Cyberrecovery: zo komen visie en aanpak samen in de praktijk

Door Peter Gommers
In vorige blogs bespraken we onze visie op cyberrecovery, de technologische antwoorden erop en hoe we deze bij E-Storage vertalen naar een methodische aanpak. Maar is die aanpak alleen een mooie theorie? Of iets dat zich ook in de veeleisende praktijk bewijst? Dat laatste natuurlijk: wij maken onze woorden waar. Neem een nieuwe klant van ons, werkzaam in de financiële sector, die ons vroeg: help ons DORA-compliant te worden op het gebied van data bescherming. Veel organisaties zullen deze behoefte aan cyberrecovery herkennen, ook in andere sectoren, want is het niet DORA, dan is het is wel NIS2.
De klant en de behoefte
Deze nieuwe klant van ons is werkzaam in de financiële dienstverlening en voert in opdracht van tientallen pensioenfondsen de pensioenregelingen uit voor bijna 4 miljoen (!) deelnemers. Ja, dat is op zichzelf al een forse IT-uitdaging, maar helemaal nu: midden in de transitie van de sterk gereguleerde sector naar het nieuwe pensioenstelsel volgens de Wet toekomst pensioenen (Wtp). Deze klant is een sterk IT-gerichte organisatie midden in de financiële sector, die als geheel moet voldoen aan de Europese verordening DORA, ofwel de Digital Operational Resilience Act. Of we de organisatie wilde bijstaan in het proces naar DORA? Natuurlijk. Dat pad hebben we eerder bewandeld, bij een andere klant, aan de hand van de doordachte aanpak die collega Ewoud van den Bosch in een vorig blog al aankondigde.
Vijf niveaus van cyberrecovery
Onze klant werkt met het data protectie software van Commvault. Dat is dus voor ons de basis van waaruit we verder bouwen aan het cyberrecovery-niveau waarom werd gevraagd. Dat niveau is namelijk geen vast gegeven, vinden wij, maar afhankelijk van de risico’s, verplichtingen, risk appetite én het budget die per organisatie verschillen. Daar komt in het geval van DORA – of NIS2 – nog de factor van een deadline bij. Om daaraan tegemoet te komen onderscheiden we bij E-Storage vijf niveaus van cyberrecovery, waaraan je als organisatie stelselmatig naartoe kunt werken, vormgegeven in wat wij noemen ‘Cyber Recovery IT Referentie Architecturen’.

Systematische aanpak in vijf stappen
Om te werken aan een aantoonbare herstelcapaciteit na een cyberaanval ontwikkelden we in samenhang daarmee een systematische aanpak in vijf fasen:

Fase 1 – Cyber Recovery Impact Analyse, ofwel de WAAROM-vraag
Doel is inzicht te krijgen in de impact van beveiligingsrisico’s op de organisatie. Wat zijn de kroonjuwelen? Welke eisen gelden voor herstel? Alleen DORA, of meer en straks NIS2?
Fase 2 – Cyber Recovery Assessment, ofwel de HOE-vraag
In hoeverre verschilt de bestaande situatie – de IT-architectuur, de implementatie ervan en functionering – van de gewenste situatie. Welke vervolgstappen zijn nodig in technologie, proces en organisatie?
Fase 3 – Cyber Recovery Design, ofwel de WAARMEE-vraag
Samen met de klant stellen we een plan op voor het gewenste herstel van de kernsystemen en -data na een cyberaanval of datalek.
Fase 4 – Cyber Recovery Set-up, ofwel de oplossing WERKEND krijgen
Installatie en inrichting van de processen, formering en inrichting van het recovery-team, installatie en inrichting van de technische middelen. Kortom: een data-recovery-oplossing die aantoonbaar (positief getest) voldoet aan de eisen.
Fase 5 – Cyber Recovery Assurance
Door UP-TO-DATE te blijven als recovery-team, ontwikkel je cyclisch herstelvermogen om de cyberweerbaarheid ook op de langere termijn te waarborgen.
Afstemmen op de klant en de praktijk
Deze aanpak is het ideaalmodel, geen strak keurslijf, maar flexibel genoeg om zich te vormen naar de specifieke klantsituatie. In dit geval was het primaire doel om tijdig te voldoen aan DORA, uitgaande van het bestaande data protectie platform. Uiteindelijk vonden we samen de oplossing (fase 3) in een ‘Immutable Data Vault’ (IDV). In onze visie draait de oplossing meer om de architectuur dan om de producten (fase 4), maar alleen al uit een oogpunt van planning en logistiek verdienen de technische bouwstenen natuurlijk wel volop aandacht. Het vault-concept van de klant, maatwerk uiteraard, vereiste bijvoorbeeld een geïsoleerd netwerk met opslag op de eigen locatie en een vooraf bekende snelheid van het dataherstel. Voor deze CRC (cyber recovery capac hebben we onder meer een cleanroom ingericht voor het forensisch onderzoek om de laatste schone kopie te produceren, naasten een IRE (isolated recovery environment) om te testen en te oefenen.
Meer weten?
DORA en NIS2 zijn nu belangrijke drijfveren om aan cyberrecovery te werken. Maar ook zonder deze dwingende regels zouden veel organisaties uit alles sectoren meer bewust kunnen worden van de risico’s van cyberdreigingen. En wat je eraan kunt doen. Wil je hierover met ons doorpraten? Je hoeft me alleen maar even te mailen.
Peter Gommers
pgommers@e-storage.nl