In de Wired van December 2012 lees ik een artikel van Wired editor Mat Honan. Zijn accounts werden gehacked en hij raakte daarmee al zijn foto’s, zijn e-mails en zijn files kwijt. Het ging eigenlijk heel simpel: de hacker belde de Apple helpdesk en wist bij de helpdesk medewerker het wachtwoord te ontfutselen. Mat’s Apple mail was gelinked aan zijn Gmail account en via dit mail account kon de hacker weer de wachtwoorden van verschillende andere accounts opvragen. Voordat Mat het goed en wel in de gaten had, kon de hacker overal bij en had hij controle over Mat’s digitale leven.
Het Wired artikel ging over iemand wiens persoonlijke account gehacked werd. Dat is op zichzelf al heel vervelend, maar wat kan er allemaal gebeuren op het moment dat er bij een bedrijf of organisatie ingebroken wordt? Zoals het bovenstaande illustreert zit een ongeluk in een klein hoekje en experts zeggen dat het iedere organisatie kan (en zal) overkomen.
Mocht het gebeuren dat jouw organisatie de dupe is van een hack, wat doe je dan? Hoe reageer je? Hoe regel je de zaken intern? Hoe ga je met de media om? Hoe zorg je dat men zowel intern als extern het vertrouwen in de organisatie niet verliest?
Axel Arnbak is promovendus aan het Instituut voor Informatierecht (IVIR), waar hij onderzoek doet naar de regulering van cybersecurity. Recentlijk gaf hij een lezing op Harvard University over zijn onderzoek naar de Diginotar hack. Naar aanleiding daarvan heeft hij een tool ontwikkeld voor onderzoekers, organisaties en beleidsmakers om de dynamiek rondom een security hack beter te begrijpen: de Security Wargame.
Wargames worden veel in consultancy trajecten gebruikt, en zijn uitermate geschikt voor security issues omdat het de beslissers echt dwingt na te denken over de te volgen strategie. Want mocht er ooit een security hack plaatsvinden dan moet er veel gebeuren: de feiten moeten worden achterhaald, de media moet wel of niet te woord worden gestaan, er moet intern gecommuniceerd worden en er moet wellicht intern gereorganiseerd worden.
In een Security Wargame worden de game, de rollen en de doelstelling altijd aangepast aan de aard van de organisatie. Een bank zal anders omgaan met een hack dan een overheidsinstelling. Ook kan de doelstelling per organisatie verschillen: van “Hoe kan ik mijn bedrijf hier beter op inrichten” tot “Hoe moet ik omgaan met de pers tot “(Hoe) moet de wetgeving aangepast worden”.
Is jouw organisatie voorbereid? Meer weten over een Security Wargame voor jouw organisatie? Neem contact op!