Alert State als leiddraad in tijde van dreiging

Verhoogde dijkbewaking in cybersecurity

Direct na de inval van Rusland in Oekraïne, vroegen veel organisaties zich af of ze (tijdelijk) extra cybersecuritymaatregelen moesten nemen.  

Of het nu gaat om een geopolitieke crisis, een incident dat specifiek is voor een organisatie, of de ontdekking van een ernstige kwetsbaarheid, zoals de beruchte LOG4J-exploit: Het kan noodzakelijk zijn om tijdelijk extra beveiligingsmaatregelen te nemen. Deze maatregelen kunnen variëren van overstappen op continue monitoring, het 24/7 paraat houden van cybersecuritypersoneel, tot het beperken van toegang tot bepaalde systemen buiten kantooruren, en het verhogen van de bewustwording bij werknemers met betrekking tot specifieke bedreigingen. 

Helaas ontbreekt bij veel organisaties een gestructureerd systeem voor het beheren van verschillende “waakzaamheidstoestanden” en het nemen van bijbehorende maatregelen tijdens perioden van verhoogd risico. 

Het vormgeven en invoeren van een dergelijk systeem roept belangrijke vragen op over de schaalbaarheid van cybersecuritymaatregelen. Kun je je beveiligingsniveau tijdelijk verhogen tijdens crisissituaties, of neem je het risico om voortdurend tegen maximale capaciteit en hoge kosten aan te lopen? En kun je, na een crisis, veilig terugschakelen naar minder strikte maatregelen? 

In dit artikel introduceren we Alert State: een strategisch model dat als basis kan dienen voor het creëren van een eigen systeem van waakzaamheidstoestanden en de bijbehorende maatregelen. Dit model wordt specifiek afgestemd op de unieke behoeften en kenmerken van jouw organisatie.  

Het implementeren van waakzaamheidstoestanden kan ook dienen als een krachtig hulpmiddel om de bewustwording van beveiliging onder werknemers te vergroten en hen inzicht te geven in waarom bepaalde maatregelen worden genomen tijdens periodes van verhoogde dreiging. 

Om het eenvoudig te houden, stellen we een systeem voor met maximaal vier waakzaamheidstoestanden, elk met bijbehorende maatregelen: 

1. ALERT STATE DELTA: Dit is het niveau van "business as usual," waarbij alle cybersecuritymaatregelen normaal functioneren zonder extra impact op de systeemprestaties of beschikbaarheid. 
2. ALERT STATE CHARLY: Hierbij gaat het om de aanwezigheid van kwetsbare systemen zonder beschikbare patches, maar ook zonder actieve exploits. Maatregelen omvatten het identificeren van kwetsbare systemen, detectie van inbreuken en 24/7 monitoring, met aandacht voor mogelijke impact en hersteltijd, zonder invloed op prestaties of beschikbaarheid. 
3. ALERT STATE BRAVO: Dit niveau duidt op een sterke indicatie dat de organisatie een doelwit is voor actieve dreigingsactoren. Naast de CHARLY-maatregelen, is het noodzakelijk een incident response-plan en een business continuity management-plan te hebben en hierin getraind te zijn. Deze maatregelen hebben geen impact op prestaties of beschikbaarheid. 
4. ALERT STATE ALPHA: Dit is het hoogste waakzaamheidsniveau, waarbij kwaadwillenden, met motivatie en de juiste kennis en middelen, toegang proberen te verkrijgen tot jouw systemen. Dit vereist alle CHARLY- en BRAVO-maatregelen, aangevuld met geavanceerde detectie- en responsmechanismen, segmentatie van het netwerk, geautomatiseerde response en communicatie met werknemers over mogelijke onderbrekingen. 

Door dit model te omarmen en samen aan te passen aan jouw organisatie, verhogen we de digitale weerbaarheid en behouden we tegelijkertijd een flexibele aanpak die kan worden aangepast wanneer veranderende omstandigheden daarom vragen.  

Het is essentieel om deze maatregelen af te stemmen op de specifieke behoeften van jouw organisatie en samen te werken met communicatie- en IT-afdelingen om de huidige waakzaamheidstoestand en bijbehorende maatregelen effectief aan alle betrokkenen te communiceren. Uiteindelijk draait alles om het beschermen van jouw organisatie en het waarborgen van de continuïteit van haar activiteiten in een steeds complexere en bedreigende digitale wereld.