In de hectische wereld van cybersecurity klinkt met regelmaat dat de investeringen in cybersecurity-maatregelen niet opwegen tegen de kosten van een cyberincident. Maar hoe werkt dat en hoe overtuig je het bestuur van jouw organisatie ervan om juist wel te investeren? Enkele zorginstellingen die zijn aangesloten bij Z-CERT, hebben geoefend met een ransomware-simulator om de kosten en baten van ransomware-maatregelen te meten. We delen een aantal bevindingen.
Een spelomgeving maakt het mogelijk om levensechte problemen te onderzoeken, zonder levensechte risico’s te hoeven te nemen. Het laat je sneller resultaat zien en de eventuele nadelen zijn fictief. Vergelijk het met leren vliegen in een Boeing. Dat leer je ook beter - en vooral veiliger- in een simulator!
Met een managementsimulatie kun je diverse ransomware-scenario’s verkennen, zie je de toekomstige effecten van voorgenomen besluiten en krijg je een beter overzicht over verbanden tussen security, bedrijfsvoering en financiën.
Verschillende scenario’s
De ransomware-tool, ontwikkeld door Sander Zeijlemaker, kent drie scenario’s:
- Het beperken van algemene cyberdreigingen.
- Het beperken van de ransomware-dreiging.
- Het beperken van ransomware-dreiging in de veronderstelling dat er losgeld betaald wordt.
De centrale vraag bij deze simulatie is hoe je als de bestuurder van een fictieve organisatie, in een periode van vijf jaar, je effectief kunt beschermen tegen cyberaanvallen. In de simulatie kan je investeren, door jaarlijks een bepaald percentage van je IT-budget aan preventie, detectie en/of response te besteden.
De simulatie begint op een basisniveau met regelmatige maar niet heel krachtige aanvallen door derden. De bevinding is opvallend genoeg dat er een vertraging is tussen het nemen van een besluit om te investeren en de benodigde tijd voordat deze investeringen leiden tot effectieve veiligheidsmaatregelen. Reactief investeren leidt hierdoor tot meer schade, grotere organisatorische risico’s en hogere kosten (zie figuur 1).
Ook blijken er verschillende investeringsstrategieën te zijn die leiden tot dezelfde winst met een ander risicoprofiel en andersom.
Leren van ransomware
Wanneer je de simulatie op een hoger moeilijkheidsniveau speelt, word je geconfronteerd met meer onvoorspelbaarheid. De deelnemer krijgt daarbij ook een mogelijkheid om te investeren in maatregelen die de organisatie helpt te herstellen van de gevolgen van cyberaanvallen.
Een belangrijke conclusie hier is dat, als er losgeld wordt geëist en je betaalt voor ransomware, de aanvaller je dan ziet als een ‘tevreden klant’. Je krijgt na betaling immers weer toegang tot de bestanden. Dit betekent wel dat het risicoprofiel omhoog gaat, omdat de aanvaller mogelijk een nieuwe poging tot afpersing overweegt. Ook kan het zijn dat, na betalen van losgeld, je niet altijd volledig toegang krijgt tot de bestanden, waardoor herstelinspanningen alsnog nodig zijn.
Alleen toereikende investeringen in cybersecurity leiden ertoe dat het betalen voor ransomware optioneel kan zijn (zie figuur 2). Belangrijk is dus, dat je bij de krachtige ransomware-aanvallen verspreiding moet proberen te voorkomen. Bijvoorbeeld via netwerksegmentatie en ‘anomaly detection’ (detectie op basis van afwijkend gedrag op: het niveau van netwerk en op IT-apparaten).
Goede investeringsbeslissingen
Het maken van goede investeringen in cybersecurity is makkelijker gezegd dan gedaan. Besluitvormers hebben immers te maken met veel complexiteit. Ten eerste zijn er steeds weer innoverende aanvallers, de imperfecties in beveiliging bevorderende technologie en onvolkomenheden in menselijk gedrag.
Ten tweede is er de dynamiek van een veranderende organisaties (in termen van personeel, technologie, processen en leveranciers). Ook het wijzigen van bestuurlijke prioriteiten en plotseling opkomende incidenten maken investeren in cybersecurity een uitdaging.
In totaal zijn er 249 spelresultaten van 25 cybersecurity strategieën uit de gezondheidszorg vergeleken. Acht op de tien cybersecurity-experts waren in staat om zich goed te beschermen tegen ransomware. Maar om dat doel te bereiken, hadden de deelnemers wel bijna drie simulaties nodig. Oefenen met simulaties is 100 procent zeker een rendabele investering.
CV
Dr. Sander Zeijlemaker is Research Affiliate Cybersecurity bij MIT CAMS, agenda contributor bij het World Economic Forum, president van de Security, Stability and Resilience special interest group van de System Dynamics Society, en Directeur – Eigenaar van Disem Institute.
Edwin Feldmann is communicatieadviseur bij stichting Z-CERT.