Een meerderheid van de Nederlandse bedrijven en organisaties heeft nog nooit geoefend met gesimuleerde cyberaanvallen. En dat terwijl er wel degelijk behoefte aan is. Daarom stelt het ministerie van Economische Zaken en Klimaat een cyberoefengame gratis beschikbaar.
Dat meldt het Digital Trust Center (DTC).
Ondernemers bereid om tijd en energie te steken in training
Uit een flitspeiling (pdf) dat het ministerie onlangs liet uitvoeren, blijkt dat driekwart van de ondernemers nog nooit een cyberoefening heeft gedaan. Vooral zelfstandigen zonder personeel (zzp’ers) hebben hier weinig tot geen ervaring mee. Tegelijkertijd geeft een kwart van de ondernemers aan dat een cyberoefening nuttig zou kunnen zijn voor hun bedrijf. Bedrijven en organisaties die hiermee aan de slag willen, zijn bereid om er maximaal vijftien uur en 2.200 euro in te investeren.
Het DTC benadrukt dat de cijfers aangeven dat het midden- en kleinbedrijf (mkb) bereid is om tijd, geld en energie te steken in een gesimuleerde cyberaanval. In deze ‘cyberoefening’ wordt het fictieve drinkwaterbedrijf Alisson gehackt met ransomware. De crisis bouwt zich op via korte video’s en deelnemers moeten de situatie onder controle zien te krijgen. Na afloop moeten de deelnemers op hun aanpak reflecteren.
Deze oefening, die ontwikkeld is voor crisisteams, duurt ongeveer driekwartier, exclusief de nabespreking. Het doel van de oefening is om kennis op te bouwen op het gebied van cybersecurity en crisismanagement, samenwerking tussen diverse medewerkers te stimuleren, bewustwording over de risico’s van digitale dreigingen onder werknemers te bevorderen, en handvatten te bieden om een incident-responseplan op te stellen.
‘Succesvolle reactie op cyberaanvallen en -incidenten’
Het doen van fictieve cyberoefeningen is volgens het DTC van groot belang. Een cyberaanval of -incident kan aanzienlijke gevolgen hebben voor de bedrijfsvoering van een onderneming of organisatie, of externe partijen uit de leveranciersketen. Om de impact van een digitale aanval te beperken, is het essentieel om snel en kordaat te reageren.
“Het doen van cyberoefeningen vergroot de kans op een succesvolle reactie op cyberaanvallen en -incidenten. Je kunt de impact op je bedrijfsprocessen en bedrijfsschade verkleinen wanneer je adequaat handelt. Bovendien krijg je met oefenen waardevolle inzichten over de manier waarop medewerkers, processen en systemen werken bij een digitale crisissituatie”, zo zegt het DTC.
DNB gaat cybersecurity testen bij kleinere financiële instellingen
Eerder deze week kondigde De Nederlandsche Bank (DNB) een nieuw ethisch hackprogramma aan, genaamd Advanced Red Teaming (ART). Dit hacksimulatieprogramma is gemaakt voor kleinere instanties in de financiële wereld, zoals regionale banken, verzekeraars en pensioenfondsen, om hun digitale weerbaarheid te toetsen. Zo krijgen ze inzicht in hoe het is gesteld met hun cybersecurity en wat ze nog meer kunnen doen om zich te wapenen tegen hackaanvallen en andere digitale dreigingen.
Rogier Besemer, hoofd Cyber Resilience en Crisismanagement bij DNB, erkende dat spannend is voor een bedrijf om deel te nemen aan het ART-programma, maar probeerde deelnemers gerust te stellen. “Wij gaan met onze cyberaanval net zo ver als een hacker met Russische of Noord-Koreaanse staatssteun zou gaan. Het verschil is dat wij stoppen voordat de cruciale systemen op zwart gaan. We trappen de deur in, maar gaan vervolgens niet naar binnen.”
Bij het ART-programma weet slechts een handjevol medewerkers dat de bedrijfssystemen aan de tand worden gevoeld door externe beveiligingsspecialisten. Dat maakt het volgens Besemer ‘extra spannend’ en zo kan de beveiliging zo natuurgetrouw mogelijk worden getest.
