Als wij nu de systemen dicht zetten, waar zeg ik dan ja tegen? Thijs Breuking, voorzitter CMT WUR & lid RvB, Oefening OZON, 4-10-2016 Ervaringen en inzichten cybercrisismanagement 9 februari 2017 Frank Kuipers COT
COT: 30 jaar ervaring in oefeningen, onderzoek en advies
Crisis = impact = impact Vertrouwen 3
Een voorbeeld van impact Een ziekenhuis heeft meerdere uitdagingen als patiëntengegevens door een hack op straat komen te liggen en systemen onbetrouwbaar blijken (van EPD tot IC). Een technische uitdaging (zorgen dat systemen afgesloten worden om te voorkomen dat nog meer patiëntengegevens op straat komen te liggen), een zorgprobleem (als zorgprocessen worden beïnvloed), een uitdaging voor de reputatieschade (beheersen van onrust onder getroffen patiënten vanwege privacygevoelige gegevens en afgenomen vertrouwen in de beveiliging), het melden aan de autoriteit persoonsgegevens en het verantwoorden naar de Inspectie voor de Gezondheidszorg indien de kwaliteit en veiligheid gevaar lopen. 4
COT Terugkerende thema s crisismanagement Toezichthouders Nafase Leiding en coördinatie Zorg voor studenten en patienten Zorg voor medewerkers Schade/ herstel Rouw Zorg voor familie Interne & externe communicatie Continuïteit Crisis BHV ICT Ontruiming Integriteit (vervolg) gevaar of dreiging Internationale aspecten Inzet hulpdiensten Afstemming gemeente Onrust Vermisten Justitiele aspecten 5
ICT-incident of cybercrisis ICT-incident Vooral technologische impact, beperkte impact op klanten en reputatie Korte termijn impact met geen/beperkte blijvende gevolgen Cybercrisis Bredere organisatie impact, bijv. verlies van vertrouwen (integriteit), veel politieke en mediaaandacht (reputatieschade) en verlies van inkomsten (financiële schade) Lange termijn impact met deels blijvende gevolgen Ketenpartners worden niet geraakt Ketenpartners/supply chain worden geraakt Geen/ beperkte bestuurlijke aandacht nodig Technisch ICT-respons volstaat met enkele aanvullende acties vanuit bijvoorbeeld communicatie Mandaat bij ICT-beheerder/hoofd ICT Veel bestuurlijke aandacht nodig Bestrijding vanuit generiek crisismanagement, samen met ICT-respons met aandacht voor primair proces, communicatie, legal, HR, finance en dergelijke. Mogelijk intersectorale, internationale en organisatiebrede impact Mandaat bij crisisteam en/of bestuur/directie 6
Kritieke momenten, kritieke besluiten Oog voor het bijzondere 7
Integraliteit Eenheid van inspanning 8
Wat zijn cruciale succesfactoren bij een cybercrisis? 1. Onderschatting van het probleem en de snelheid van de technische oplossing. 2. Snel escaleren naar het strategisch niveau (directie/bestuur/board) en het parallel hieraan informeren van communicatieprofessionals is van belang. 3. Een passende crisisorganisatie inrichten. 4. Tijdig een goede crisisdiagnose uitvoeren. 5. Alert zijn op kritieke momenten. 6. Kritieke besluiten durven én kunnen nemen. 7. Een goede stakeholdersanalyse uitvoeren. 8. Pas afschalen als ook de komende weken/jaren zijn vormgegeven ( nafase ). 9
Door 7 stappen beter gezamenlijk voorbereid Inzicht in IT-risico s die crisispotentie hebben. Wat zijn de verschillen tussen de ICT-risico s en welke impact hebben ze op de organisatie? Geeft een ICT-risico alleen een technische uitdaging of ook reputatieschade en inkomstenverlies? Goede afspraken over het tijdig escaleren van IT-incidenten binnen de organisatie, inclusief het verbinden met de crisisorganisatie. Wanneer moet intern worden geëscaleerd? Is de aansluiting tussen de afdeling ICT en de crisisorganisatie laagdrempelig georganiseerd? Aansluiting van IT in het crisisteam. Op welke manier is technische/ict-expertise in het crisisteam geborgd en andersom. Inzicht in mogelijke kritieke besluiten. Het stilleggen van systemen/toepassingen die direct het primaire proces raken. Wie mag dit besluiten? En wat is nodig? Voorspelbare en voorstelbare maatregelen die moeten worden genomen bij ICT-incidenten en crises. Overschakelen op een back-up systeem of het tijdelijk sluiten van bepaalde applicaties? Welke ketenpartners/suppliers moeten op de hoogte worden gebracht en op welke manier worden zij geraakt? Kennis van de rol van belangrijke stakeholders zoals politie, OM, de autoriteit persoonsgegevens of de NCTv/ NCSC. Inzicht in mogelijk benodigde aanvullende expertise. Volstaan bestaande contracten voor technische/it-ondersteuning? Maak hierin bewuste keuzes. 10
Praktijktips Cybercrisismanagementaanpak versterken langs 5 lijnen: 1. Preventie: ontwikkelen en implementeren IT security/digitale veiligheid Rol en expertise van CISO s is cruciaal. Stevige opdracht voor de CISO s/cio s etc. rond digitale veiligheid/weerbaarheid en respons. Zowel qua organisatorische en beleidsmatige inrichting, als vwb intern missionariswerk binnen de eigen organisatie. 2. Versterk de operationele respons: inrichten structuur voor ICT incidenten (rollen/taken, samenstelling, mandaat, benodigde expertise) Werk een stappenplan uit voor het reageren op een (dreigende) cybercrisis en leg dit vast in een draaiboek. Beschrijf wie wat doet bij een cybercrisis, wie kritieke besluiten mag nemen, welke externe expertise nodig kan zijn en dergelijke. Werk als ICT-afdeling in het eigen plan antwoorden uit op de volgende vragen: o o o o Kan het systeem dicht? Wat is dicht? Om welke systemen en applicaties gaat het? Op welke termijn kan het dicht of open? Wie kan dit doen? Wat is nog wel beschikbaar en benaderbaar? En hoe dan? Wat is de impact? Hoe meten we de effectiviteit hiervan? En hoe stoppen we verdere lekken/ verspreiding/ etc.? 11
Praktijktips 3. Doorontwikkelen crisismanagement: aansluiting IT respons en generieke crisismanagement Vul het crisismanagementplan aan met het cybercrisis scenario. Wat zijn aanvullende opschalingscriteria? Welke ICT-functionarissen moeten deelnemen aan een crisisoverleg? Komt er een operationeel IT team dat aanhaakt op het crisisteam? En hoe verbindt u uw strategie met voorstelbare vragen (continuïteit, data-integriteit, persoonlijke bestanden van medewerkers, toegang tot data en schijven)? Maak onderscheid in verschillende type crises (van cyberaanval tot ransomware of datalek). Werk het scenario cybercrisis verder uit en betrek hierbij actief het bestuur/directie, ICT en andere relevante betrokkenen: wat komt er op de organisatie af? Wat is de gewenste respons? Waar zitten mogelijke effecten? 4. Continuïteit/ vitale processen/ beheersmaatregelen Hebben we zicht op hoe we ICT-continuïteit kunnen waarborgen, onze vitale processen en beheersmaatregelen die we in zo een geval kunnen nemen en de koppeling met crisismanagement? 5. Oefen met het daadwerkelijk gebruiken van de plannen en procedures, samenwerking met interne belanghebbenden en besluitvorming onder tijdsdruk. Bedenk: the devil is in the details. 12
Dank voor uw interesse Graag tot ziens! Contact COT Frank Kuipers Admiraliteitskade 62 3063 ED Rotterdam Tel. 010 4488300 www.cot.nl