BLOG – Cyberincidenten zijn geen zeldzaamheid. Organisaties zijn steeds meer doordrongen van de realiteit dat de impact van ransomware, datalekken of een verstoorde it-dienst groot is. Zij hebben tools geïmplementeerd en procedures opgesteld om risico’s te beperken, zoals het hoort. Maar hoe reageer je echt als je getroffen wordt door een cyberaanval?
Om gestelde vraag te beantwoorden, een blik op de procesmatige kant van incident- en crisismanagement. Die is immers cruciaal om schade te beperken wanneer elke seconde telt.
De eerste momenten: wie doet wat?
Crisismanagement draait om het snel en effectief reageren op onverwachte digitale verstoringen. Een crisismanagementplan is erop gericht om de impact van zo’n verstoring te beperken en de normale dienstverlening snel te herstellen. Hierbij moet iedere betrokkene binnen de crisisorganisatie zijn rol kennen in het geval van een crisis. Eén van de basismaatregelen binnen een crisismanagementplan is dan ook het incidentresponseplan. Hiermee is een incident intern tijdig naar een crisis te escaleren, mocht dat nodig zijn.
Het succes van crisismanagement begint vóór de crisis. Immers, zodra er een serieus cyberprobleem aan het licht komt, moet er snel duidelijkheid zijn:
Wie neemt het voortouw?
Wie beslist?
Wie wordt geïnformeerd?
Een crisisteam – bestaande uit medewerkers van bijvoorbeeld it, security, communicatie, hr, juridische zaken en directie – is onmisbaar. Zet dit team niet alleen op papier, maar laat de leden elkaar kennen en train het team in crisissituaties. Een snelle en gestructureerde start direct na een incident is doorslaggevend voor hoe effectief en beheerst de verdere reactie verloopt.
Rollen en mandaten
Ook de interpretatie en besluitvorming moeten ingeregeld zijn. Hier wordt vaak het BOB-proces voor gebruikt: beeldvorming (wat zijn de feiten?), oordeelsvorming (wat proberen we te bereiken?) en besluitvorming (wat gaan we doen?). Dit vraagt om ervaren mensen die onder druk de juiste keuzes maken, op basis van incomplete informatie. Wie bepaalt of systemen uit de lucht gaan? Wanneer is het verantwoord om herstel te starten? Dit vereist niet alleen technische expertise, maar ook duidelijke rollen, mandaten en besluitvormingsstructuren. Zonder deze organisatorische component blijft zelfs het beste crisisteam onvoldoende effectief.
Communicatie als kritieke succesfactor
Een incident roept daarnaast altijd vragen op: bij medewerkers, klanten en media. Zonder heldere communicatie ontstaat snel verwarring of zelfs paniek. Het is essentieel om intern snel duidelijkheid te geven:
Wat is er aan de hand?
Wat moet je doen, en wat juist niet?
Extern draait het om transparantie en juridische verplichtingen. Denk aan meldplichten bij datalekken of rapportage aan toezichthouders. Het is al uitermate vervelend dat het cyberincident heeft plaatsgevonden en dat je imago wellicht een deuk oploopt. Dit effect is te versterken wanneer je het incident verborgen houdt of probeert te bagatelliseren.
Het is dan ook noodzakelijk dat je niet alleen op it-gebied bent voorbereid, maar ook in relatie tot crisiscommunicatie. Zorg dat de leden van het crisismanagementteam weten hoe zij tijdens een crisis met elkaar kunnen communiceren, zowel fysiek als remote. Het kan daarbij helpen om richtlijnen voor communicatie klaar te hebben liggen voor verschillende scenario’s. Zo voorkom je dat er in de haast een boodschap gecommuniceerd wordt die afbreuk doet aan het imago van je organisatie. Ook op die manier kun je de reputatieschade tot een minimum beperken. Het is daarom belangrijk dat je alle communicatie buiten het crisisteam beschouwt als externe communicatie.
Incident indammen en herstellen
Als laatste de technische uitgangspunten; deze zijn bij een incident het begrijpen van de omvang van de aanval, het tegenaan van verdere escalatie, en het zo snel mogelijk herstellen van getroffen systemen. Daarbij is het essentieel om te kunnen vertrouwen op goede monitoring en forensisch onderzoek.
Veel organisaties maken gebruik van een managed service voor managed detection & response (mdr). Voor de ondersteuning tijdens een (mogelijk) incident of het uitvoeren van forensisch onderzoek kan de hulp van een computer emergency response team (cert) worden ingeschakeld. Zo’n team ondersteunt niet alleen bij het in kaart brengen van een aanval, maar ook bij het snel en gericht nemen van maatregelen.
Leren en bijstellen
Een crisis is pas voorbij als het is geëvalueerd. Je wilt immers antwoord op vragen als ‘wat werkte goed?’ en ‘wat kan er beter?’. Door periodiek te oefenen met crisisscenario’s blijf je als organisatie wendbaar. Het is duidelijk dat het hierbij gaat om zowel technische als communicatieve aspecten. Crisismanagement is geen eenmalige actie, maar een continu leerproces.
Erik de Jong, chief research officer Tesorion
computable
11-06-2025 17:00