4. Incidentbehandeling
De gevolgen van een verstoring, uitval, datalek of cyberaanval kunnen ernstig zijn. Daarom wil je bij een incident adequaat reageren om negatieve gevolgen te beperken. Een Incident Response Plan (IRP) helpt je organisatie hierbij.
Hoe maak je een Incident Response Plan?
Incident response is het proces van het beheer en mitigatie dat je doorloopt als er een incident plaatsvindt. Je kunt je acties beter bedenken wanneer er geen tijdsdruk op zit. Daarom maak je een plan zodat er gecoördineerd actie genomen kan worden ten tijde van een incident: een Incident Response Plan.
Het plan bevat een set instructies om medewerkers te helpen om beveiligingsincidenten te detecteren, hierop te reageren en mogelijke schade te herstellen. Bijvoorbeeld in het geval van een verstoring, een datalek of een digitale aanval. Het doel is om snel, kalm en adequaat te kunnen reageren om schade te beperken en herstelwerkzaamheden te minimaliseren.
Beleid opstellen
De invulling van een IRP kan per organisatie verschillen. Toch zie je vaak de volgende stappen of elementen terug in een IRP:
- Maak een risicoanalyse
De basis van het opstellen van een IRP ligt bij het uitvoeren van een risicoanalyse. Welke incidenten hebben in het verleden plaatsgevonden? Welke dreigingen zijn bekend? Wat zijn je kwetsbare systemen of processen? Dit zijn enkele vragen die je helpen om de risico's met de hoogste prioriteit in beeld te krijgen zodat je daarop voorbereidingen kunt treffen. - Maak scenario's
Nu je weet waar de belangrijkste risico’s liggen, kun je deze verder uitwerken. Maak een duidelijk stappenplan waarin je omschrijft welk incident plaatsvindt, welke stappen je moet ondernemen en welke personen en partijen je moet betrekken of informeren. Voorbeelden van scenario’s zijn incidenten zoals ransomware, DDoS, malware of ongeautoriseerde toegang tot systemen. - Benoem taken en beleg verantwoordelijkheden
Om zo effectief mogelijk te kunnen handelen, moeten medewerkers (en IT-dienstverleners) weten welke taken en verantwoordelijkheden ze hebben. Te denken valt aan het analyseren en monitoren van dreigingen, maar ook het coördineren van crisisactiviteiten. Beleg de taken en verantwoordelijkheden in het IRP. Vergeet niet om de taken expliciet te beleggen bij de betrokkenen en te zorgen dat ze getraind zijn of het geoefend hebben. - Zet een meldpunt op
Wanneer iemand vermoedt dat er een incident of dreiging plaatsvindt, moet deze persoon snel aan de bel kunnen trekken. Zorg daarom dat het duidelijk is hoe je een incident meldt en wanneer dit mogelijk is (bij voorkeur 24/7). Zorg dat het ook duidelijk is wie communicatie naar externe partijen zoals afnemers, IT-leverancier, cloudleverancier, nooddiensten en nationale of sectorale CSIRT verzorgt. - Communiceer de plannen
Zorg dat medewerkers op de hoogte zijn van het meldpunt, de scenario's en de eventuele andere contactpersonen. Als medewerkers weten dat het plan bestaat en hoe zij melding kunnen doen, kan er snel gehandeld worden. - Opleiden, trainen, oefenen (OTO)
Leid medewerkers op voor hun taken, train de handelingen en processen en oefen dit met regelmaat zodat dit een natuurlijke handeling wordt en er geleerd kan worden van fouten en belemmeringen. Zorg dat de plannen goed geborgd en veilig bewaard worden. Zorg echter wel dat de plannen toegankelijk zijn voor iedereen in het geval van een incident. - Effectieve incident response
Wanneer er daadwerkelijk een incident plaatsvindt, is het belangrijk dat de volgende fases doorlopen worden. Deze fases leg je ook vast in het IRP.
NIS2-zorgplicht
In de Europese NIS-2 richtlijn worden zorgplichtmaatregelen vereist voor incidentenbeheer. Dit staat in artikel 21 lid 2 sub b.
Bereid je voor op de NIS2
Voor de voorbereiding op de Cyberbeveiligingswet die voortkomt uit de NIS2-richtlijn, vind je hier suggesties, handvatten en aandachtspunten. Omdat de zorgplichtmaatregelen nog niet zijn uitgewerkt in de regelgeving, baseren we de suggesties, tips en handreikingen op wat er gangbaar is in de cybersecuritypraktijk. Het uitvoeren of volgen ervan vergroot de cyberweerbaarheid van je organisatie, maar het is geen garantie dat je organisatie al voldoet aan komende wetgeving.
Voedingsmiddelenbedrijf betrapt hackers op heterdaad
Het is 13 februari 2022 - vroeg in de nacht van zaterdag op zondag – als bij ICT-manager Richard Elsinga van Royal Smilde de telefoon gaat. Het is een van zijn IT-leveranciers aan de andere kant van de lijn. Die ziet dat er verdachte activiteit op een van de servers gaande is. Misschien een ransomware-aanval? Tien minuten later krijgt Richard bevestiging: foute boel. Het Cyber Incident Response Plan treedt die nacht onmiddellijk in werking. De servers worden uitgeschakeld en ontkoppeld, de directie wordt ingelicht en een crisisteam ingericht.
- Voorbereiding
In de meeste gevallen draait je organisatie zoals het hoort en zijn er geen lopende incidenten. Je zit in een 'business-as-usual'-fase. Tijdens deze fase ben je echter wel bezig met incident response. Je treft voorbereidingen voor een mogelijk incident en er zijn medewerkers die zich bezighouden met het monitoren van de IT- en OT-omgevingen. De volgende zaken kun je voorbereiden:- Communicatie en faciliteiten:
Stel een contactenlijst of bellijst op zodat je op het moment van een incident weet wie je in moet schakelen. Bedenk welke faciliteiten je nodig hebt; welk materiaal (hard- en software), welke locaties, en welk personeel wil je tot je beschikking hebben? - Hard- en software en middelen voor analyses:
Ter voorbereiding op een incident kan worden nagedacht over materiaal (hard- en software) dat nodig is voor het analyseren van een incident. Denk hierbij bijvoorbeeld aan back-up apparaten, extra werkstation of verwijderbare media die te vertrouwen zijn. - Minimaliseer de kans op incidenten
Door jezelf te beschermen tegen virussen en andere malware, voorkom je dat kwaadwillenden van buitenaf via 'foute software' schade veroorzaken aan je apparaten, software of data. Ook beperk je zo dat ze de controle overnemen over jouw systemen en je bedrijf vervolgens afpersen om losgeld (ransom) te betalen. Het inzetten van de juiste anti-malware software en het trainen van personeel zijn stappen die je in de voorbereiding neemt. Basisprincipe 5 geeft hier handvatten voor.
- Communicatie en faciliteiten:
- Identificatie
Er zijn veel verschillende cyberincidenten te onderscheiden. Hoe je moet reageren, verschilt per incident. Voor het identificeren en prioriteren kun je de volgende gebeurtenissen of aanvalsmethoden als 'kapstokken' gebruiken:- aanvallen via internet;
- aanvallen via e-mail;
- onjuist gebruik of handelen door een gebruiker;
- verlies of diefstal;
- externe media (zoals USB);
- en aanvallen via een brute force methode.
Wanneer er een incident ontdekt wordt, zit je in een analysefase. Je analyseert wat er gebeurd is, wat de omvang en de ernst van het incident is en je verzamelt gegevens over het incident. In sommige gevallen kan dit als bewijsmateriaal gelden, dus is het van belang dit accuraat te doen.
- Beperking en uitroeiing
Hoe je het incident verhelpt en de schade beperkt, is volledig afhankelijk van het incident. Bij een storing zal het vooral gaan om het herstellen van de apparatuur of het in gebruik nemen van een back-up. Wanneer het een criminele activiteit - zoals een aanval - betreft, is het belangrijk te zorgen dat de aanvaller niet bij belangrijke informatie kan. - Herstel
Na het incident kunnen de systemen hersteld worden naar de normale werking van de IT-systemen. Eventuele kwetsbaarheden of configuratiefouten worden verholpen om soortgelijke incidenten te voorkomen. Kijk na het herstel of er nog abnormaal gedrag plaatsvindt. Test of alles naar behoren werkt. - Geleerde lessen
Evalueer het incident en de incident response. Wat is er precies gebeurd? Is er adequaat gehandeld? Had dit incident voorkomen kunnen worden? De geleerde lessen worden meegenomen bij de herziening van het IRP. Ook kan de verzamelde data tijdens een incident inzichten geven in de werkwijze van het incident of de aanvalsmethode. Met dit inzicht kan leiden tot een betere beveiliging. - Herziening
Het IRP is een levend document dat periodiek geactualiseerd moet worden. Er kunnen nieuwe systemen aangeschaft worden, risico's en dreigingsbeeld kunnen veranderen en ook de maatregelen die je moet nemen om adequaat te reageren op een cyberincident, kunnen wijzigen. Daarom is het aan te raden om het IRP jaarlijks - of na grote wijzigingen - te onderhouden en te herzien.
De NIS2-Quickscan
De NIS2-Quickscan is een tool voor organisaties die willen weten hoe zij zich kunnen voorbereiden. Deze scan is met name bedoeld voor IT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. De scan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de NIS2.
Meldplicht
De Europese NIS2-richtlijn schrijft voor dat organisaties incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om significante cyberincidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. Een incident wordt als significant beschouwd als het:
- een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken; of
- andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.
Een cyberincident moet ook gemeld worden bij het Computer Security Incident Response Team (CSIRT) dat vervolgens hulp en bijstand kan leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
Afspraken maken met IT-dienstverlener(s)
Vaak heb je hulp van een IT-dienstverlener voor het beheer en onderhoud van je IT- en OT-systemen. Het is belangrijk om goede afspraken met hen te maken, zeker als het gaat om incident response. Veel afspraken leg je vast in een zogenoemde Service Level Agreement (SLA). Dit is een overeenkomst tussen een aanbieder en een afnemer van een product of dienst en bevat specifieke afspraken over bijvoorbeeld back-ups, updates, monitoring, onderhoud en beveiliging. Afspraken die te maken hebben met incident response bij cyberincidenten, leg je separaat vast met je IT-dienstverlener(s). Je kunt de hulp van je IT-dienstverlener vragen bij het opstellen van je IRP. Belangrijk is dat dat ze zich conformeren aan de verantwoordelijkheden die het IRP hen toekent. En het helpt om eens een scenario gezamenlijk te oefenen.
Heb je inzichtelijk van welke IT-dienstverleners je organisatie qua incident response afhankelijk is? Zijn er nog geen afspraken vastgelegd en wil je dit snel gaan doen? Gebruik dan Gesprek met je IT-dienstverlener als hulpmiddel.
Aan de slag met "Incidentresponsplan Ransomware"
Een ransomware-aanval op je bedrijf is heel ingrijpend. Onder de druk van zo'n aanval is het lastig om planmatig te werken. Wat zijn de essentiële stappen die je moet nemen? Bereid je bedrijf voor op een ransomware-aanval met het Incidentresponsplan Ransomware van het Nationaal Cyber Security Centrum (NCSC). Elk incident en elke organisatie is natuurlijk anders. Het incidentresponsplan biedt daarom geen pasklare oplossing voor alle mogelijke situaties, het is meer een inspiratiebron om snel mee aan de slag te gaan.