CISO’s en hun teams in Europa en elders ter wereld voelen het cyberveiligheidseffect van de oorlog in Oekraïne en de sancties die op Russische en Belarussische instellingen en personen zijn opgelegd – of zullen dit effect binnenkort gaan voelen.
Acht cyberveiligheidsstappen
Het is wel duidelijk dat u het actuele advies van uw nationale cyberveiligheidsinstanties dient op te volgen. De Amerikaanse ‘Cybersecurity and Infrastructure Security Agency’ (CISA) heeft al gewaarschuwd voor een toename van het aantal aanvallen op kritieke infrastructuur en industriële verdedigingslinies via het ‘Shields Up’-initiatief. Dit is de beste bron van de nieuwste informatie van CISA over de huidige status van het conflict. Het ‘National Cyber Security Centre’ (NCSC) in het Verenigd Koninkrijk heeft gepubliceerd welke specifieke stappen moeten worden gezet gezien de huidige verhoogde dreigingen.
Andere instellingen, zoals de ‘European Network and Information Security Agency’ (ENISA) in de EU, het ‘Bundesamt für Sicherheid in der Informationstechnik’ (BSI) in Duitsland en de ‘Agence nationale de la sécurité des systèmes d’information’ (ANSSI) in Frankrijk hebben waarschuwingen gegeven over deze situatie en de Cyber Unit van de EU is ingezet om Oekraïne te helpen. Het ‘Cyber Security Centre’ in Australië heeft ook richtlijnen gegeven via een urgente waarschuwing toen de Australische overheid Rusland op 23 februari sancties oplegde. Als u geen specifieke informatie van uw nationale cyberveiligheidsinstanties hebt ontvangen, volg dan onderstaande richtlijnen.
Neem contact op met de overheid. Zorg ervoor dat u een goed contact hebt met de overheid van elk land waarin uw onderneming een duidelijke aanwezigheid heeft. Weet wie u moet waarschuwen in geval van een incident. Weet van wie u het laatste nieuws over de actuele situatie zult ontvangen. Voor organisaties die in de EU zijn gebaseerd, neemt u contact op met uw lokale CSIRT (Computer Security Incident Response Team) en met CERT (Computer Emergency Response Team). (Een volledige lijst vindt u hier.)
Stuur een ‘verzoek om informatie’ naar uw leverancier van bedreigingsinformatie. Het beste is als dit nu al deel uitmaakt van uw contract, maar als u daar extra voor moet betalen, is deze service zeker de moeite waard. Leg uit wie de doelgroep is voor het rapport, zodat uw leverancier informatie op het juiste niveau kan produceren (voor uw directieleden, voor uw beveiligingsteam, enz.). Het verzoek om informatie moet verder reiken dan de normale overzichten die uw leverancier verschaft en moet specifieke informatie omvatten over uw verticale industrie en de locaties waar uw bedrijf actief is. Bovendien moet u informatie krijgen over de dreigingsactoren en over de tactieken, technieken en procedures (TTP’s) die deze actoren gebruiken.
Informeer uw senior stakeholders voorafgaand aan het nieuwsbulletin over de huidige bedreigingen en het risico. Cyberveiligheidsincidenten die het nieuws halen, maken senior executives en directieleden vaak erg zenuwachtig. Het gevolg is dat u en uw team opeens een lawine van paniekvragen moet beantwoorden. Zorg ervoor dat u goed voorbereid bent, aangezien dergelijke vragen veel tijd in beslag kunnen nemen. Schrijf van tevoren een informatiedocument en zorg ervoor dat het zoveel mogelijk feiten bevat over de algehele externe bedreiging en situatie, de mogelijke gevolgen voor uw organisatie en het algemene risico voor het bedrijf. Maak van deze kans gebruik om uw executives eraan te herinneren welke tactische stappen u hebt ondernomen om de onmiddellijke problemen op te lossen, en hoe uw strategie het bedrijf voorbereidt op dergelijke evenementen, zowel nu als in de toekomst.
Samenwerking met uw beveiligingsleveranciers. De beveiligingsleveranciers van uw onderneming moeten een proactieve rol spelen bij een grondige voorbereiding op een cyberconflict en uw verdediging. Vertrouw op de accountvertegenwoordigers van uw leveranciers; zij hebben er belang bij om te garanderen dat u de juiste contractueel overeengekomen service ontvangt, of service die specifiek op de betreffende technologie is gericht. Bevestig bij uw productleveranciers de leveringstijden en de automatiseringsopties voor de updates van rulesets en patches; bij managed services moet u over duidelijke processen en communicatiekanalen beschikken. U moet nu al communicatie ontvangen van uw leveranciers over het conflict in Oekraïne. Als u nog geen updates hebt ontvangen, moet u direct contact opnemen met de leverancier, uw vertegenwoordiger, het supportteam, enz. Let vooral op de leveranciers die niet erg responsief waren tijdens Log4Shell, aangezien twee ondermaatse prestaties tijdens een crisis geen vertrouwen wekken.
Probeer nooit te voorspellen wat natiestaten zullen doen. De internationale inlichtingendiensten hebben uitstekend werk geleverd en hebben informatie met elkaar gedeeld om misinformatie en desinformatie tegen te gaan. Zij beschikken over allerlei informatie die u – en wij – niet hebben. En ze laten desondanks soms toch een steekje vallen. Focus op een goede voorbereiding en een verbetering van de bestendigheid van uw onderneming, en probeer niet te voorspellen wat er gaat gebeuren.
U kunt zich niet op een cyberaanval voorbereiden die al aan de gang is, dat is verspilde moeite. Tandartsen zeggen altijd: “je kunt niet voor een tandartsenexamen blokken”, en dit is net zoiets: het is gewoon te laat om grote technologische veranderingen door te voeren. Daarom is cyberveiligheid een programma en daarom zijn paraatheid en gereedheid zo belangrijk. Als u tijdens een ’tabletop exercise’ over processen of communicatie begrijpt dat u iets moet veranderen, doe dat dan, en zorg ervoor dat u alle documentatie bijwerkt.
Dit zijn de vier vervolgstappen
Nadat u bovenstaande stappen hebt uitgevoerd, is dit uw volgende checklist:
Bereid u voor op meer misinformatie en desinformatie. Misinformatie en desinformatie waren schering en inslag voorafgaand aan dit conflict. Aantijgingen over geënsceneerde kabinetsvergaderingen lange tijd nadat de beslissingen waren genomen, zijn daar een voorbeeld van. Op 3 februari voorspelde de VS dat Rusland nepvideo’s zou gebruiken als voorwendsel voor een invasie. Open source intelligentieonderzoekers hebben een video geanalyseerd die twee weken later werd gepubliceerd, wat bewijst dat de VS gelijk hadden. Deze video’s hebben twee doelen: de interne ondersteuning voor een invasie versterken en de buitenlandse verhalen vertekenen. In Frankrijk, India, het VK en de VS zeiden deelnemers aan onze Global Trust Imperative Survey uit maart 2021 dat ze hun werkgevers meer vertrouwen dan hun nationale en lokale leiders. Dit betekent dat de informatie die uw veiligheidsteam levert heel erg belangrijk is. Zorg er dus voor dat uw incidentresponsplannen en hun communicatie-elementen gebruiksklaar zijn.
Overweeg beveiligde communicatiehulpmiddelen voor de benodigde veiligheid, privacy en betrouwbaarheid. Bedrijven die zich zorgen maken over de veiligheid en privacy van bedrijfscommunicatie (denk aan afluisteren, blootstelling van de metadata van de communicaties, gegevensverlies of non-compliance) via traditionele kanalen, kunnen stappen ondernemen om hun zakelijke communicatie te beveiligen. Werknemers in en rond Oekraïne zullen waarschijnlijk ook merken dat de communicatie-infrastructuur verstoord is geraakt. Versleutelde bericht- en telefonie-oplossingen zoals Element, KoolSpan en Wickr functioneren in omgevingen met een lage bandbreedte. En deze hulpmiddelen zijn geen eenmalige investeringen. U kunt ze gebruiken om uw dagelijkse communicaties te beschermen. Als ‘out-of-band’-communicatiekanalen tijdens een incidentrespons en om uw reizende executives beter te beveiligen.
Ontwikkel uw incidentteam. Het is nu de juiste tijd om een traject te selecteren voor de ontwikkeling van uw uitstekend analisten en beveiligingstechnici in het Security Operations Center (SOC). Veel providers van incidentresponsservices bieden voor interne teams bedoelde trainingen in responsactiviteiten, forensisch onderzoek en het verzamelen van bewijsmateriaal. Een doelgerichte aanval resulteert gewoonlijk in een complexe en langdurige respons. Werk met uw provider samen aan de ontwikkeling van een trainingsplan om een team van geschikte vervangers te ontwikkelen, zodat uw eerste team kan rusten en burn-outs worden voorkomen.
Let op de apparatuur- en software-hygiëne. Dit lijkt mogelijk evident, vooral gezien de typische C2C (comply to connect)-beleidsbepalingen. Het is nu meer dan ooit belangrijk om uw apparatuur, eindpunten en toepassingen volledig te patchen en up-to-date te brengen. Prioriteer kritieke kwetsbaarheden en alle kwetsbaarheden met een bekende exploit, maar negeer de hoge en medium kwetsbaarheden vooral niet. Een nieuwe aanvaller die exploits verzamelt kan ertoe overgaan om deze kwetsbaarheden te misbruiken, terwijl de aandacht van de wereld op de oorlog in Oekraïne is gericht. Bovendien is het een goed idee om het hele team samen te brengen voor een ’tabletop exercise’ over de respons en het patchen van een nieuwe ‘zero-day’ aanval.
Forrester heeft net een uitgebreid rapport over dit onderwerp gepubliceerd: ‘Russia’s Invasion Has Permanently Altered The Cyberthreat Landscape’.
Aan deze artikel van Paul McKay is ook een bijdrage geleverd door Senior Analyst Heath Mullins.