Cybersecurity: hoe de impact van een cyberaanval beperken?

De vraag is niet langer “als”, maar “wanneer” jouw bedrijf slachtoffer wordt van een ernstig cybersecurity incident!

Het afgelopen jaar steeg het aantal Vlaamse bedrijven en organisaties die geconfronteerd werden met een cyberaanval. In vele gevallen resulteert dit in het stopzetten van productie of (digitale) dienstverlening. Ook de middelgrote tot kleinere KMO’s komen in het vizier van cybercriminelen! Uit de Cybersecurity Barometer blijkt dat de impact bij cyberaanvallen voor de kleinere KMO vele malen groter is dan bij de grotere KMO die al heel wat beheerprocedures uit het NIST framework toepassen.

Diezelfde Cybersecurity Barometer geeft ook aan dat bij Vlaamse bedrijven en organisaties:

• slechts 41,9% beschikken over procedure om kritische databronnen te identificeren,
• ongeveer 48,5% een procedure heeft om cyberaanvallen te detecteren,
• slechts 38,3% op adequate wijze reageren (incident analyse & crisiscommunicatie) op een Cyberaanval,
• maar 50,1% er in slaagt om op aanvaardbare termijn te herstellen van een Cyberaanval,
• en dat de voornaamste oorzaken (44,9% van de gevallen) een gebrek aan kennis, vaardigheden en expertise zijn om succesvol een Cybersecurity beleid te implementeren, waarbij het IRP een noodzakelijk onderdeel is.

Conclusie: “Zorg dat jouw bedrijf over een actueel, state of the art en uitgetest incident responseplan (IRP) beschikt, op maat van jouw bedrijf”.  

Schrijf je vandaag nog  in om dit concreet te realiseren!  En maak een op maat afgestemd incident response plan op!

Doelstelling van dit VLAIO lerend netwerk (*) is om een cybersecurity Incident Response plan (IRP) op te maken op maat van uw bedrijf (meer detail onder Methodologie). Hierbij wordt rekening gehouden met kernactiviteiten (kritische assets: kernprocessen en kerndata) van het bedrijf zodanig dat de bedrijfscontinuïteit bij een cybersecurity aanval zich snel en efficiënt kan herstellen met een minimum aan operationele downtime en/of imagoschade. Het Incident Response Plan moet afgestemd zijn op het Business Continuity Plan (BCP) / Disaster Recovery Plan (DRP). De meeste bedrijven beschikken over een BCP/DRP (of minstens een belangrijke aanzet) maar beschikken in mindere mate over een Incident Response Plan (IRP).

Dit lerende netwerk brengt de methodiek aan om een IRP op te maken en continu te leren onderhouden op basis standaarden (NIST 1.1 standaard, (NIST 2.0,), … ). Onder (individuele) begeleiding van vakexperten delen participerende bedrijven hun ervaring en kennis. Het IRP moet minstens ook een Playbook voor Ransomware bevatten dat afgestemd is op maat van het bedrijf.

Waarom u zich best vandaag nog inschrijft voor dit VLAIO lerende netwerk:

• Tijdens de groepssessies leert u stap voor stap “state of the art” IRP opmaken,
• Via individuele begeleiding leert u een IRP af te stemmen op uw concrete bedrijfssituatie,
• Eindresultaat is een uitgewerkt incident response plan op maat van uw bedrijf inclusief een Ransomware playbook,
• U wordt hierbij begeleid door Cybersecurity experten,
• Omwille van de persoonlijke opvolging is het aantal plaatsen is beperkt,
• Door de financiële steun van VLAIO kan de inschrijfprijs laag gehouden worden!

(*) VLAIO lerend netwerk: zie bijkomende info verderop

• CISO
• IT (security) manager/expert
• Cybersecurity expert
• Teamlead incident handling
• Productieverantwoordelijke (enkel van toepassing voor type 2 bedrijven: aanwezigheid aanbevolen tijdens groepssessie 1.BIS, zie tabblad 'programma')

Ondertekenen van een Non-Disclosure Agreement (NDA)

Omwille van confidentialiteit wordt er aan alle betrokkene (deelnemers, docenten, consultants) gevraagd een NDA te ondertekenen!

Inzicht, overzicht en kennis:

• van dé kern business processen en kerndata van bedrijf / organisatie,
• betreffende interne (en externe) 'assets' en 'dependencies'.

Binnen dit VLAIO lerend netwerk wordt het onderscheid gemaakt tussen twee types bedrijven:

• Type 1 bedrijf: dienstverlenende bedrijven/organisaties, waarvan de business enkel ondersteund wordt door Information Technologie (IT).  
• Type 2 bedrijf: productiebedrijven/de maakindustrie, waarbij in het bedrijf zowel IT als Operations Technologie (OT) aanwezig is.

Dit lerende netwerk bestaat uit volgend format:

• enerzijds uit 4(*) (of 5(**)) groepssessies waarbij minstens volgende leervormen worden toegepast:
  • Aanbrengen theoretische concepten, methodes, frameworks,..
  • Groepsopdracht,
  • Individuele opdracht uit te werken tegen volgende groepssessie

• anderzijds uit 3 individuele begeleidingsmomenten (= één sessie = 3 uur) bij elk bedrijf afzonderlijk door onze Cybersecurity Expert/Coach met als doelstelling:
  • vorderingen betreffende het maken van de individuele opdracht toe te lichten, mogelijke hinderpalen te bespreken,
  • op basis van deze ontvangen feedback - tips - best practices: opgemaakt IRP plan bijsturen.  

Overzicht inplanning sessies van dit lerend netwerk:

• Stap 1: [di 14 mei '24 - 18u30 tot 21u30] Groepssessie 1(*)
  Kick Off - Identificeren kritische bedrijfsprocessen en data en eerste stap in het opstellen van een IRP.
• Stap 1BIS: [do 16 mei '24 - 18u30 tot 21u30] Groepssessie 1.BIS(**)
  Identificeren kritische bedrijfsprocessen en data en 1ste stap in het opstellen van een IRP in een industrieel netwerk (OT).
• Stap 2: Individuele begeleiding 1(*)

Begeleiding opdracht 1 (en 1.BIS) komende uit groepssessie 1 (en 1.BIS)

Datum: Per bedrijf af te spreken tussen bedrijf en CS Coach tussen 20 mei en 18 juni '24

• Stap 3: [di 18 juni '24 - 18u30 tot 21u30] Groepssessie 2(*): Risico’s bepalen, acties koppelen en Incident response team samenstellen.
• Stap 4: Individuele begeleiding 2(*)
  Begeleiding opdracht 2 komende uit groepssessie 2
  Datum: Per bedrijf af te spreken tussen bedrijf en CS Coach tussen 24 juni en 17 september '24
• Stap 5: [di 17 september '24 - 18u30 tot 21u30] Groepssessie 3(*)
  Technische, organisatorische maatregelen, opstellen communicatieflow bij een incident.  
• Stap 6: Individuele begeleiding 3(*)
  Begeleiding opdracht 3 komende uit groepssessie 3
  Datum: Per bedrijf af te spreken tussen bedrijf en CS Coach tussen 23 september en 15 oktober '24
• Stap 7: [di 15 oktober '24 - 18u30 tot 21u30] Groepssessie 4(*)(***) Afsluitende sessie: Voorstelling IRP plannen – Best practices - Hoe IRP dynamisch maken en actueel houden?

(*): Zowel type 1 als type 2 bedrijven; IT Security Expert/CISO

(**): Enkel type 2 bedrijven OT-IT bedrijven; Naast IT Security Expert/CISO... is de deelname van de productieverantwoordelijke eveneens aanbevolen.

(***): Deze groepssessie 4, zal mogelijks ontdubbeld worden ifv het aantal én type deelnemende bedrijven, waardoor een bijkomende datum ingepland zal worden op een later tijdstip (wellicht augustus / september)

Overzicht inhoud traject, timing en afwisseling tussen groepssessies en individuele begeleiding:

Stap 1: Groepssessie 1(*): Kick Off - Identificeren kritische bedrijfsprocessen en data en 1ste stap in het opstellen van een IRP.

Deel 1: Introductie cybersecurity begrippen, inzichten en bouwstenen … die nodig zijn bij het opmaken van IRP

• Voorstelling en einddoelstelling van het lerend netwerk
• Een IRP opmaken als onderdeel van een Business continuïty plan (DRP)
• Het incident response plan: een belangrijke bouwsteen binnen het groter geheel van CS maatregelen
• Welke soorten bescherming – maatregelen – CS maturiteit:
  • Technische CS maatregelen,
  • Beheersprocedures implementeren
  • Kennis en het bewustzijn
• Introductie Cybersecurity (CS) begrippen, frameworks en aanpak binnen context van het opstellen IRP:
  • Soorten bedreigingen
  • Introductie CS frameworks: NIST 1.1 (2.0), ENISA, ISO2700X,...
  • Relevantie en impact van: GDPR, NIS 2, Cyber Resilience Act
  • Kritische bedrijfsprocessen – en data als mogelijk doelwit identificeren
  • Cyberaanvallen detecteren (via bvb continue monitoring van veiligheidsrisico’s)
• IT vs Business verwachtingen
• Toelichting van 2 types bedrijven:
  • OT – IT bedrijf: productiebedrijven, maakindustrie: o.a. machinebouwers
  • Bedrijf of organisatie met enkel IT: dienstenbedrijven
• Cybersecurity: Is mijn organisatie een aantrekkelijk doelwit voor criminelen? Waarom wel, waarom niet?
• Wat als mijn organisatie getroffen wordt door een CS aanval?
  • Hoe weet ik dat mijn bedrijf aangevallen werd?
  • Wat nu?
• Begrippenkader:
  • Cyberveiligheidsincident
  • Cyberveiligheidsevent
  • Beheer van cyberveiligheidsincidenten
• Waarom is een incident response plan (IRP) nodig?
• Wie is verantwoordelijk voor een IRP? Is dit IT?
• Bestaat er 'één type model IRP' onder de gedachte van 'one size fits all' of is dit maatwerk?
• Wat zijn de assets in uw organisatie?

Deel 2: Groepsopdracht 1: Hoe voorbereiden op een CS incident?

Deel 3: Individuele opdracht 1: Identificeren en inventariseren van kritische bedrijfsprocessen en –data en eerste stap in het opstellen van een IRP

Stap 1.BIS: Groepssessie 1.BIS(**): Identificeren kritische bedrijfsprocessen en data en eerste stap in het opstellen van een IRP in een industrieel netwerk (OT).

Deel 1: Introductie Cybersecurity begrippen, concepten, architectuur: prioriteiten industrieel netwerk (OT Netwerk) en 1ste stap in het opstellen van een IRP in een OT-IT omgeving (Uitbreiding op groepssessie 1)

• Hoe ziet een typische IT-OT architectuur eruit?
• Security prioriteiten van een OT-omgeving VERSUS IT omgeving
• Voorbeeld van een high level Secure OT-IT netwerktopologie
• Het Purdue Model
• Hoe ziet de topologie (functionele omschrijving componenten en oplossingen) van Secure OT- IT omgeving eruit?
• Security Standard voor OT: IEC 62443 (-3-3): een leidraad voor een doordachte aanpak
• OT-IT Security best practices

Deel 2: Groepsopdracht 1.BIS: Hoe voorbereiden op CS-incident in een OT-IT omgeving?

Deel 3: Individuele opdracht 1.BIS: Identificeren en inventariseren van kritische bedrijfsprocessen en –data en 1ste stap in het opstellen van een IRP

Stap 2: Individuele begeleiding 1(*): begeleiding opdracht 1 (en 1.BIS) komende uit groepssessie 1 (en 1.BIS) - Datum: Per bedrijf af te spreken tussen bedrijf en CS Expert

Stap 3: Groepssessie 2(*):  Risico’s bepalen, acties koppelen en Incident response team samenstellen.  

Reflectie: opdracht 1 (en 1.BIS) en best practices uitwisselen

Deel 1: Risico’s bepalen en CERT samenstellen

• Risico’s en gekoppelde acties
  • Wat zijn risico’s?
  • Methodieken om risico’s te bepalen en de prioriteiten.
  • Hoe en welke acties koppelen aan de verschillende risico’s
• Hoe een incident respons team (IR team of ook CERT) samenstellen?
  • Wat is doel van CERT?
  • Hoe samenstellen?
  • Rollen en verantwoordelijkheden toekennen

Deel 2: Groepsopdracht 2: Samenstellen van een IR team in de praktijk.

Deel 3: Individuele opdracht 2: Risico’s bepalen, acties koppelen en Incident respons team samenstellen

Stap 4: Individuele begeleiding 2(*): begeleiding opdracht 2 komende uit groepssessie 2 -  Datum: Per bedrijf af te spreken tussen bedrijf en CS Expert

Stap 5: Groepssessie 3(*): Technische, organisatorische maatregelen, opstellen communicatieflow bij een incident.  

Reflectie: opdracht 2 en best practices uitwisselen

Deel 1: Technische, organisatorische maatregelen, communicatieflow bij een incident en risico-appetijt

• Technisch: Systeemherstel: Hersteltijd, hoeveelheid gegevensverlies VS kosten (RPO – RTO)
• Organisatorisch: IR procedures – event.
• Playbook opstellen voor bepaalde type incidenten: Ransomware playbook opmaken
• Communicatieflow: Hoe een communicatie (intern en extern) plan opmaken? Wie betrekken?
• Nut van het verzekeren van restrisico? Hoe bepalen van het restrisico?

Deel 2: Groepsopdracht 3: Uitwerken van een communicatieflow i.f.v. type incident

Deel 3: Individuele opdracht 3: Opmaken van IR communicatieflow/plan in relatie tot elk incident. Op maat opmaken van een Ransomware Playbook  en integratie in IRP. Finaliseren van Incident Respons Plan (IRP) en uittesten.   

Stap 6: Individuele begeleiding 3(*): begeleiding opdracht 3 komende uit groepssessie 3 - Datum: Per bedrijf af te spreken tussen bedrijf en CS Expert

Stap 7: Groepssessie 4(*)(***): Afsluitende sessie: Voorstelling IRP plannen – Best practices - Hoe IRP dynamisch maken en actueel houden?

Reflectie: opdracht 3 en best practices uitwisselen

Deel 1: Hoe een IRP levendig, actueel en dynamisch maken?

• Hoe een IRP dynamisch maken?
• Belangrijke bronnen, templates,
• Hoe ertoe komen dat men IRP daadwerkelijk nodig heeft minimaliseren?  Terugkoppeling naar de frameworks en standaarden

Deel 2: Voorstelling van IRP plannen

Deel 3: Slotconclusies - best practices en take aways

Overzicht van het bredere CS aanbod opleidingen en diensten:

• Blikopener hogescholen: Eerstelijnsadvies, oplossingen zoeken voor een concreet probleem, …
• Proeftuin innovatieve cyberbeveiliging voor industrie 4.0 (of OT netwerken, maak of productie omgeving)
• Cybersecurity-bites: delen van CS kennis tussen academische wereld en bedrijfswereld
• CS Verbeteringstrajecten voor KMO: 8 geselecteerde dienstverleners begeleiden KMO’s via het op maat opstellen en implementeren van een Cybersecurity plan.
• VLAIO bedrijfsadviseurs: Advies over cyberveiligheid bij digitaliseringsplannen
• Experten uit het VLAIO netwerk
• Technische opleidingen: Ethical Hacker, Penetration tester, Forensics Investigator, ….
• Technische infosessies

(*) VLAIO lerend netwerk:

Met financiële steun van VLAIO kan je deelnemen aan een verlaagde inschrijfprijs (€ 1.290,00 (exclusief BTW)). Daar VLAIO reeds financieel tussenkomt, kunnen de bedrijven die inschrijven voor dit lerend netwerk geen beroep doen op KMO-portefeuille opleiding - advies (cybersecurity)!