In het huidige klimaat van internationale spanningen wordt Frankrijk getroffen door een groot aantal cyberaanvallen. De gevolgen van deze aanvallen kunnen desastreus zijn voor bedrijven, variërend van het lamleggen van de activiteiten tot het verlies van gegevens. gegevensdiefstal gevoelig. Cyberaanvallen zijn een bron van stress, bemoeilijken de besluitvorming van IT-managers en beperken hun impact. Anticiperen wordt een noodzaak. Hoe bereid je je voor op een crisis? En hoe reageer je als het eenmaal gebeurt?
“ Er zijn twee soorten organisaties: organisaties die al slachtoffer zijn geworden van een cyberaanval en organisaties die dat binnenkort zullen worden. "Guillaume Poupard, directeur-generaal van het Franse nationale agentschap voor de beveiliging van informatiesystemen (Anssi).
Een cybercrisis kan op twee manieren worden aangepakt: of je pakt het aan, met alle risico's van noodmaatregelen, of je anticipeert erop. Helaas wijst de cyberbeveiligingswaakhond op het gebrek aan vooruitziendheid bij bedrijven. Daarom dringt Anssi er bij hen op aan om preventieve maatregelen te nemen. Het agentschap heeft vijf prioritaire maatregelen geïdentificeerd die op korte termijn moeten worden geïmplementeerd om voorbereid te zijn op elke eventualiteit.
1. Verificatieprocedures versterken
De meest gevoelige accounts, die van de beheerders van het informatiesysteem (IS) van het bedrijf en die van de meest blootgestelde personen (management, senior executives, etc.) moeten worden versterkt. Anssi raadt aan om sterke twee-factor authenticatie te implementeren.
Om toegang te krijgen tot het netwerk moet je bijvoorbeeld een sterk wachtwoord combineren met een hardwareapparaat (smartcard, USB-token, magneetkaart, enz.). Op zijn minst kan een per sms ontvangen code worden gebruikt als tweede identificatiemiddel.
Dit twee-factor authenticatiesysteem bestaat al sinds 2019 voor banken.
2. Meer netwerkbewaking
In het geval van een cyberaanval wordt reactietijd cruciaal. Voorbereiding is daarom essentieel om zo snel mogelijk te kunnen reageren als het zover is. Daarom adviseert Anssi om permanente wereldwijde netwerkbewaking op te zetten. Zo kan een compromis zo snel mogelijk worden geïdentificeerd en aangepakt. Als er geen wereldwijde monitoring is, raadt Anssi aan " centraliseren van logboeken van de meest gevoelige punten op het informatiesysteem "Dit zijn onder andere VPN-ingangen, virtuele desktops, domeincontrollers en hypervisors.
IS security managers moeten alle anomalieën onderzoeken die onder normale omstandigheden genegeerd worden, zoals abnormale verbindingen met domeincontrollers en waarschuwingen van antivirussoftware en -oplossingen. EDR (Endpoint detection and response).
3. Offline back-ups maken van gegevens en toepassingen
Maak "regelmatig back-ups van alle bedrijfsgegevens, inclusief die op bestandsservers, infrastructuurservers en bedrijfsapplicaties", benadrukt Anssi.
Om te voorkomen dat ransomwareBack-ups moeten worden losgekoppeld van het netwerk om versleuteling te voorkomen. De voorkeur moet worden gegeven aan oplossingen voor koude opslag (harde schijven en magnetische tapes).
Back-ups moeten regelmatig worden teruggezet om hun integriteit te waarborgen en fouten tijdens het terugzetten te voorkomen.
4. Identificeer kritieke services
In het geval van een aanval moeten beveiligingsmaatregelen prioriteit krijgen. Om dit te doen, moet je eerst een inventarisatie maken van de digitale diensten van het bedrijf en deze rangschikken op basis van hoe kritisch ze zijn voor de bedrijfscontinuïteit.
Anssi vraagt ook om rekening te houden met de afhankelijkheid van dienstverleners.
5. Crisisbeheer voorbereiden in het geval van een cyberaanval
Een cyberaanval kan de activiteiten van een bedrijf destabiliseren. Ondersteunende functies zoals telefonie en messaging, maar ook bedrijfsapplicaties, worden vaak als eerste buiten werking gesteld. Het bedrijf moet dan in een verslechterde modus werken, soms met het risico om terug te gaan naar pen en papier.
Afhankelijk van de ernst van de aanval kan een cyberaanval een gedeeltelijke of, in de ernstigste gevallen, volledige onderbreking van de bedrijfsvoering veroorzaken.
Het bedrijf zal een crisiseenheid moeten opzetten en een responsplan moeten definiëren dat gericht is op het toepassen van een bedrijfscontinuïteitsplan (PCA) of een IT-herstelplan (PRI). Dit stelt het bedrijf in staat om in een verslechterde modus te werken en systemen en gegevens zo snel mogelijk te herstellen om terug te keren naar een normale situatie.
