Minutes to Meltdown: Wat doe jij als een cyberattack je bedrijf lamlegt?
Een cyberattack – het is niet meer de vraag of, maar wanneer je er mee te maken krijgt. Welk onderzoek je ook leest, het aantal cyberattacks stijgt wereldwijd explosief. Het World Economic Forum stelt op basis van onderzoek door Cybercrime Ventures, dat er in 2023 wereldwijd 2220 cyberattacks per dag waren. Dat zijn maar liefst 810.000 aanvallen per jaar. De gemiddelde kostenpost van een aanval stijgt ook snel en loopt volgens IBM’s jaarlijkse Cost of Data Breach Report nu al tegen de 5 miljoen dollar aan. En de werkelijke aantallen liggen waarschijnlijk nog veel hoger.
Het is dus geen wonder dat het hoog op de agenda van managementteams staat. Events die hier bewustzijn voor creëren zijn daardoor populair. Zo ook Minutes to Meltdown, een evenement waarbij deelnemers een real-time cyber attack met de bijbehorende intensiteit en stress ervaren. Ze moeten nadenken over echte vraagstukken en beslissingen nemen om hun bedrijf te beschermen, maar vooral ook ervaren hoe elke beslissing telt. Deelnemers krijgen te maken met vingerwijzen, zoals een CEO die tegen de CISO uitvalt: “Hoe kan het dat we 20 miljoen dollar uitgeven aan cybersecurity, maar toch gehackt zijn?” Maar ook met praktische obstakels, zoals een recoveryplan dat onbereikbaar is omdat het op een gegijzelde server staat.
Onheilspellend
Het event spreekt enorm tot de verbeelding. De deelnemers zitten aan een tafel in een donkere bunker waar ooit vliegtuigen van de Nederlandse luchtmacht stonden. Er wordt een heuse cyberaanval in scène gezet. Dat wordt nog een beetje aangedikt want de ruimte is gevuld met rook, alarmlichten knipperen op volle toeren en er is geen internet. Rondom de tafel zitten fictieve collega’s uit het leiderschapsteam, die voor deze gelegenheid de rol van CEO, CTO, CLO en CISO op zich nemen bij het denkbeeldige bedrijf Intercontinental Airlines (IC).
Dit bedrijf, sinds 2005 actief en genoteerd aan de NASDAQ, heeft 50.000 medewerkers. Vandaag gaat het over hun veiligheid – of het gebrek daaraan. Op een scherm verschijnt een video. Het is de hacker, vermomd als een griezelige clown, die zijn eisen stelt en geen ruimte voor twijfel laat: jullie systemen zijn gegijzeld, en binnen 48 uur moet er 20 miljoen dollar in bitcoins worden betaald. De (financiële) druk is direct voelbaar, want geen van de systemen, inclusief het boekingssysteem, werkt nog.
De rollen zijn dan al toebedeeld, maar iedereen speelt een andere functie dan in het dagelijks leven. Elke deelnemer heeft een boekje met informatie over die nieuwe rol, en als team moeten ze de aanval zien te overleven. Zo werkt de CTO, het technische brein binnen de organisatie, al vanaf het begin bij de vliegtuigmaatschappij. Hij zit tijdens de aanval echter in Spanje, zonder internetverbinding.
De eerste vraag dient zich aan: hoe communiceer je met de hacker?
Moet je communiceren met criminelen?
De deelnemers krijgen vier scenario’s voorgeschoteld, en debatteren over de risico’s van elk scenario. Kan je onderhandelen met criminelen? Welk communicatiekanaal gebruik je? Welke psychologische methodes pas je toe? Of is het juist beter om helemaal niet te praten en de boel te laten escaleren?
In deze simulatie wordt pijnlijk duidelijk hoe kwetsbaar bedrijven zijn. Het antwoord is even verontrustend als eenvoudig: hackers zijn geslepen, hebben niets te verliezen, zijn geduldig en slaan op het juiste moment toe. Elke seconde dat de aanval voortduurt, kost het bedrijf zowel geld als reputatie.
Media-aandacht en reputatieschade
Dan komt het tweede vraagstuk: de aanval is nu publiekelijk bekend, en de kritiek is niet mals. Experts speculeren dat de systemen weken of zelfs maanden plat zullen liggen. Gegevens van duizenden medewerkers en klanten zijn mogelijk gelekt. Wat doe je als CEO in zo’n situatie?
Tot de keuzes behoren: herstellen met een recente back-up, onderzoek doen naar de oorsprong van de aanval, of een schone omgeving creëren in de cloud. Elk scenario heeft zijn eigen voor- en nadelen. De back-up klinkt als een snelle oplossing, maar tegelijkertijd weet je niet welke gegevens verloren zijn gegaan. Onderzoek vertraagt het herstel, maar biedt wel zekerheid. En een schone omgeving bouwen? Dat is tijdrovend, maar geeft wel de garantie van een betrouwbare herstart.
To pay or not to pay: het dilemma van ransomware
Tot slot komt het onvermijdelijke dilemma: betaal je het losgeld of niet? Betalen geeft geen garantie dat de hackers je data teruggeven. Sterker nog, 60 procent van de bedrijven die betaalt, wordt binnen 30 dagen opnieuw aangevallen. Maar niet betalen betekent mogelijk maandenlange stilstand en enorme financiële schade.
Er is geen eenvoudig antwoord. De CISO pleit voor herbouwen en het creëren van een veilige omgeving, terwijl de CEO zich zorgen maakt over de directe impact op de bedrijfsvoering. Een ding wordt in deze sessie duidelijk: de tijd werkt niet in het voordeel van het bedrijf en de dilemma’s zijn confronterend.
Lessen uit de bunker: ben jij klaar voor een cyberaanval?
De Minutes to Meltdown-sessie laat deelnemers niet alleen de druk van een cyberaanval voelen, maar ook de realiteit onder ogen zien: het is niet de vraag of je bedrijf gehackt wordt, maar wanneer. Hoe goed je voorbereid bent, bepaalt hoe je de aanval doorstaat.
Verwacht wordt dat de schade door cybercriminaliteit in 2025 oploopt tot een bedrag van 10,5 biljoen dollar. En als bedrijf wil je die schade zo beperkt mogelijk houden.
De drie belangrijkste lessen? Eén: een aanval gaat gebeuren. Twee: voorbereiding helpt om sneller te herstellen. En drie: het is een teaminspanning.
Kortom, je kunt niet zomaar vertrouwen op je beveiliging. Een goed plan en goede voorbereiding, frequent testen en samenwerking tussen de juiste experts maken het verschil tussen een spoedig of moeizaam herstel – en zelfs tussen overleven en ondergang.
Door: Chris Herben, Field Marketing Manager Benelux bij Commvault
