Lisa de Wilde is oprichter van Cyber Radiant en gespecialiseerd in monitoring, detectie en incident response. Ze heeft tientallen organisaties begeleid tijdens en na ransomware-aanvallen en andere ernstige cyberincidenten. In dit artikel, gebaseerd op de podcast van CISO's United, gaat ze in op een kant van cybercrisis die zelden wordt besproken: wat doet een aanval met de mensen erachter?
Techniek staat centraal. Mensen worden vergeten.
Als een cyberaanval toeslaat, is de eerste reflex technisch: systemen zijn geraakt, processen liggen stil, data is gestolen. De IT-afdeling wordt gemobiliseerd, back-ups worden beoordeeld, externe partijen worden ingeschakeld. Wat in die eerste uren zelden op de agenda staat, is wat er met mensen gebeurt.
"Bij een cyberaanval wordt heel erg gedacht vanuit IT. Maar eigenlijk is de menselijke kant véél belangrijker."
Lisa ziet het keer op keer: organisaties zijn niet voorbereid op de paniek die ontstaat als alle systemen het plotseling niet meer doen. Crisisplannen liggen in een la. Rollen zijn op papier verdeeld, maar nooit geoefend. En dan, op het moment dat het er echt toe doet, stagneren mensen, of nemen ze beslissingen die ze in rustige tijden nooit hadden genomen. "Van alle organisaties die ik geholpen heb, was er volgens mij geen één echt voorbereid. In ieder geval niet bij de ransomware-aanvallen."
Oefenen is geen luxe, het is de basis
De oplossing begint niet met betere technologie. Het begint met oefenen, en dat hoeft minder groot en ingewikkeld te zijn dan veel organisaties denken. "Er wordt heel veel geroepen dat je een semi-live oefening moet doen waarbij je ook echt mensen moet bellen. Absoluut heel goed om te doen. Maar de meeste organisaties zijn nog niet zover."
Lisa pleit voor een laagdrempelige aanpak: begin met een scenario, kies de juiste doelgroep, en bespreek de dilemma's die daadwerkelijk op tafel komen. Met de IT-afdeling gaat het over technische keuzes. Met de directie gaat het over strategische beslissingen zoals: gaan we onderhandelen met criminelen of niet?
"Vaak komt er dan uit naar voren dat we eigenlijk helemaal niet hebben nagedacht over welke bedrijfsprocessen voor ons het belangrijkste zijn. En welke systemen daarbij horen." Die bewustwording alleen al is waardevol. Want op het moment dat een incident plaatsvindt, is elke minuut kostbaar. Beslissingen die vooraf zijn genomen, hoeven niet meer in paniek te worden gemaakt.
Heleen van de Groep, Social Ethical Hacker en Gedragsspecialist bij Brooklyn Partners: “Lisa pleit voor een laagdrempelige aanpak: begin met een scenario, kies de juiste doelgroep, en bespreek de dilemma's die daadwerkelijk op tafel komen. Met de IT-afdeling gaat het over technische keuzes. Met de directie gaat het over strategische beslissingen zoals: gaan we onderhandelen met criminelen of niet? Brooklyn Partners faciliteert hiervoor specifiek cyber dilemma sessies met bestuurders, waarbij de strategische keuzes die tijdens een crisis gemaakt moeten worden samen worden doorlopen voordat het zover is.”
Een incident duurt maanden. Niet één nacht.
Een van de meest onderschatte aspecten van een cyberincident is de duur ervan. Bij een ransomware-aanval duurt het gemiddeld 23 dagen voordat de eerste systemen het weer doen. Daarna volgt nog maanden aan herstelwerk, achterstallig onderhoud en verbetermaatregelen.
"Je bent vaak gewoon maanden, een jaar, misschien zelfs wel langer bezig. En vergeet ook niet dat heel veel mensen rondlopen met een schuldgevoel."
Die combinatie, aanhoudende druk, weinig slaap, slechte voeding, geen herstel, heeft directe gevolgen voor de kwaliteit van beslissingen. Lisa citeert onderzoek waaruit blijkt dat mensen die een incident hebben meegemaakt, achteraf aangaven dat ze het anders zouden aanpakken: minder uren per dag, maar langer volhouden. "Ze hebben gezien dat het een marathon is en geen sprint. Als je kijkt op de lange termijn, is het beter om op die dagen een aantal uur eerder te stoppen en dan een dag of twee langer bezig te zijn, dan enkel keihard gas te geven." Die keuze is op het moment zelf moeilijk te maken. Klanten bellen. Medewerkers hebben vragen. Sommigen zijn bang hun baan te verliezen. De neiging is om alles zo snel mogelijk op te lossen en daarin wordt de gezondheid van jezelf en je collega's vergeten.
Na een incident zoeken organisaties soms houvast in strenger beleid. Lisa las over een ondernemer die besloot medewerkers met zwakke wachtwoorden een slechtere beoordeling te geven. Haar reactie is helder. "Wat je dan krijgt is een heel gesloten cultuur. En je wil juist een open cultuur creëren. Want bij een gesloten cultuur ga je risico's creëren. Dan durven mensen niet meer over dingen te praten die ze signaleren."
De gevolgen zijn concreet en gevaarlijk. Ze beschrijft een situatie waarbij een medewerker een incident had veroorzaakt, zich zo schuldig voelde dat hij twee weken wachtte met melden, terwijl de organisatie precies twee weken aan back-ups had. Een dag later gemeld, en de impact was enorm geweest. "Dat zijn de situaties die je creëert door op deze manier met je medewerkers om te gaan.”
Heleen geeft aan: "Schuld en schaamte zijn intensieve, "zelfbewuste" emoties die een grote impact hebben op hoe we denken, handelen en ons voelen. Het zijn twee emoties die mensen het snelst doen zwijgen. Een open cultuur ontstaat niet vanzelf en ook niet door te zeggen 'bij ons mag je fouten maken.' Het vraagt om zichtbaar gedrag van leidinggevenden: zelf fouten benoemen, nieuwsgierig reageren in plaats van veroordelend, en melden belonen, ook als de fout groot is. Dát is wat mensen veilig genoeg laat voelen om op tijd aan de bel te trekken."
Het taboe moet eraf
Wat Lisa stoort aan de reactie op cyberincidenten in de buitenwereld, is de reflexmatige veroordeling. LinkedIn staat vol met commentaar op organisaties die zijn gehackt. Maar niet elk incident had voorkomen kunnen worden en de neiging om te oordelen zorgt ervoor dat organisaties minder open zijn over wat er is misgegaan.
"Als we met elkaar te hard en te kritisch wijzen, ontnemen we onszelf ook die lessen van een ander."
Ze pleit voor een cultuur waarin leren centraal staat, niet verwijten. Deel ervaringen. Stuur een fruitmand. Want één op de zeven mensen die een ernstig cyberincident heeft meegemaakt, houdt daar psychologische klachten aan over die professionele hulp vereisen.
Voor de CISO die dit herkent, geeft Lisa concrete handvatten. Geen grote ingrepen, maar bewuste keuzes. Zorg dat de mentale impact een plek krijgt in het crisisplan: wie houdt de werktijden bij? Wie zorgt voor gezond eten? Wie faciliteert check-ins, ook ná het incident? Betrek HR, die zijn regulier al bezig met werkgezondheid en kunnen die rol ook tijdens een crisis oppakken. En maak het bespreekbaar thuis. "Je hoeft het incident zelf niet tot in detail thuis te bespreken. Maar maak wel bespreekbaar dat je waarschijnlijk meer van huis bent, dat je in hogere stress zit. Bouw het vangnet op bij de mensen die dichtbij je staan."
Werkgevers kunnen het verschil maken door praktisch te denken: extra kinderopvang regelen, een bloemetje sturen naar het thuisfront na afloop. Kleine gebaren, grote impact.
Dit artikel is gebaseerd op haar gesprek in de podcast CISO's United, een initiatief van Brooklyn Partners. Luister de aflevering op Spotify, of bekijk 'm via YouTube.