Tesorion bouwt compleet incident response team.
De maakindustrie is met haar omvangrijke intellectuele eigendom kwetsbaar voor (digitale) inbraak. Preventie staat voorop, maar als het toch misgaat is een snelle en adequate respons cruciaal. Tesorion heeft een compleet incident response team, dat wordt ingeschakeld wanneer een cyberaanval een organisatie stillegt. Kerntaken zijn forensisch onderzoek, digitale lekken opsporen en dichten, en zo nodig helpen de communicatie en de emoties te managen.
‘Een aanval roept veel emoties op.’
Tesorion biedt een complete cybersecurity-oplossing voor kantoor, fabriek, cloud, mobiele devices en IoT. De dienstverlener telt 160 cybersecurityspecialisten op vier locaties en is vorig jaar ontstaan uit drie gevestigde bedrijven: Ideas to Interconnect, Nováccent en Quarantainenet. Belangrijk onderdeel van de dienstverlening is de snelle respons bij incidenten. Een incident response team is al volop operationeel en wordt tegelijkertijd nog verder uitgebouwd, meldt Lodi Hensen. Zo staat het behalen van een internationale certificering op de agenda, evenals het verkrijgen van de vergunning voor particulier recherchebureau. Dat laatste om ook onderzoek te mogen instellen naar personen, onder wie bijvoorbeeld medewerkers die verdacht worden van betrokkenheid bij een hack.
Digitaal forensisch onderzoek
Hensen volgde opleidingen voor digitale recherche en integrale veiligheid en deed ervaring op met (digitaal) onderzoek naar fraude, vermissingen en spionage, inclusief observaties. Bij Tesorion leidt hij nu het incident response team. ‘Wij springen bij in geval van cyberincidenten, bijvoorbeeld als een bedrijf plat ligt door een ransomware-aanval (waarbij hackers beloven door hen versleutelde bestanden vrij te geven na betaling van losgeld, red.). Ook helpen wij bedrijven op basis van opsporings- en inlichtingendiensten melden dat hackers zouden zijn binnengedrongen. Bijvoorbeeld als een bedrijf van dergelijke dienst een tip heeft gekregen. We zoeken naar digitale sporen die wijzen in de richting van een bepaalde actor en doen digitaal forensisch onderzoek om data zeker te stellen, te bepalen of de aanval nog steeds gaande is en hoe die is begonnen.’ Denk aan een medewerker die per ongeluk een verkeerde link heeft geopend of besmette bestanden heeft gedownload, of een server of firewall die verkeerd geconfigureerd stond. ‘We monitoren het internet: of er bijvoorbeeld op Twitter al berichten verschijnen over de inbraak, of dat er bestanden met unieke kenmerken van de klant worden aangeboden, bijvoorbeeld op het dark web. De data die wij verzamelen, zoals ip-adressen van de aanvallers, zijn ook interessant voor de politie. Uiteraard doen we alles in samenwerking met onze opdrachtgever, want we delen geen data zonder diens toestemming.’
Crisisteam opschalen
Met alle verzamelde informatie kan het team de scope van een incident bepalen. ‘Als we die nog niet kennen, heeft het weinig zin om back-ups te installeren en weer online te gaan met de bedrijfssystemen. Ik heb meegemaakt dat de stekker er weer inging terwijl wij nog niet klaar waren met onze analyse; de aanval kwam meteen terug.’ Gelet op de impact op de business is snelheid cruciaal, beseft Hensen. ‘We zijn 24/7 bereikbaar voor de eerste triage: wat is de ernst van een incident, wat heeft het bedrijf zelf al gedaan, kunnen wij helpen, hebben zij de situatie al ‘bevroren’ en vragen ze ons voor de analyse? Zo ja, dan schalen we snel een crisisteam op, waarin naast it-experts onder anderen juristen zijn opgenomen. Met ons multidisciplinaire team bieden we ook ondersteuning voor het crisismanagement en de interne en externe communicatie, bijvoorbeeld met klanten over vertraagde orders.’ Psychologie komt eveneens van pas. ‘Is een bedrijf door een aanval getroffen, dan roept dat veel emoties op.’
Nederlands bedrijf
Een groot gevaar zijn de ‘stille’ hackers, die in een netwerk waar ze hebben ingebroken eerst eens rustig rondkijken. ‘Op de financiële afdeling kijken hoeveel een bedrijf zou kunnen betalen, de back-ups verwijderen en de anti-virussystemen uitschakelen. En dan pas bestanden versleutelen en de ransom-eis op tafel leggen. Wij zullen een klant nooit adviseren om te betalen, want we willen criminaliteit niet stimuleren en je weet ook niet of je je bestanden wel terugkrijgt. Maar de klant kan zich soms zo in de hoek gedreven voelen dat ie toch betaalt.’ Al moet een bedrijf in de eerste plaats voorkomen dat het gebeurt. ‘Zorg voor goede back-ups en sla die offline op, zodat digitale inbrekers er niet bij kunnen. Er zijn genoeg bedrijven die de beveiliging niet goed op orde hebben en iets als two-factor authentication niet kennen. Dat kun je eenvoudig met een vinkje instellen. Het zal in het begin in de eigen organisatie wat problemen veroorzaken, maar het maakt het voor aanvallers wel moeilijker om binnen te komen. Dan zijn er altijd nog mensen die in phishing trappen en op een foute link klikken. Daar is qua bewustwording nog een weg te gaan.’
Een actuele stimulans voor de cybersecurity-bewustwording is de discussie over de netwerkapparatuur van Huawei met vermeende afluisterachterdeurtjes. ‘Bedrijven beseffen dat ze beter moeten kijken met welke leveranciers van apparatuur en software ze samenwerken. Wat dat betreft geeft het sommige bedrijven toch een goed gevoel dat wij een compleet Nederlands bedrijf zijn.’