Jochem Smit is Senior Crisis Management Trainer bij CCRC en brengt zijn ervaring rechtstreeks mee uit de praktijk van ransomware-incidenten. Bij Northwave ging hij als een van de vier senior crisismanagers mee op grote cyberincidenten. \u201cDat zijn allemaal ransomware cases geweest.\u201d <\/p>\n
In die situaties ligt de bedrijfsinfrastructuur deels of volledig plat en komen organisaties, vaak via hun verzekeraar, razendsnel uit bij externe hulp om weer veilig, schoon en operationeel te worden. In dit interview vertelt Jochem wat hij in het heetst van de strijd ziet gebeuren, waarom oefening het verschil maakt en welke rollen vrijwel altijd ontbreken wanneer het erop aankomt.<\/p>\n
Ransomware-aanvallen beginnen vaak als een IT-probleem, maar veranderen vrijwel meteen in een bedrijfscrisis. Niet alleen vallen systemen uit, maar ook HR, finance en logistiek. Bij \u00e9\u00e9n incident in Duitsland werd hij gebeld toen \u201calles al plat lag: van de financi\u00eble tot de HR-afdeling, en dus ook alles in productie. Dus niks deed het meer.\u201d<\/p>\n
Wanneer je dan binnenkomt, voel je wat dat betekent voor een organisatie. \u201cIk zou bijna zeggen dat 80 procent van de mensen al naar huis gestuurd was, omdat heel veel mensen niets konden doen. Productiehallen waren verlaten; er was \u00e9\u00e9n crisisruimte waar senior managers en bestuur probeerden een overlegstructuur neer te zetten, en de IT-afdeling draaide op maximale toeren. Mensen werden zelfs teruggehaald van vakantie.\u201d <\/p>\n
Daar zit meteen een belangrijk punt van Jochem: veel organisaties onderschatten de schaal en de duur van zo\u2019n situatie. Anderhalve tot 2 weken is best case<\/em> om weer wat controle te hebben, maar het kan ook een maand duren. En voordat alle functionaliteit terug is, praat je over maanden. De crisis is dan niet een korte piek, maar een langdurige belasting van mensen, processen en besluitvorming.<\/p>\n E\u00e9n van de spannendste fricties in vrijwel elk incident zit volgens Jochem tussen security en business. Security wil een \u2018allesomvattende 100 procent zekere oplossing\u2019 neerzetten, maar dat kost tijd, geld en energie. De business kijkt anders: we moeten draaien. Soms omdat productie stilvalt, soms omdat er een overname speelt, soms omdat klantverplichtingen druk zetten. <\/p>\n \u201cDie mismatch is vooral groot. Veiligheid is vaak niet de doorslaggevende factor, maar \u2018zo snel mogelijk weer in productie zijn tegen alle kosten\u2019 wel. Daardoor worden er concessies gedaan: niet alles wordt opnieuw en veilig opgebouwd, maar er wordt gekozen voor \u2018weer werkend krijgen\u2019, ondanks risico\u2019s. De gevolgen kunnen dan enorm zijn.\u201d <\/p>\n Dat is ook precies waarom Jochem oefenen zo belangrijk vindt: omdat dit soort afwegingen niet alleen technisch zijn. Het zijn bedrijfsbesluiten met directe impact op omzet, continu\u00efteit, governance en reputatie.<\/p>\n Wat Jochem het meest raakt in ransomware-incidenten is niet alleen de eerste hectiek, maar vooral wat er daarna gebeurt. Hij vertelt dat zij veel onderzoek hebben gedaan naar de periode na incidenten. \u201cDaaruit blijkt gewoon dat die nasleep vele malen erger is dan wat je eigenlijk in die eerste twee, drie weken meemaakt.\u201d<\/p>\n Mensen houden er vaak slaapproblemen, concentratieproblemen en schuldgevoelens aan over. Soms zijn de gevolgen zelfs extreem. En er zijn mensen die na zo\u2019n ervaring nooit meer terug willen naar een organisatie waar dit opnieuw kan gebeuren. Het leermoment dat daaruit getrokken is hard en praktisch: \u201cJe moet in de crisis mensen beschermen tegen hun eigen \u2018goede bedoelingen\u2019. Bedrijven willen vaak doorduwen, gas geven en denken: morgen zijn we weer online. Maar dat werkt niet zo.\u201d<\/p>\n Jochem gelooft volledig in oefenen. \u201cIedereen die zo\u2019n situatie mee heeft gemaakt zal altijd zeggen: hadden we maar meer geoefend.\u201d Maar hij weet ook hoe lastig het is om stress en urgentie na te bootsen in een veilige trainingssetting. Zijn oplossing: het moet passen bij de mensen tegenover je. \u201cScenario\u2019s hoeven niet \u00e9\u00e9n-op-\u00e9\u00e9n overeen te komen, maar je moet w\u00e9l de vertaling maken naar wat het voor die organisatie betekent. Anders haken mensen af met: dit gebeurt ons niet, dit is niet van toepassing, we zouden het anders oplossen. Dan merk je gewoon dat je mensen niet echt hebt geraakt waar ze de pijn zouden voelen.\u201d<\/p>\n Als het gaat om crisisbesluitvorming, zegt Jochem: \u201cBegin met benoemen wie beslist. Met naam en toenaam. En wijs een back-up aan. Niet automatisch de directeur, maar iemand die de werkvloer snapt en de verantwoordelijkheid kan dragen. Vervolgens train je die persoon op de momenten waarop het misgaat: het eerste signaal, het begin van een incident, het moment dat het klein lijkt maar snel groot kan worden. Dat is precies het moment waarop veel mensen denken: dit is nog klein. Maar dat is ju\u00edst het moment waarop handelen impact kan beperken.\u201d In trainingen laat hij die rol voelen, wat het betekent om bijvoorbeeld productie stil te leggen: wanneer doe je dat wel, wanneer niet, wat zijn de (financi\u00eble) gevolgen, en hoe leg je dat uit?<\/p>\n Wat hij in de praktijk vaak fout ziet gaan, is hi\u00ebrarchie die besluitvorming vertraagt. Keuzes worden omhoog ge\u00ebscaleerd, terwijl die personen er soms te ver vanaf staan. Zijn voorkeur: \u201cIemand in het bedrijf die durft te zeggen: dit is het risico; ik heb een ja of nee nodig. Of zelfs: Ik zeg ja, ben jij akkoord met de gevolgen?\u201d<\/p>\n Tot slot noemt Jochem een rol die hij zelden goed ingevuld ziet, zelfs niet bij corporates met een formeel crisisteam: een dedicated scribe <\/em>(hier zijn meerdere benamingen voor; binnen CCRC gebruiken we de term \u2018logger\u2019). Niet iemand die \u2018ook nog even notuleert\u2019, maar iemand die snapt wat er gebeurt, vastlegt wie wat zegt, welke keuzes volgen en welke acties waar liggen. En die bovendien de intrigerende vragen stelt als het team afdwaalt.<\/p>\n Hij beschrijft hoe een goede logger een crisisteam letterlijk kan optillen: \u201cJe haalt zo\u2019n team uit de hectiek, terug naar overzicht, en checkt of er echt oordeelsvorming is geweest of dat iedereen \u2018als een stel blinde kippen zonder kop\u2019 achter \u00e9\u00e9n oplossing aanrent. Daarnaast levert het iets op dat steeds belangrijker wordt: een audit trail. Voor verzekeraars, voor wet- en regelgeving en voor verantwoording achteraf.\u201d Daarom moet je die rol volgens hem ook trainen en tools of templates geven. Liefst offline, zodat je niet afhankelijk bent van systemen die er niet zijn.<\/p>\nDe business wil door, security wil zeker weten<\/h2>\n
De nasleep is vaak erger dan de aanval<\/h2>\n
Hoe maak je een oefening \u00e9cht: laat mensen voelen wat het voor hun betekent<\/h2>\n
Besluitvorming: wijs een beslisser aan en train die rol<\/h2>\n
De rol die bijna altijd ontbreekt: de logger<\/h2>\n