www.belgium.be Logo of the federal government

Crisiscommunicatie bij een cyberaanval

De vraag is niet ‘of’  je ooit het slachtoffer wordt van een cyberaanval, maar ‘wanneer’. Je kan dus maar beter voorbereid zijn. Hierbij de aanbevelingen voor een efficiënte communicatie bij een cyberaanval.

 

Voor het incident

Stap 1: Risicoanalyse

Breng in kaart en beschrijf van welke cyberaanvallen je bedrijf of organisatie het slachtoffer kan zijn en wat dat zou betekenen voor de continuïteit van de dienstverlening of productie. De meest voorkomende aanvallen zijn:

  • Een ransomware aanval

Ransomware is een virus dat wordt geïnstalleerd op een toestel zonder dat de eigenaar daarvoor toestemming gaf. Het gijzelvirus houdt het toestel en de bestanden gegijzeld (geëncypteerd) en vraagt losgeld.

  • Een DDOS aanval

Met een DDoS-aanval of een Distributed-Denial-Of-Service-aanval proberen criminelen een webserver onderuit te halen door hem te overladen met een zeer groot aantal paginaverzoeken. Een DDOS-aanval op zich is geen gevaar en gaat vanzelf weer voorbij,  maar vaak wordt een dergelijke aanval gebruikt om een andere te verbergen of als extra drukkingsmiddel bv. bij een ransomware aanval.

  • Een virus op het netwerk
  • Oplichting, bv. door CEO-fraud
  • Een data breach, inbreuk op GDPR wetgeving…

Stap 2: Documenteer en organiseer

Bekijk het crisisplan of het cybersecurity incident management plan van je bedrijf of organisatie. Controleer of crisiscommunicatie hier in is opgenomen op welke manier. Bevat het minimaal de volgende elementen?

  • Een contactenlijst ondersteuning (op papier): op wie kunnen we beroep doen tijdens een incident?
  • Een contactenlijst medewerkers, stakeholders, partners en pers (op papier): wie moeten we informeren over het incident?
  • Een overzicht van de communicatiekanalen die gebruikt kunnen worden tijdens een cyberaanval (dus ook offline kanalen).
  • Een overzicht van kernboodschappen: voor een aantal veel voorkomende cyberaanvallen, kan vooraf een korte boodschap voorbereid worden.
  • Een taakverdeling, opsomming van de verschillende rollen bij een cyberincident en de taken die bij elke rol horen.

Management /crisisteam

Communicatiedienst / Woordvoerder

Legal/ Noodplan Coördinator/ Veiligheidsofficier/ DPO

  • Evaluatie van de cyberaanval
  • Crisis beheren
  • Continuïteit van de organisatie waarborgen
  • Feedback geven aan communicatiedienst
  • Validatie van boodschappen voor communicatie
  • De afspraken rond woordvoerderschap worden bij elk incident bepaald, in functie van omvang/dreiging/gevoeligheid/thema
  • Informatie verzamelen
  • Crisisteam adviseren
  • Redactie (boodschap aanpassen aan de verschillende doelgroepen en kanalen)
  • Beheer communicatiekanalen: verzending e-mails/publicatie web/Twitter…
  • De pers opvangen, informeren, doorverwijzen of te woord staan
  • Begeleiding bij het opvolgen van het noodplan en de 
  • Permanente evaluatie van de acties t.o.v. het wettelijke kader en de wettelijke opdrachten
  • Adviezen op juridisch vlak geven aan de coördinatiecel
  • Opvolging en de coördinatie van communicatie van geclassificeerde informatie en persoonsgebonden gegevens
  • Contacten met de gegevensbeschermingsautoriteit

 

Stap 3 : Oefen

Elk bedrijf of elke organisatie zou minstens een keer een cyberincident moeten oefenen.  Zorg er zeker voor dat de communicatiedienst of de communicatiemedewerker betrokken wordt bij deze oefening.

 

Tijdens het incident

Een goede communicatie tijdens een incident is cruciaal om geen tijd verloren te laten gaan en om de reputatieschade te beperken.

Respecteer deze volgorde van communicatie. Informeer achtereenvolgens:

  1. Medewerkers
  2. Stakeholders
  3. Partners
  4. Klanten
  5. Pers

Zodra je naar medewerkers communiceert, moet je ook zo snel mogelijk de andere partijen informeren.  Het is immers een illusie te denken dat medewerkers vertrouwelijk zullen omspringen met de informatie. De informatie zal met andere woorden snel naar de buitenwereld lekken.

Als er mogelijks persoonsgegevens gestolen of gelekt zijn moet de gegevensbeschermingsautoriteit gecontacteerd worden.

Bepaal de boodschappen:

  • Overweeg om proactief te communiceren.  Nog voor het incident ‘uitlekt’ kan je er in principe al over communiceren. Dit principe heet ‘stealing thunder’.  Je brengt het (slechte) nieuws zelf voordat de pers er op af vliegt en haar eigen verhaal construeert. Door proactief te communiceren is de kans het grootst dat je de regie kan houden over de communicatie.
  • Maak onmiddellijk een wachtboodschap. Communiceer de volgende elementen:
    • We know: we weten wat er gebeurd is.
    • We do: we zijn nu bezig met de volgende zaken, we werken aan een oplossing.
    • We care: we nemen dit zeer ernstig, we zijn empathisch.
    • We are sorry: we betreuren het voorval, we excuseren ons.
    • We’ll be back: we spreken af wanneer we met meer info komen.
  • Bepaal de kernboodschappen
    • Wat is er gebeurd?
    • Hoe is dit kunnen gebeuren?
    • Wie was hiervoor verantwoordelijk?
    • Wat zijn de gevolgen? Voor de medewerkers, de klanten, de partners…
    • Wat doen we om de schade te herstellen? Welke oplossing hebben we achter de hand?
    • Wat doen we om dit in de toekomst te voorkomen?

Bepaal de toon:

  • Biedt excuses aan als er slachtoffers zijn of als er een fout begaan is.
  • Ga niet in de verdediging, maar toon wel aan wat je organisatie gedaan heeft om dit te vermijden of om dit snel op te lossen.
  • Je moet je niet schamen, je bent het slachtoffer van criminelen en dit kan iedereen overkomen.
  • Reageer niet agressief op beschuldigende vragen, wijs liever op ‘geleerde lessen’.
  • No comment: niet reageren op vragen, is een boodschap op zich die vaak wordt geïnterpreteerd als ‘ze zullen wel een fout gemaakt hebben’ of ‘ze hebben zeker wat te verbergen’.

Kies een woordvoerder. Advies voor woordvoerders:

  • Toon empathie.
  • Lieg niet.
  • Wees transparant.
  • Anticipeer op moeilijke vragen en oefen ze in.
  • Gebruik bruggetjes om steeds terug te keren naar de kernboodschap.
  • Wees duidelijk en beknopt.
  • Kijk uit met vakjargon / cyberjargon.

Addertjes onder het gras

  • Bij een cyberaanval kan het zijn dat de belangrijkste kanalen van de communicatie onbeschikbaar zijn: intranet, e-mail, website.  Denk vooraf na over alternatieve kanalen om de verschillende doelgroepen te bereiken.
  • Als er een gerechtelijk onderzoek gestart is naar de cyberaanval, moet je mogelijks zeer voorzichtig omspringen met informatie.  Maar laat dit geen uitvlucht zijn om niet of niet transparant te communiceren.
  • Attributie van een cyberaanval: wees altijd voorzichtig met het aanwijzen van een mogelijke dader van de aanval.  Bij een cyberaanval is dit altijd zeer moeilijk te bepalen.

Na het incident

Het getuigt van een hoge maturiteit wanneer een organisatie na het incident de geleerde lessen wil delen met anderen in een publicatie, een blog, een lezing of een studiedag. 

Meer info: