Actueel

image

Geen paniek, het is een crisis!

Organisaties zijn constant bezig met risicomanagement: ze brengen risico’s in kaart en ondernemen vervolgens stappen om deze te vermijden, mitigeren, over te dragen of te accepteren. Maar wanneer het om digitale risico’s gaat, gaat het vaak heel anders. Mensen verstijven, weten niet wat ze moeten doen en nemen daarom de gemakkelijke weg: ze vergeten het probleem. We zien dit terug in het woord onkraakbaar. Een onkraakbaar wachtwoord of systeem, een onkraakbare website of beveiliging. Wanneer iets niet te kraken is, hoef je ook niet over de risico’s na te denken, toch? En dat is nou precies het probleem!

Cybersecurity

Bovenstaande wijsheid kwam ons ter ore op een symposium over “cybersecurity” op 25 mei, georganiseerd door de Nederlandse Vereniging voor Klinische Informatica. Heel toepasselijk, want dit was ook de datum dat de ‘nieuwe’ AVG privacywetgeving van kracht is gegaan. Brenno de Winter, onder andere bekend van het hacken van de OV-chipkaart, benadrukte het belang van cybersecurity. Of liever gewoon security wat hem betreft, omdat het woord cyber alleen maar meer onduidelijkheid oproept. Zijn verhaal werd bevestigd door Zawadi Done, een ethische hacker die op jonge leeftijd de kluisjes op zijn middelbare school hackte om te laten zien hoe onveilig het systeem was.

We zijn gehackt!

Halverwege de middag, verschijnt een film op het scherm waarin paniek en chaos heerst. We zijn beland in een serious game. Wij, de deelnemers van het symposium, zijn werknemers bij een gemeente en onze leidinggevende vertelt: we zijn gehackt! Al onze bestanden worden na 70 minuten voorgoed gewist. We moeten snel acteren en onze bestanden terugkrijgen. Bovenal willen we de hacker vinden, maar we moeten natuurlijk ook rekening houden met randzaken: medewerkers die op eigen houtje acteren, de pers, overheid (meldplicht) en een verontruste burgermeester.

Nienke wordt als voorzitter aangewezen en een andere deelnemer communiceert de acties naar onze spelleider. We gaan zo snel mogelijk in de ‘oplossingsmodus’. Na 10 minuten hebben we de eerste acties, terwijl we de game binnen 70 minuten moeten oplossen. Hadden we zojuist niet geleerd dat verstijven één van de natuurlijke reacties van de mens bij een crisis is? Met een veel te groot team proberen we democratisch de vervolgstappen te kiezen en voeren we een combinatie van acties uit om de game op te lossen. Tussendoor onderbreekt de spelleider ons regelmatig met dreigfilmpjes van de hacker of telefoontjes van de burgemeester op zijn vakantielocatie, de media en servicedesk. Maar we slaan ons erdoorheen en we pakken de hacker. De bestanden – en daarmee onze gemeente – zijn gered!

Structuur in de chaos van een crisis

Wat hebben wij hiervan geleerd? Eén ding is duidelijk, door de paniek en de chaos hebben we duidelijke signalen richting de oplossing gemist. De oplossing ligt soms letterlijk voor het grijpen, maar we zien deze niet doordat onze aandacht teveel op het probleem en proces gefocust is. Vaak is het goed om afstand te nemen en te bepalen wat er nou echt aan de hand is, om hier vervolgens rustig op te acteren. Laat je niet afleiden! Onze spelleider had ons op een realistische wijze afgeleid van het daadwerkelijk probleem, namelijk onze organisatie en data veiligstellen na de hack. Of de telefoon nou roodgloeiend staat van interne medewerkers of externe media, vergeet niet waar je in eerste instantie mee bezig was.

Het grootste ontbrekende puzzelstuk was een crisisplan. Tijdens het spel was deze niet aanwezig, waardoor je in paniek en tijdsdruk stappen onderneemt terwijl het proces ook coördinatie vraagt. Deze kostbare tijd had anders aan een oplossing besteed geworden. Bij het crisisplan hoort ook een crisisteam dat mandaat heeft en klaar staat wanneer zich ooit een noodsituatie voordoet. Dit team staat bij voorkeur los van het management, zodat ze geen tijd kwijt zijn met rapporteren wanneer hier geen ruimte voor is. En last but not least… oefen crisissituaties. Een makkelijke manier om te zien of iedereen de afspraken kent en hiernaar kan handelen.

Ben jij voorbereid op een crisis?

Zorg voor een goede bescherming van je gegevens en neem cybersecurity net zo serieus als elke andere vorm van risicomanagement. “If you think safety is expensive, try an accident”. Maar, wees ook voorbereid en raak niet in paniek. Hoe goed je bescherming ook is, er is altijd kans dat er iets fout gaat. Ben jij voorbereid op een crisis?

Bij SeederDeBoer vinden we databescherming interessant en relevant. Daarom volgen we de ontwikkelingen op de voet. Bent u benieuwd naar de mogelijke toepassingen van data in uw organisatie? Neem contact met ons!