Bij twee derde van de organisaties duurt het minimaal twee uur voordat men in actie komt nadat een cyberincident is ontdekt. Bij een vijfde van de organisaties duurt het zelfs meer dan 4 uur. Dit blijkt uit het internationale onderzoek Cyber Resilience 2016 van het Business Continuity Institute. Aangezien cyberincidenten een steeds grotere impact hebben, is het noodzakelijk deze responstijd naar beneden te brengen. Maar wat zorgt ervoor dat er zoveel tijd verloren gaat?
In mijn ervaring met het begeleiden van crisisoefeningen wordt tijdverlies vaak veroorzaakt doordat betrokkenen de overtuiging hebben dat cyberincidenten een probleem van de IT-afdeling zijn.
Die gedachte leeft ten eerste bij de IT-afdelingen zelf. Iedereen speelt nu eenmaal graag de held en IT’ers zien een cyberincident bovendien als dé uitgelezen kans om hun toegevoegde waarde voor de organisatie te laten zien. Zo zei een IT’er tijdens een crisisoefening ooit tegen mij: “We communiceren pas als we de oplossing hebben: tot die tijd ben ik niet bereikbaar.” En ook de business heeft de neiging het oplossen van het incident bij de IT-afdeling neer te leggen. Ze hebben die verantwoordelijkheid niet voor niks in de eerste plaats uitbesteed…
Echter, IT’ers hebben in de eerste plaats de kennis en vaardigheden om het probleem technisch op te lossen, terwijl een cyberincident uit kan monden in een cybercrisis met fikse consequenties voor onder meer de financiële positie en de reputatie tot gevolg. Dat zijn uiteraard zaken die alleen kunnen worden gemanaged door de business zelf. Daarom wordt bij cyberincidenten de schade zoveel mogelijk geminimaliseerd wanneer alle relevante onderdelen van de organisatie er vanaf het eerste moment samen bovenop zitten.
Effectief cyber crisis management vraagt dan ook om een duidelijk proces en concrete afspraken. Het is niet gewenst dat men tijdens een crisis eerst nog moet bedenken wie wat moet doen. Het kan namelijk op zo veel punten misgaan. Miscommunicatie, onduidelijke taken en verantwoordelijkheden, gebrek aan daadkracht, en autonoom handelen zijn maar een paar voorbeelden.
Mijn advies is dan ook: oefen, oefen, oefen. Niet alleen draagt dit enorm bij aan de bewustwording rond cyberincidenten, maar zo wordt ook de gewenste samenwerking een vanzelfsprekendheid, waarbij iedereen zijn rol kent. Oefenen is daarom een investering die zich altijd terugbetaalt. Een oefening hoeft bovendien niet ingewikkeld te zijn en lang te duren om effect te hebben: 2 à 3 uur zijn voldoende om te leren en te verbeteren.
Kortom, laten we samen zorgen dat een reactietijd van 2 uur in het volgende onderzoek een uitzondering is en niet de regel!