In case of a major cyber incident, organizations usually rely on external providers of Cyber Incident Response (CIR) services. CIR consultants operate in a dynamic and constantly changing environment in which they must actively engage in information management and problem solving while adapting to complex circumstances. In this challenging environment CIR consultants need to make critical decisions about what to advise clients that are impacted by a major cyber incident. Despite its relevance, CIR decision making is an understudied topic. The objective of this preliminary investigation is therefore to understand what decision-making strategies experienced CIR consultants use during challenging incidents and to offer suggestions for training and decision-aiding. A general understanding of operational decision making under pressure, uncertainty, and high stakes was established by reviewing the body of knowledge known as Naturalistic Decision Making (NDM). The general conclusion of NDM research is that experts usually make adequate decisions based on (fast) recognition of the situation and applying the most obvious (default) response pattern that has worked in similar situations in the past. In exceptional situations, however, this way of recognition-primed decision-making results in suboptimal decisions as experts are likely to miss conflicting cues once the situation is quickly recognized under pressure. Understanding the default response pattern and the rare occasions in which this response pattern could be ineffective is therefore key for improving and aiding cyber incident response decision making. Therefore, we interviewed six experienced CIR consultants and used the critical decision method (CDM) to learn how they made decisions under challenging conditions. The main conclusion is that the default response pattern for CIR consultants during cyber breaches is to reduce uncertainty as much as possible by gathering and investigating data and thus delay decision making about eradication until the investigation is completed. According to the respondents, this strategy usually works well and provides the most assurance that the threat actor can be completely removed from the network. However, the majority of respondents could recall at least one case in which this strategy (in hindsight) resulted in unnecessary theft of data or damage. Interestingly, this finding is strikingly different from other operational decision-making domains such as the military, police and fire service in which there is a general tendency to act rapidly instead of searching for more information. The main advice is that training and decision aiding of (novice) cyber incident responders should be aimed at the following: (a) make cyber incident responders aware of how recognition-primed decision making works; (b) discuss the default response strategy that typically works well in several scenarios; (c) explain the exception and how the exception can be recognized; (d) provide alternative response strategies that work better in exceptional situations.
Aanleiding Gemeenten zijn in hoge mate afhankelijk van digitale systemen. Als deze systemen onbedoeld uitvallen of aangevallen worden, kan dit grote gevolgen hebben voor de dienstverlening aan burgers en/of de interne bedrijfsvoering. Recente gevallen zoals de aanvallen op de gemeente Lochem (2019) en Hof van Twente (2020), en de Citrix-kwetsbaarheid (2019) hebben duidelijk gemaakt dat cyberincidenten grote impact kunnen hebben, niet te voorkomen zijn en zelfs kunnen uitmonden in een cybercrisis. Gemeenten moeten zich voorbereiden op cybercrises waarbij zij zelf het slachtoffer zijn. Daarnaast kunnen gemeenten geconfronteerd worden met de fysieke gevolgen die ontstaan wanneer een organisatie gevestigd in de gemeente getroffen wordt door een cyberaanval. Denk hierbij aan een ziekenhuis dat door een aanval haar ICT niet meer kan gebruiken en daardoor de deuren moet sluiten. In een dergelijk geval zijn gemeenten betrokkenen en zullen zij samen met de veiligheidsregio(‘s) moeten acteren om de problemen in het fysieke domein aan te pakken. In dit verkennende onderzoek gaan we nader in op het fenomeen cybercrisis binnen gemeenten waarbij we onderscheid maken tussen cybercrisis waarbij gemeenten (1) slachtoffer zijn of (2) betrokkene. Onderzoeksdoelen en vragen Cybercrises in het algemeen en binnen de gemeentelijke context in het bijzonder zijn nog maar beperkt beschreven in de (wetenschappelijke) literatuur. Het hoofddoel van het onderzoek is om inzicht te verschaffen in de ervaringen die gemeentelijke medewerkers hebben met cybercrisis als ‘slachtoffer’ en ‘betrokkene’ en hoe zij kijken naar de rollen en uitdagingen die er zijn. Het hoofddoel is opgesplitst in twee hoofdvragen: (1) Welke uitdagingen ervaren gemeenten bij (de voorbereiding op) cybercrisis die de gemeentelijke organisatie raken? En (2) Welke uitdagingen ervaren gemeenten bij (de voorbereiding op) cybercrisis die plaatsvinden bij organisaties gevestigd in de gemeente en (kunnen) leiden tot problemen in het fysieke domein? Methoden van onderzoek Er is een literatuurstudie uitgevoerd die als basis heeft gediend voor semigestructureerde interviews. In de periode van 1 juli tot 1 december 2020 hebben 22 interviews plaatsgevonden met medewerkers van 18 verschillende gemeenten. Het merendeel van respondenten was werkzaam als Chief Information Security Officer (CISO) (N = 15), Adviseur Openbare orde en Veiligheid (AOV) (N = 9) en Adviseur informatiebeveiliging (N = 6). Beantwoording hoofdvragen De grootste uitdagingen voor gemeenten bij (de voorbereiding op) cybercrisis die de gemeentelijke organisatie raken zijn: (1) tijdens de warme fase verwacht men van de CISO soms een leidinggevende rol in plaats van de dagelijkse adviserende rol, (2) informatie gaat veelal sneller via informele kanalen dan via de formele kanalen, (3) CISOs gebruiken de crisiskennis van AOV-ers onvoldoende (4) (voorbereiding op) cybercrisis is nog te veel een IT-feestje, (5) oefenen is belangrijk maar gebeurt nog te weinig, en (6) kleine gemeenten hebben geen draaiboeken of crisisplannen, grote gemeenten wel. Gemeenten hebben nauwelijks ervaring met cybercrises die de gemeentelijke organisatie raken. De grootste uitdagingen voor gemeenten bij (de voorbereiding op) cybercrisis die plaatsvinden bij organisaties gevestigd in de gemeente zijn: (1) er is binnen gemeenten en veiligheidsregio’s weinig cyber-expertise en kennis van de CISO wordt niet benut, (2) gemeenten worstelen met hun rol bij een dergelijke crisissituatie, (3) de rolverdeling tussen de gemeente en veiligheidsregio is onduidelijk bij een dergelijke crisissituatie, en (4) gemeenten vinden dat organisaties allereerst zelf verantwoordelijk zijn voor respons en mitigatie. Geen van de respondenten heeft ervaring opgedaan met een cybercrisis bij een organisatie gevestigd in de gemeente. Conclusie De eerste conclusie is dat gemeenten beperkt voorbereid zijn op cybercrisis en onvoldoende zicht hebben in hoeverre bestaande plannen en niet-geformaliseerde werkwijzen voldoende zijn om de impact van cybercrisis te kunnen beperken, mede omdat er niet wordt geoefend. De tweede conclusie is dat nog een wereld te winnen is bij een actievere samenwerking tussen CISOs en AOV-ers. De derde conclusie is dat deelnemende gemeenten nog geen ervaring hebben met cybercrisis waarbij ze enkel ‘betrokkene’ zijn. De belangrijkste theoretische bijdrage is dat we geen aanwijzingen hebben gevonden dat de generieke literatuur over crisisbeheersing niet van toepassing zou kunnen zijn op cybercrisis. Dit onderzoek is uitgevoerd onder een beperkt aantal gemeenten. Om een rijker en completer beeld te krijgen van cybercrisis bij gemeenten, adviseren we om een vervolgonderzoek uit te zetten bij meer gemeenten, bijvoorbeeld in de vorm van een vragenlijstonderzoek. Ander vervolgonderzoek zou zich kunnen richten op het meten van de mate van voorbereiding van gemeenten op cybercrisis, slimme manieren waarop gemeenten hun voorbereiding kunnen verbeteren en op cyberincident- en cybercrisisevaluaties.
This article examines the network structure, criminal cooperation, and external interactions of cybercriminal networks. Its contribution is empirical and inductive. The core of this study involved carrying out 10 case analyses on closed cybercrime investigations – all with financial motivations on the part of the offenders - in the UK and beyond. Each analysis involved investigator interview and access to unpublished law enforcement files. The comparison of these cases resulted in a wide range of findings on these cybercriminal networks, including: a common division between the scam/attack components and the money components; the presence of offline/local elements; a broad, and sometimes blurred, spectrum of cybercriminal behaviour and organisation. An overarching theme across the cases that we observe is that cybercriminal business models are relatively stable.
