmatig bellen en updates geven, zodat partners vragen kunnen stellen of zich in details kunnen verdiepen. Overweeg om speciaal personeel in te zetten voor kritieke zakenpartners, zodat zij volledig op de hoogte blijven.
- Wat zijn de beste platforms of kanalen? Denk aan de regionale, nationale of internationale pers, vakbladen/websites, e-mail, sociale media, gedrukte brieven, webcasts.
- Van wie moet de communicatie komen? Dat kan de CEO zijn, de chief information officer, voorzitter, hoofd IT of directeur klantenservice.
- Wat voor taal moet u gebruiken? Houd de toon van uw kennisgevingen vriendelijk, niet-alarmistisch en feitelijk; beslis in hoeveel talen u moet communiceren.
Wat doet u als uw digitale kanalen niet beschikbaar zijn? Overweeg om vooraf voorbereide materialen te bewaren in cloud-gebaseerde back-ups of zelfs papieren afschriften.
