Home Security Gebrek aan Business Continuity groter probleem dan hackers

Gebrek aan Business Continuity groter probleem dan hackers

127

Steeds vaker halen grote cyberaanvallen het nieuws.  In het afgelopen jaar lagen vliegtuigfabrikant Asco, weefgetouwenbouwer Picanol, de AP Hogeschool Antwerpen en tientallen andere bedrijven en organisaties weken stil na een aanval door ransomware.

Recentelijk lagen ook heel wat sites gedurende dagen plat door een brand in een Duits datacenter. Maar hoe kan het dat bedrijven zo lang out zijn? Wel, dat ligt onder meer aan het ontbreken van een Disaster Recovery of Business Continuity Plan. Het is the elephant in the room. Hetgeen waar het eigenlijk om gaat, maar dat door het grote lawaai dat gemaakt wordt over een ander in praktijk onbelangrijk aspect, volledig overschaduwd wordt.

Geen Business Continuity Plan

Na een paar weken hackers-, ransomware en cybercriminaliteit- verhalen in de pers heb ik nergens een artikel gelezen over waar het werkelijk misgegaan is bij de Picanols, Asco’s, Maersks en Willebroeken van deze wereld.

Ondanks het feit dat het grote, gevestigde organisaties zijn, ontbrak er een degelijk Business Continuity Plan, anders gezegd hadden ze er niet over nagedacht hoe ze bij grote digitale catastrofes de boel terug de lucht in moeten trekken.

Website offline

Dit werd zeer recentelijk nog eens bevestigd maar dit keer zonder cybercriminelen: door een UPS-brand in het datacenter van OVH in Straatsburg, ging ongeveer 1/5 van de Franse websites offline en niet gewoon even offline door een technisch probleem. Het bedrijf denkt dat een belangrijk deel van de data niet meer gerecupereerd kan worden.

De must van een Business Continuity Plan

Als organisatie is het uitermate belangrijk om een risicoanalyse te maken. Kijken wat er allemaal mis kan gaan, wat de impact is, hoe waarschijnlijk dit kan gebeuren en hoe dit op te lossen en de risico’s te compenseren. Een belangrijk deel hiervan is een Disaster Recovery of een Business Continuity Plan. Dit plan beschrijft welke maatregelen men gaat nemen wanneer zich een ramp of grote problemen voordoet.

Het is een verhaal van back-ups nemen van de systemen en data én deze back-ups ook op tijd en stond testen. Een back-up is immers maar zo goed als de laatste succesvolle restore. Beroepshalve word ik er vaak bijgehaald als er problemen zijn en je wil niet weten hoeveel organisaties eindigen met niet of niet volledig recupereerbare back-ups.

Apparatuurinfrastructuur

Daarnaast kijk je wat je nog nodig hebt om te werken en hoe je dit gaat verkrijgen. Dit gaat over het hebben en vinden van de juiste apparatuurinfrastructuur en vooral ook kennis en mensen. In veel veiligheidsnormen (ISO27000, overheid, etc.) wordt zo’n document annex procedure vereist, maar meestal zijn dit papieren tijgers die ofwel copy/paste zijn ofwel vrijwel nooit getest worden en daarom als puntje bij paaltje komt niet werken.

Losgeld

Ook met een degelijk Business Continuity Plan hadden de gehackte bedrijven nog problemen en downtime gehad, maar deze zou minder lang geweest zijn. Nu hebben ze duizenden euro’s losgeld betaald aan de digitale onderwereld zónder garantie dat deze heerschappen niet nog een paar elektronische tijdbommen hebben achtergelaten.

Bovendien staan ze qua veiligheid nog even ver, want een andere digitale ramp (bijvoorbeeld een brand zoals bij OVH, een interne medewerker die alles wist, etc.) zal dezelfde downtime met zich meebrengen. Het verhaal gaat niet over ransomware, want volgende week is het een ander probleem, het gaat over het gebrek aan procedures om de gevolgen te beperken en op te lossen.

IT-security, een zaak voor het hele bedrijf

Mijn conclusie? ICT is enorm gegroeid in de laatste drie decennia maar blijft zeker op dit soort dingen nog altijd zeer onvolwassen. Helaas heeft het vandaag de dag wel impact als de ICT platligt. We moeten stoppen met denken over ICT en onze digitale economie als iets waar andere regels en wetten voor gelden dan voor de fysieke economie. Ik hoor te vaak het hoger management van zowel KMO’s als multinationals zeggen dat informatieveiligheid hun probleem niet is, dat ze dat volledig delegeren naar in het beste geval de Security Officer maar meestal gewoon de dienst ICT. Neen, informatieveiligheid, risico-inschatting en business continuity moeten op de tafel liggen van elk management.

Gezond verstand

Met gezond verstand, naar mijn mening het belangrijkste security-product dat er bestaat, moeten risico’s ingeschat en bekeken worden, moeten er plannen gemaakt worden en moeten de juiste interne of externe security en ICT mensen dit uitvoeren. Als we het allemaal au sérieux nemen en als een echt probleem aanpakken in plaats van bij elke hack als kiekens zonder kop in paniek rond te lopen kunnen we ook dit probleem onder controle krijgen.

Jan Guldentops, mede-oprichter van het consultancy bedrijf BA, lector security aan de AP Hogeschool Antwerpen, spreker op Infosecurity.be, Data & Cloud Expo en lid van de Vlaamse Toezichtcommissie voor de bescherming van de persoonsgegevens.

Hot topics zoals hacking, randsomware, cybersecurity maar ook Artificial Intelligence, cloudoplossingen en privacy komen aan bod in het onafhankelijke seminarieprogramma van de (virtuele) IT-beurs Infosecurity.be,Data & Cloud Expo op 31 maart en 1 april. Het volledige programma vindt u hier

 

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in