Regie houden als het misgaat bij een cyberaanval

De afgelopen weken laten opnieuw zien hoe snel het kan misgaan. Niet alleen bij grote namen, maar bij organisaties die hun IT prima op orde dachten te hebben. Basic-Fit, Booking.com, ChipSoft. Drie verschillende sectoren, hetzelfde patroon. Systemen draaiden, processen liepen, tot iemand binnenkwam die niet gezien werd. En pas uren of dagen later werd duidelijk wat er echt gebeurd was. De schade? Die belandt vrijwel altijd bij de klant of patiënt.

“Wij zijn klein, dus niet interessant” is een gevaarlijke misvatting

Bij het zien van dit soort voorbeelden denken veel MKB-organisaties automatisch: dit gaat over grote bedrijven. Wij zijn klein, dus wij vallen niet op. In de praktijk werkt het precies andersom. Hackers kiezen hun slachtoffers zelden vooraf bewust uit. Ze schieten met hagel. Geautomatiseerd, op grote schaal, op zoek naar ingangen die openstaan of net niet goed zijn afgedicht.

Pas nadat ze binnen zijn, verdiepen ze zich in hun slachtoffer. Hoe belangrijk zijn de systemen voor de bedrijfsvoering? Kunnen we activiteiten stilleggen? Hoeveel losgeld is realistisch? En misschien nog wel belangrijker: geeft deze organisatie toegang tot grotere klanten, leveranciers of ketenpartners? Veel kleinere MKB-bedrijven zijn voor aanvallers juist laag hangend fruit. Minder aandacht voor security, minder monitoring en vaak geen plan voor als het misgaat.

Het verschil is niet dat de kleinere organisaties niet interessant zijn voor cybercriminelen, ze zijn niet interessant voor de media. Daardoor lees je op het internet eigenlijk alleen over de incidenten bij hele grote organisaties die wij als consument allemaal kennen.

Cybersecurity incidenten gaan verder dan IT

Een cyberincident stopt al lang niet meer bij de IT-afdeling. Zodra gegevens uitlekken of systemen uitvallen, voelen klanten en gebruikers de gevolgen. Denk aan phishing, identiteitsfraude of diensten die tijdelijk niet beschikbaar zijn. En hoe digitaler organisaties worden, hoe groter dat keteneffect. Juist daarom is cybersecurity geen technisch vraagstuk meer, maar een verantwoordelijkheidsvraag. Voor directie, voor bestuur en voor de hele organisatie.

Dat is precies waarom de Europese Unie NIS2 heeft geïntroduceerd. Niet om organisaties lastig te vallen, maar om een minimale basis af te dwingen. NIS2 gaat over drie dingen: je basisbeveiliging aantoonbaar op orde hebben, risico’s in je leveranciersketen beheersen en voorbereid zijn op incidenten. Dus niet alleen voorkomen wat je kunt voorkomen, maar ook weten wat je doet als het toch misgaat. Want zonder voorbereiding komt de schade onvermijdelijk terecht bij de eindgebruiker.

Wat doet jouw organisatie als het mis gaat?

Hoe goed je IT ook is ingericht, geen enkele oplossing is 100% waterdicht. Ook niet als je je basisbeveiliging aantoonbaar op orde hebt. In een eerdere blog lieten we zien hoe we met het CIS Framework de kans op cyberincidenten aanzienlijk verkleinen. Maar aanvallers maken steeds vaker gebruik van gestolen inloggegevens, slimme timing en menselijk gedrag. Het verschil wordt daarom niet gemaakt door één tool, maar door snelheid. Zie je afwijkingen op tijd? Grijp je direct in? Kun je schade beperken voordat die zich uitbreidt? Dat vraagt om continu toezicht, ook buiten kantooruren.

Minstens zo belangrijk als beveiliging, is het plan voor het moment dat het fout gaat. Wie neemt beslissingen? Wie bel je als eerste? Wat communiceer je wel en juist niet? Welke systemen moeten prioriteit krijgen zodat de organisatie kan blijven draaien? Zonder heldere afspraken ontstaat onrust en vertraging. Met een praktisch continuïteitsplan creëer je rust, overzicht en richting op het moment dat de druk hoog is.

Hoe BK IT Solutions 24/7 ingrijpt als het toch misgaat

Bij BK IT Solutions zien we cybersecurity niet als iets dat je “instelt”, maar als iets dat continu aandacht vraagt. Daarom waken we met onze 24/7 Managed Detection & Response dienst dag en nacht over de IT-omgevingen van onze klanten. Niet alleen tijdens kantooruren, maar juist op de momenten waarop aanvallers graag toeslaan: ’s avonds, ’s nachts en in het weekend.

Concreet betekent dit dat we continu meekijken naar wat er gebeurt in accounts, applicaties en op apparaten. Niet om alles onnodig dicht te zetten, maar om afwijkingen te herkennen die niet passen bij normaal gebruik. Zodra zo’n signaal binnenkomt, wordt het beoordeeld en waar nodig direct opgevolgd, zonder eerst te wachten tot iemand maandagochtend een melding ziet.

Zo letten we bijvoorbeeld scherp op afwijkend inloggedrag. Denk aan situaties waarin iemand zich aanmeldt vanaf een locatie of tijdstip dat totaal niet past bij de gebruiker. Als een account inlogt vanuit Nederland en korte tijd later vanaf de andere kant van de wereld, grijpen we direct in. Het account wordt geblokkeerd en onderzocht voordat er verdere schade kan ontstaan. Zo voorkomen we dat een aanvaller rustig kan rondkijken, rechten kan verhogen of data kan kopiëren.

Niet elke aanval ziet eruit als een duidelijke hack. Vaak gaat het om legitieme acties op het verkeerde moment of in de verkeerde volgorde. Bijvoorbeeld een applicatie die ineens grote hoeveelheden data benadert, een laptop die onverwacht processen start, of een gebruiker die handelingen uitvoert die niet passen bij zijn rol.

Met MDR kijken we naar dat gedrag in samenhang. Als activiteiten verdacht worden, maar nog niet duidelijk kwaadaardig zijn, kunnen we alsnog direct ingrijpen. Zo kan een laptop tijdelijk worden geïsoleerd van het netwerk. De gebruiker kan dan blijven werken, terwijl een mogelijke aanval zich niet verder kan verspreiden naar andere systemen of accounts. Dat geeft tijd en rust om te onderzoeken wat er echt aan de hand is.

Rust voor onze klanten, ook als het spannend wordt

Dit alles gebeurt 24/7, in nauwe samenwerking met onze storingsdienst. Klanten hoeven dus niet zelf te monitoren, te twijfelen of te escaleren. Wij doen dat. Met onze MDR-dienst signaleren we afwijkingen, grijpen we direct in waar nodig en houden we overzicht terwijl het incident zich ontwikkelt. MDR is daarom bij ons geen losse extra dienst, maar standaard onderdeel van onze Gold- en Platinum dienstverlening. Omdat continu toezicht, snelle actie en duidelijke opvolging geen luxe zijn, maar basisvoorwaarden voor moderne cybersecurity.

Maar echte rust ontstaat pas als ook vooraf is nagedacht over wat er gebeurt na de detectie. Want op het moment dat het spannend wordt, wil je niet eerst bedenken wie je moet bellen, wat je wel of juist niet communiceert en welke systemen prioriteit hebben. Daarom helpen we klanten met een praktisch continuïteitsplan.

In dit plan leggen we samen vast wie welke beslissingen neemt tijdens een incident, wie als eerste wordt gebeld, welke partijen moeten worden geïnformeerd en welke acties juist niet moeten worden uitgevoerd. Denk aan duidelijke instructies zoals systemen niet uitschakelen om onderzoek niet te verstoren, of het tijdig isoleren van apparaten om verdere verspreiding te voorkomen. Ook staan er vaste belstructuren in, zodat niemand hoeft te zoeken op het moment dat elke minuut telt.

Het doel is simpel: voorkomen waar het kan, ingrijpen waar het moet en altijd zorgen dat de impact zo klein mogelijk blijft. Door 24/7 MDR te combineren met een helder continuïteitsplan ontstaat overzicht, rust en regie. Zo blijft jouw organisatie functioneren, zelfs als het misgaat, en voorkom je dat jouw klanten de dupe worden.

Regie en rust binnen jouw organisatie

Cybersecurity draait vandaag niet meer alleen om techniek, maar om regie. Om weten wat je doet als het misgaat, wie er aan zet is en hoe je rust bewaart terwijl de druk toeneemt. Mede met onze 24/7 Managed Detection & Response dienst en een praktisch continuïteitsplan helpen wij organisaties om die regie te pakken. Niet door alles dicht te timmeren, maar door overzicht te creëren, snel te handelen en samen de juiste keuzes te maken op het moment dat het erop aankomt.

Wil je een IT-partner die meedenkt , verantwoordelijkheid pakt en zorgt voor rust binnen jouw organisatie? Dan gaan we graag met je in gesprek.