Een noodsituatie door een cyberincident komt in de praktijk vaker voor dan verwacht. Wat kan je als bedrijf doen om je weerbaarder te maken? En hoe reageer je snel en adequaat? We spreken hierover met Visma, dat als grote softwareleverancier met programma’s en initiatieven een eventuele impact minimaliseert.
De aanvalsfrequentie en het geavanceerde karakter van cyberaanvallen maakt het vandaag de dag lastig om aan een incident te ontsnappen. Hoe zorgvuldig een bedrijf ook handelt, je hebt niet alles in de hand. Een goede voorbereiding is wat dat betreft het halve werk, onderkent Visma. Op initiatief van CISO Cindy Wubben nam het bedrijf deel aan ISIDOOR. In dit programma van het Nationaal Cyber Security Centrum onderzoeken partijen hoe weerbaar ze zijn tegen crises. Een bedrijf is fictief slachtoffer, om echt te leren hoe men in de praktijk reageert. Iedere dag escaleert de fictieve crisis en de deelnemers worden maximaal op de proef gesteld.
Huidige staat
De meest recente ISIDOOR-editie vond eind vorig jaar plaats. Deelnemers doorliepen de hoofdoefening van drie dagen. Daaruit trekt men lessen om belangrijke punten verder te testen en implementeren. De Commissie Crisisbeheersing van de overheid oefent door met de input van de training. De data uit die ISIDOOR IV-editie is inmiddels volop geanalyseerd.
De overheid concludeert op basis daarvan dat opschaling naar de landelijke crisisstructuur voor organisaties veelal nieuw en onbekend is. Deze structuur helpt bedrijven in kaart te brengen wat de rollen en verantwoordelijkheden van betrokken partijen zijn en waar ze hulp kunnen krijgen. Daarnaast is er meer behoefte aan bekendheid van de Wbni-criteria, de voorloper van de Cyberbeveiligingswet die de NIS2 regelt. In het algemeen blijkt de voorloper van NIS2 dus nog niet voldoende geland.
Oefening als basis voor weerbarheid
Voor een partij als Visma is het oefenen überhaupt interessant gezien de omvang en complexiteit van de organisatie. Alleen al in Nederland vallen tientallen bedrijven onder Visma, die grotendeels zelfstandig opereren, met duizenden werknemers. Kan zo’n complexe organisatie adequaat reageren tijdens een crisis? Door te oefenen valt een crisis in theorie sneller te bedwingen.
Naast deze insteek heeft ISIDOOR voor Visma nog een tweede belangrijke component: veel overheidsinstellingen, zoals gemeenten, waterschappen en veiligheidsregio’s, nemen deel. Die overheidsinstellingen zijn ook klant van Visma en moeten bij een cyberincident blijven functioneren om burgers van cruciale diensten te voorzien. Als zo veel mogelijk instellingen uit de keten deelnemen, wordt Nederland als geheel weerbaarder. Daar wil Visma graag aan bijdragen.
Visma ziet na het deelnemen direct aanknopingspunten. Tijdens een incident is het bijvoorbeeld belangrijk klanten goed in te lichten. Volgend jaar wil Visma weer meedoen, waarbij de focus extra ligt op de communicatie en oefenen met klanten in de keten.
Een stevig fundament
Voor CISO Cindy Wubben was ISIDOOR een logisch initiatief om aan deel te nemen. Zij is binnen Visma voortdurend bezig om het securityniveau van de dochterondernemingen te verhogen, maar hoe weerbaar zijn ze nou echt? Vanuit het Visma Security Program zijn er initiatieven voor sterkere beveiliging. De onderdelen van dit programma zijn voor een softwareleverancier als Visma cruciaal, zoals threat intelligence en bug bounty. Door de bedrijven die onder de Visma-paraplu vallen deze zaken toe te laten passen op hun software, worden de oplossingen in de basis veiliger.
Tip: Visma legt de lat hoog voor security
De additionele middelen van Visma voor dochterondernemingen en medewerkers zijn uiteindelijk behoorlijk breed. Ze beloven ook de basis voor business continuity en crisismanagement te versterken. ISIDOOR is wat dat betreft een goede realiteitscheck, maar er waren al flink wat stappen genomen. Bijvoorbeeld via het business continuity-portaal. Daarin heeft Visma informatie opgenomen om bedrijven en teams op weg te helpen bij het waarborgen van continuïteit. Hier hoort bijvoorbeeld hulp bij het inregelen van backups bij, maar ook een check die stelt hoeveel data er verloren zou gaan en tot welk moment dat acceptabel is. Visma heeft hierin ook informatie opgenomen over wat een bedrijf moet doen als het getroffen is door ransomware. De bijbehorende acties kunnen met behulp van het portaal ook getest worden, al dan niet geautomatiseerd. Het portaal moet uiteindelijk helpen een zo goed mogelijk business continuity-plan op te stellen en uit te voeren.
Overkoepelend is er nog een crisismanagementplan van Visma. Dat plan treedt in werking wanneer de situatie echt escaleert, eigenlijk precies wat men bij ISIDOOR simuleert. Een incident kan klein beginnen en escaleren tot een grote crisis die een organisatiebrede aanpak vereist. Mocht deze hoogste alarmfase voorkomen bij Visma, dan komt ook het hoogste management van de Visma-groep in actie, naast de securityexperts, de juridische en communicatieafdeling. Bij de ISIDOOR-oefening was dat nog niet het geval, maar Wubben vindt het interessant om die situatie ook eens te simuleren.
Scherper op de radar
Hoe effectief het Visma-programma tot nu toe ook blijkt te zijn — de trackrecord voor publiekelijk misbruikte kwetsbaarheden is klein — er blijft altijd nood om de worst-case scenario’s goed voor te bereiden. Wubben wilde dan ook zoveel mogelijk mensen binnen Visma meekrijgen om aan de ISIDOOR-oefening mee te doen. Ze peilde de interesse bij dochterondernemingen, waaruit bleek dat Genetics, Visma Circle, Nmbrs, Appical, Visma Verzuim en Visma Software interesse hadden. Zij hadden hun securityhuishouding voor deelname aan ISIDOOR op orde, iets wat ook nodig is voor de real-time oefening.
In totaal deden zo’n 60 medewerkers van Visma mee met ISIDOOR. Naast de teams in de Visma-bedrijven, oefenden ook het wereldwijde SOC-team, de cloudsecurity-afdeling, het incident response-team en de communicatie-afdeling mee. Vanuit de zes deelnemende dochterondernemingen deden de werknemers die normaliter issues oplossen en communicatiemedewerkers mee. De conclusie die Visma zelf trekt: zaken waren goed geregeld, maar niet iedereen is op de hoogte van de structuren die spelen en beschikbare middelen. Betrek je in een crisissituatie de juiste securityexpert, de juridische kennis en de beste communicatiemiddelen? Al dat soort zaken zijn cruciaal in nood.
De sleutel blijft: oefenen, oefenen, oefenen
Wubben hoopt dan ook dat Visma er eind volgend jaar bij de volgende editie van ISIDOOR met een grotere groep medewerkers en dochterondernemingen bij is. Ze kunnen echt baat hebben bij drie dagen crisis oefenen, zodat ze weten hoe ze ervoor staan en waar verbeterpunten liggen. Je kunt denken dat je voorbereid bent op een crisis, maar werkt het plan ook echt in de praktijk? Maak je op elk moment gebruik van het juiste beschikbare middel en de juiste collega? Het kan zomaar zijn dat de interne communicatie niet goed verloopt of dat een communicatiecollega veel te laat betrokken wordt in een noodgeval. En je moet altijd een vervangende verantwoordelijke hebben, ook als de hoofdverantwoordelijke voor een herstelstap met vakantie of ziek is. Wubben adviseert om ook over zulke onderdelen na te denken.
Daarnaast is ISIDOOR een mooie realiteitsscan. Het blijft wel zaak om tussen elke editie van twee jaar te blijven oefenen. Afhankelijk van de planning dient een organisatie regelmatig te testen. Wubben heeft dit zelf als topprioriteit op de agenda staan voor dit en het komende kwartaal, om de Visma-bedrijven business continuity serieus te laten nemen en ervoor te zorgen dat het plan up-to-date is. Met het beschikbare materiaal vanuit het business continuity-portaal zijn er middelen om een soort mini-ISIDOOR te doen. Ze gaan aan de slag met een hypothetische crisis die ondersteund wordt door het globale SOC. Dat team helpt de bedrijven om door de processen te komen en het scenario succesvol af te ronden. En daarmee zijn ze voorbereid op een cybercrisis en klaar voor het worst-case scenario.
Tip: NIS2: wet mist toekomstgerichtheid, uitdagende ambities en recovery-aspect