Bedrijf gehackt, wat moet je doen?

Deze week vond in Den Haag het GSMA Mobile 360 series-congres plaats. Met als hoofdthema privacy en security had het congres voor BTG veel interessants te bieden. In deze case: wat doe je als je bedrijf gehackt wordt?

gsma 360 series

Voorbeelden hacks

De voorbeelden van hacks waren legio tijdens het congres. Een gulden greep: een bank uit Oman waarbij op vele plekken ter wereld midden in de nacht via een truc de gelddrukkers wereldwijd begonnen te produceren, waarbij 40 miljoen dollars in korte tijd werd buitgemaakt. Een Finse bank die een week niet met zijn klanten kon communiceren. Organisaties waarbij vele pc's werden geïnfecteerd zonder dat men het in de gaten had. En een financiële instelling die in één klap 80 miljoen klantrecords verloor.

Wat te doen bij een hack of DDoS-aanval

Een hack levert over het algemeen gigantische stress bij een bedrijf dat niet goed voorbereid is op zo’n aanval. Veel bedrijven hebben aanvankelijk immers niet door dat ze gehackt zijn of onder een DDoS-aanval liggen. Men hoort dit bijvoorbeeld via klanten die melden dat het bedrijf niet bereikbaar is. Als een bedrijf geen team of contract heeft om na te gaan wat er aan de hand is, wordt er (soms midden in de nacht) een expert ingeschakeld. Het is vervolgens zeker niet altijd even gemakkelijk om vast te stellen wat er aan de hand is.

Persbericht?

Daarna reist de vraag hoe en wanneer de informatie publiek te maken. Stuur je te vroeg een persbericht, dan loop je het risico dat je nog niet exact weet wat er aan de hand is. Doe je het te laat, dan komt het mogelijk al via andere wegen in de pers terecht. James Hatch, Director Cyber Services bij BAE systems, was zelf al meerdere keren betrokken bij dergelijke incidenten bij zowel overheidsinstanties als particuliere bedrijven in onder andere de financiële sector. Zijn stelling was dat je als bedrijf, zodra de kennis eenmaal publiek, in hoge mate de controle kwijt bent.

Afhankelijk van het feit of de pers het incident oppakt en of niet, kan het enorm escaleren of heel klein blijven. Dit is sterk afhankelijk van het soort bedrijf en vaak van te voren moeilijk in te schatten. Een overheidsinstantie of andere publieke partij (zoals een bank), wordt meestal eerder door de pers opgepakt dan andere bedrijven.

Plan de campagne

Als je als bedrijf besluit om zelf publiek te gaan over het incident, moet je een helder inzicht en plan hebben hoe lang het gaat duren om het probleem op te lossen. De eerste vraag die een managementteam van een getroffen bedrijf moet stellen, is wie er binnen het bedrijf verantwoordelijk is. Veel bedrijven hebben hierover niet nagedacht. Het gevolg is dan dat het hele managementteam letterlijk in de stress zit te vergaderen over welke weg er moet worden ingeslagen.

Advies

Hatch benadrukte ook dat er binnen een bedrijf meerdere gezichtspunten kunnen zijn. De ene manager stelt de klant bovenaan, de andere de compliancy en de derde stelt de vraag wie de dader is. Vooraf moet er helderheid zijn en moeten wat-als-scenario's zijn doorgenomen. Een belangrijk advies: maak binnen een bedrijf één persoon verantwoordelijk voor de besluitvorming en geef hem of haar ook vooraf de middelen om de afweer, procedures, contracten et cetera te regelen.

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

  • Geen evenementen
  • Magazine

    BTG in Business - Voorjaar 2022
    Lees de laatste editie

    Meld je aan voor onze nieuwsbrief!

    Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
    • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.