Ook het draaiboek omgang met cyberincidenten kan verouderen

Als het goed is heeft elke ondernemer een draaiboek klaarliggen bij bijvoorbeeld cyberincidenten snel, goed en gestructureerd te kunnen optreden. Afhankelijk van de omvang van de organisatie en de activiteiten wordt dat draaiboek uit de kast getrokken voor een oefening en om te controleren of het nog wel klopt wat er staat. Dat laatste is recent door de Amerikaanse Rekenkamer gedaan.

Draaiboeken lezen

De Rekenkamer (OIG) heeft meerdere draaiboeken genomen en kritisch doorgenomen. Deze documenten hadden betrekking op het omgaan met cyberincidenten bij (federale) financiële instellingen en hun toeleveranciers. Waarom uitgerekend die groep als case is genomen blijkt niet uit het rapport. Maar duidelijk is wel dat een deel van de instructies uit 2018 kwam. De ontwikkelingen rond cybercrime hebben niet stilgestaan. Het aantal en soort aanvallen is toegenomen. Sinds 2022 is ook de kans op bewust platleggen van infra, zonder diefstal, of alleen data vernietiging toegenomen.

Voortschrijdend inzicht

Het voortschrijdend inzicht, plus de ervaringen in andere landen en sectoren leidden bij de OIG tot de conclusie dat een deel van de voorgeschreven methoden niet meer werkte. Iets anders dat tot deze conclusie leidde heeft een puur binnenlandse oorzaak: wetgeving is veranderd, waardoor meer en andere maatregelen nodig zijn geworden. Bij dat laatste moet gedacht worden aan de meldplicht voor datalekken bij banken en verzekeraars. De persoon of afdeling die toeziet op de “klantdata” is in de regel een ander dan de wie voor de “infra” verantwoordelijk is.

Periodiek controleren

Wie zin het de samenvatting van het onderzoek te lezen, inclusief de aanbevelingen: de PDF is hier te vinden. Voor wie de vraag stelt: wat moet ik met deze kennis? Is er het volgende antwoord. Procedures en draaiboeken die slechts incidenteel worden toegepast of geraadpleegd kunnen verouderen. Of het nu voor je eigen business is of die van je klanten, het kan geen kwaad periodiek te controleren of wat daar staat nog wel volstaat en of er niet iets buiten de scope valt.