CISO’s en hun groups in Europa en elders ter wereld voelen nu al het cyberveiligheidseffect van de oorlog in Oekraïne en de sancties die op Russische en Belarussische instellingen en personen zijn opgelegd – of zullen dit impact binnenkort gaan voelen. Als u nog geen stappen hebt gezet, dan volgen hier de cyberveiligheidsstappen die u nu kunt zetten en enkele risico’s die u maar beter kunt vermijden. (Opmerking: de acties voor het risicomanagement staan in deze bijbehorende blogpost.)
- Het is wel duidelijk dat u het actuele advies van uw nationale cyberveiligheidsinstanties dient op te volgen. De Amerikaanse ‘Cybersecurity and Infrastructure Safety Company’ (CISA) heeft al gewaarschuwd voor een toename van het aantal aanvallen op kritieke infrastructuur en industriële verdedigingslinies through het ‘Shields Up’-initiatief. Dit is de beste bron van de nieuwste informatie van CISA over de huidige standing van het battle. Het ‘Nationwide Cyber Safety Centre’ (NCSC) in het Verenigd Koninkrijk heeft gepubliceerd welke specifieke stappen moeten worden gezet gezien de huidige verhoogde dreigingen. Andere instellingen, zoals de ‘European Community and Info Safety Company’ (ENISA) in de EU, het ‘Bundesamt für Sicherheid in der Informationstechnik’ (BSI) in Duitsland en de ‘Agence nationale de la sécurité des systèmes d’data’ (ANSSI) in Frankrijk hebben waarschuwingen gegeven over deze situatie en de Cyber Unit van de EU is ingezet om Oekraïne te helpen. Het ‘Cyber Safety Centre’ in Australië heeft ook richtlijnen gegeven through een urgente waarschuwing toen de Australische overheid Rusland op 23 februari sancties oplegde. Als u geen specifieke informatie van uw nationale cyberveiligheidsinstanties hebt ontvangen, volg dan onderstaande richtlijnen.
- Neem contact op met de overheid. Zorg ervoor dat u een goed contact hebt met de overheid van elk land waarin uw onderneming een duidelijke aanwezigheid heeft, zodat u weet wie u moet waarschuwen in geval van een incident of van wie u het laatste nieuws over de actuele situatie zult ontvangen. In de Verenigde Staten coördineert InfraGard het delen van informatie met belangrijke leveranciers van infrastructuur. In het Verenigd Koninkrijk wordt informatie verschaft door de ‘Important Nationwide Infrastructure Hub’ van het Britse ‘Nationwide Cyber Safety Centre’ (NCSC) en in de relaxation van Europa wordt die informatie verschaft door equivalente instellingen. Voor organisaties die in de EU zijn gebaseerd, neemt u contact op met uw lokale CSIRT (Laptop Safety Incident Response Workforce) en met CERT (Laptop Emergency Response Workforce). (Een volledige lijst vindt u hier.)
- Stuur een ‘verzoek om informatie’ naar uw leverancier van bedreigingsinformatie. Het beste is als dit nu al deel uitmaakt van uw contract, maar als u daar further voor moet betalen, is deze service zeker de moeite waard. Leg uit wie de doelgroep is voor het rapport, zodat uw leverancier informatie op het juiste niveau kan produceren (voor uw directieleden, voor uw beveiligingsteam, enz.). Het verzoek om informatie moet verder reiken dan de normale overzichten die uw leverancier verschaft en moet specifieke informatie omvatten over uw verticale industrie en de locaties waar uw bedrijf actief is. Bovendien moet u informatie krijgen over de dreigingsactoren en over de tactieken, technieken en procedures (TTP’s) die deze actoren gebruiken.
- Informeer uw senior stakeholders voorafgaand aan het nieuwsbulletin over de huidige bedreigingen en het risico. Cyberveiligheidsincidenten die het nieuws halen, maken senior executives en directieleden vaak erg zenuwachtig, met als gevolg dat u en uw workforce opeens een lawine van paniekvragen moeten beantwoorden. Zorg ervoor dat u goed voorbereid bent, aangezien dergelijke vragen veel tijd in beslag kunnen nemen – tijd die u nodig hebt om een mogelijk incident aan te pakken. Schrijf van tevoren een informatiedocument en zorg ervoor dat het zoveel mogelijk feiten bevat over de algehele externe bedreiging en situatie, de mogelijke gevolgen voor uw organisatie en het algemene risico voor het bedrijf. Maak van deze kans gebruik om uw executives eraan te herinneren welke tactische stappen u hebt ondernomen om de onmiddellijke problemen op te lossen, en hoe uw strategie het bedrijf voorbereidt op dergelijke evenementen, zowel nu als in de toekomst.
- Samenwerking met uw beveiligingsleveranciers. De beveiligingsleveranciers van uw onderneming moeten een proactieve rol spelen bij een grondige voorbereiding op een cyberconflict en uw verdediging. Vertrouw op de accountvertegenwoordigers van uw leveranciers; zij hebben er belang bij om te garanderen dat u de juiste contractueel overeengekomen service ontvangt, of service die specifiek op de betreffende technologie is gericht. Bevestig bij uw productleveranciers de leveringstijden en de automatiseringsopties voor de updates van rulesets en patches; bij managed providers moet u over duidelijke processen en communicatiekanalen beschikken. U moet nu al communicatie ontvangen van uw leveranciers over het battle in Oekraïne. Als u nog geen updates hebt ontvangen, moet u direct contact opnemen met de leverancier, uw vertegenwoordiger, het supportteam, enz. Let vooral op de leveranciers die niet erg responsief waren tijdens Log4Shell, aangezien twee ondermaatse prestaties tijdens een disaster geen vertrouwen wekken.
- Probeer nooit te voorspellen wat natiestaten zullen doen De internationale inlichtingendiensten hebben uitstekend werk geleverd en hebben informatie met elkaar gedeeld om misinformatie en desinformatie tegen te gaan. Zij beschikken over allerlei informatie die u – en wij – niet hebben. En ze laten desondanks soms toch een steekje vallen. Focus op een goede voorbereiding en een verbetering van de bestendigheid van uw onderneming, en probeer niet te voorspellen wat er gaat gebeuren.
- U kunt zich niet op een cyberaanval voorbereiden die al aan de gang is, dat is verspilde moeite. Tandartsen zeggen altijd: “je kunt niet voor een tandartsenexamen blokken”, en dit is web zoiets: het is gewoon te laat om grote technologische veranderingen door te voeren. Daarom is cyberveiligheid een programma en daarom zijn paraatheid en gereedheid zo belangrijk. Als u tijdens een ‘tabletop train’ over processen of communicatie begrijpt dat u iets moet veranderen, doe dat dan, en zorg ervoor dat u alle documentatie bijwerkt.
Dit zijn de volgende stappen
Nadat u bovenstaande stappen hebt uitgevoerd, is dit uw volgende guidelines:
- Bereid u voor op meer misinformatie en desinformatie. Misinformatie en desinformatie waren schering en inslag voorafgaand aan dit battle. Aantijgingen over geënsceneerde kabinetsvergaderingen lange tijd nadat de beslissingen waren genomen, zijn daar een voorbeeld van. Op 3 februari voorspelde de VS dat Rusland nepvideo’s zou gebruiken als voorwendsel voor een invasie. Open supply intelligentieonderzoekers hebben een video geanalyseerd die twee weken later werd gepubliceerd, wat bewijst dat de VS gelijk hadden. Deze video’s hebben twee doelen: de interne ondersteuning voor een invasie versterken en de buitenlandse verhalen vertekenen. In Frankrijk, India, het VK en de VS zeiden deelnemers aan onze World Belief Crucial Survey uit maart 2021 dat ze hun werkgevers meer vertrouwen dan hun nationale en lokale leiders. Dit betekent dat de informatie die uw veiligheidsteam levert heel erg belangrijk is. Zorg er dus voor dat uw incidentresponsplannen en hun communicatie-elementen gebruiksklaar zijn.
- Overweeg beveiligde communicatiehulpmiddelen voor de benodigde veiligheid, privateness en betrouwbaarheid. Bedrijven die zich zorgen maken over de veiligheid en privateness van bedrijfscommunicatie (denk aan afluisteren, blootstelling van de metadata van de communicaties, gegevensverlies of non-compliance) through traditionele kanalen, kunnen stappen ondernemen om hun zakelijke communicatie te beveiligen. Werknemers in en rond Oekraïne zullen waarschijnlijk ook merken dat de communicatie-infrastructuur verstoord is geraakt. Versleutelde bericht- en telefonie-oplossingen zoals Aspect, KoolSpan en Wickr functioneren in omgevingen met een lage bandbreedte. En deze hulpmiddelen zijn geen eenmalige investeringen: u kunt ze gebruiken om uw dagelijkse communicaties te beschermen, als ‘out-of-band’-communicatiekanalen tijdens een incidentrespons en om uw reizende executives beter te beveiligen.
- Ontwikkel uw incidentteam. Het is nu de juiste tijd om een traject te selecteren voor de ontwikkeling van uw uitstekend presterende analisten en beveiligingstechnici in het Safety Operations Middle (SOC). Veel suppliers van incidentresponsservices bieden voor interne groups bedoelde trainingen in responsactiviteiten, forensisch onderzoek en het verzamelen van bewijsmateriaal. Een doelgerichte aanval resulteert gewoonlijk in een complexe en langdurige respons. Werk met uw supplier samen aan de ontwikkeling van een trainingsplan om een workforce van geschikte vervangers te ontwikkelen, zodat uw eerste workforce kan rusten en burn-outs worden voorkomen.
- Let op de apparatuur- en software-hygiëne Dit lijkt mogelijk evident, vooral gezien de typische C2C (comply to attach)-beleidsbepalingen, maar het is nu meer dan ooit belangrijk om uw apparatuur, eindpunten en toepassingen volledig te patchen en up-to-date te brengen. Prioriteer kritieke kwetsbaarheden en alle kwetsbaarheden met een bekende exploit, maar negeer de hoge en medium kwetsbaarheden vooral niet. Een nieuwe aanvaller die allerlei exploits heeft verzameld, kan ertoe overgaan om deze hoge en medium kwetsbaarheden te misbruiken, terwijl de aandacht van de wereld op de oorlog in Oekraïne is gericht. Bovendien is het een goed idee om het hele workforce samen te brengen voor een ‘tabletop train’ over de respons en het patchen van een nieuwe ‘zero-day’ aanval.
Forrester heeft web een uitgebreid rapport over dit onderwerp gepubliceerd: ‘Russia’s Invasion Has Completely Altered The Cyberthreat Panorama’.
Opmerking: Senior Analyst Heath Mullins heeft ook een bijdrage geleverd aan deze blogpost.