Nadat de EU Rusland kwalificeerde als terroristische staat, werden de systemen van de EU gelijk bestookt met cyberaanvallen. Containergrootheid Maersk kwam in het nieuws en in zwaar weer doordat een van hun servers gegijzeld werd. En DNB wordt elke 10 seconden digitaal aangevallen.

In Goedemorgen Legal People hebben we het dit keer over cybersecurity, een actueel en urgent onderwerp dat elke onderneming raakt. Wat gebeurt er als het misgaat? Wat zijn de (juridische) consequenties? En heeft jouw organisatie het eigenlijk wel digitaal op orde? We bespreken het met expert én ervaringsdeskundige Jaap Remijn, COO/CIO, voormalig Group Chief Operating Officer Travelex, Independent Board Advisor en Lid RvC Brand New Day. Monique van Dijken Eeuwijk – Advocaat-Partner bij MGM Regulatory & Governance, voormalig advocaat Nauta Dutilh, meervoudig commissaris – duidt de juridische kant van de zaak.

Travelex onder vuur

Jaap Remijn werd op oudejaarsdag 2019 gebeld met alarmerend nieuws. Medewerkers van Travelex, bekend van de geldwisselkantoren, kregen bij het opstarten van hun computer een zwart scherm te zien met de boodschap dat hun systemen gegijzeld waren, inclusief een telefoonnummer om contact op te nemen met de gijzelnemers. Wat nu?

Jaap nam zijn verantwoordelijkheid als Group COO en begon aan een reddingsoperatie die uiteindelijk acht maanden zou duren. Terugkijkend benoemt hij vijf fases die in dat traject doorlopen werden en die in het algemeen gelden voor soortgelijke situaties.

Fase 1: bewustwording en crisiscommunicatie

Het wordt snel duidelijk dat er meer aan de hand is dan laptops die niet opstarten. Het virus zit diep in de systemen en de hele applicatiestructuur ligt plat. Geen enkel endpoint werkt meer. Het beeld wordt helder, maar er over communiceren is lastig. Het is oudjaar en dat is geen toeval. Daarnaast is het enige werkende communicatiemiddel de mobiele telefoon met de daarin opgeslagen contacten. Hiermee wordt – zo goed en kwaad als het gaat – een crisiscommunicatiestructuur opgezet.

Fase 2: de schade beperken

Het is lastig om de schade te beperken. Alles gebeurt onder enorme tijdsdruk. Er moeten veel beslissingen genomen worden op basis van weinig informatie. Die beslissingen hebben bovendien grote consequenties. Als voorbeeld: Travelex sluit het hele Asia Pacific netwerk af van de hoofdstructuur. De impact op de business laat zich raden. De focus ligt op techniek, processen en de business. Ondertussen wordt de communicatie met verschillende toezichthouders meer en meer van belang, Ook de communicatie naar de medewerkers en andere stakeholders moet onderhouden worden, net als die naar de pers.

Fase 3: assessment van de impact

Na de eerste crisisrespons is de vraag: Wat kunnen we nog? En wat kunnen we niet? Hoe groot is de schade? Kunnen we het zelf herstellen? Welke scenario’s zijn er? Er zijn maar drie smaken in het herstel: alles herstellen op basis van business continuity maatregelen (backup en recovery), alles opnieuw opbouwen of de gijzelnemers betalen. Hoewel het er op lijkt dat je nog kan nadenken over welke zet je gaat doen, sta je eigenlijk al schaakmat. Vaak is het virus al maanden voor de daadwerkelijke aanval actief binnen de systemen. Backups zijn daardoor onbruikbaar en daarbij is er vaak gevoelige informatie naar een externe locatie gekopieerd.
Om toch tot een keuze te komen is er discussie nodig. Helaas verloopt die zelden soepel. Eenmaal in de situatie moet je beslissingen nemen samen met mensen die minder affiniteit met de problematiek hebben of de impact niet goed kunnen inschatten. Het is een zwaar besluitvormingsproces waarmee je tijd verliest die je eigenlijk niet hebt.

Fase 4: uitvoeren van recovery

In de casus van Travelex gebeurde de recovery van achter naar voren. Dus niet eerst aan de kant van de klant, maar aan de kant van de eigen processen. Zodoende konden bankrekeningen weer bereikt worden, de eigen mensen betaald worden en HR-systemen weer in de lucht gebracht worden. Veel beslissingen hierbij werden on the flight genomen. Een tijdrovend en kostbaar proces, ook omdat er vaak sprake is van verouderde (kern)systemen die zich moeilijk laten herstellen.

Fase 5: aftercare

Tijd om puin te ruimen en alle processen weer op orde te krijgen. Ook deze fase vraagt tijd. Zo was de Universiteit van Maastricht nog maanden na de beëindiging van de gijzeling bezig met herstel.

Lessons learned

Om te beginnen: communiceer snel en blijf communiceren, zowel in- als extern. Denk daarbij aan de inhoud: er is een verschil tussen wat je kan en moet communiceren. Zo wil een toezichthouder wel weten welke capabilities weer actief zijn en niet welke IT assets weer draaien.
Besef daarnaast dat een cyberaanval geen puur IT-probleem is, maar een bedrijfscontinuïteitsprobleem. Zorg dat de businesskant betrokken is om te zorgen voor de juiste beslissingen. De belangrijkste les is waarschijnlijk: bereid je organisatie voor. De vijf fases kan je van te voren doorlopen en oefenen. Zo kan je efficiënte beslissingen nemen op het moment dat de druk hoog is.

Een gewaarschuwde organisatie

Ook Monique erkent dat een goede voorbereiding het halve werk is. Die voorbereiding kan gericht zijn op het voorkomen van een aanval, maar het genezen van een infectie is misschien wel belangrijker. ‘Als ze naar binnen willen, dan komen ze binnen’, dat geldt ook in de digitale wereld. De voorbereiding begint bij het agenderen van de risico’s bij de top van de onderneming. Hierbij zijn twee lijnen te volgen: er is die van bedrijfscontinuïteit en die van wet- en regelgeving. Beide zijn van belang en zijn te gebruiken. De noodzaak is er, want cyberaanvallen komen in elk soort organisatie voor. Bedenk daarbij dat een aanval op een toeleverancier of andere speler in de supply chain veel impact kan hebben op de gehele keten. De strenger wordende wet- en regelgeving is niet alleen een last. Aan de ene kant werken de toezichthouders met steekproeven en (hoge) boetes, aan de andere kant fungeren ze als partners die organisaties challengen en motiveren om hun zaken op orde te krijgen. In governance zal de stap gezet moeten worden om cybersecurity als bedrijfsbreed risico te zien. In de nieuwe corporate governance code is cybersecurity expliciet benoemd, met een actieve rol in toezicht voor de RvC met een verantwoordelijkheid en persoonlijke aansprakelijkheid. Technologie is inmiddels de kern van veel bedrijven, maar ook een onderdeel dat vaak nog niet vertegenwoordigd is in bestuur. Dit zal gaan veranderen, met een rol voor de CISO hoog in de organisatie.