Incident Response Plan in 10 stappen

Beveiliging van een IT omgeving puur gericht op het buiten de deur houden van cyberdreigingen is onrealistisch. Beveiligingsincidenten doen zich vroeg of laat voor. Een effectief Incident Respons Plan is dan ook steeds belangrijker. Want hiermee verstevig je de verdediging van binnenuit, beperk je de schade en voorkom je herhaling. En niet onbelangrijk: sta je als organisatie veel steviger in de schoenen wanneer de aangescherpte meldplicht je verplicht tot het melden van een incident.

Organisaties zijn geliefde doelwitten van cybercriminelen. Ze beschikken immers vaak over waardevolle gegevens, of simpelweg veel geld. Maar ook interne medewerkers met minder goede bedoelingen kunnen schade toebrengen. Cyberincidenten zijn dan ook al zo oud als de IT zelf en gaan bovendien verder dan hackers en malware. Ook goedwillige medewerkers maken fouten. Immers: waar gewerkt wordt, vallen spaanders en mensen zijn allesbehalve onfeilbaar. Dat is meteen de belangrijkste reden waarom iedere organisatie, vroeg of laat, met veiligheidsincidenten te maken krijgt.

Zeker met de naderende aangescherpte wetgeving is het belangrijk dat organisaties een plan hebben klaarliggen voor wanneer een cyberincident plaatsvindt. Niet alleen om een binnengedrongen hacker onschadelijk te maken en het lek te dichten. Maar ook zodat ze bij een mogelijk gerechtelijk onderzoek bij bijvoorbeeld een datalek zaken goed kunnen reconstrueren. Een organisatie moet dan ook zoveel mogelijk informatie verzamelen over het incident.

Zoiets vereist een sluitend plan, een zogeheten ‘Incident Respons Plan’. Het is goed dit plan te documenteren, zodat iedereen altijd weet wat er van hem of haar op het gegeven moment wordt verwacht. Een passende vergelijking is dat met een vluchtplan voor de brandveiligheid. Iedere organisatie moet er een hebben, en ook moet deze regelmatig worden geoefend. Zodat iedereen op de hoogte is en weet wat de verantwoordelijkheden zijn.

Een Incident Respons Plan bestaat globaal uit de volgende 10 stappen:

1. Stel een team samen en verdeel taken
Een Incident Respons Plan werkt natuurlijk alleen goed als de juiste mensen de juiste taken beetpakken. Het is weliswaar een teken van betrokkenheid als de hele organisatie zich met het incident bemoeit, maar beter is een klein team samen te stellen waarbinnen ieder een gerichte taak heeft. Denk aan een leidinggevende, iemand die onderzoek doet naar de inbraak, iemand die zich ontfermt over alles wat met Nederlands recht te maken heeft. En een systeembeheerder die de juiste rechten op het netwerk kan verschaffen. Ook een communicatiespecialist is nuttig, want het is niet altijd verstandig een IT-er direct met de pers te laten praten.
Zorg dat iedereen weet wat zijn of haar taken zijn bij een incident. Betrek bovendien het gehele team erbij, zonder uitzonderingen. Iedereen heeft op dit gebied een verantwoordelijkheid, al was het maar om bijvoorbeeld bepaalde zaken bij een incident uit veiligheidsoverwegingen zich van commentaar te onthouden wanneer de pers ernaar vraagt.

2. Situational Awareness
Een goede ‘situational awareness’ helpt enorm bij het nemen van effectieve maatregelen na een incident. Weet wat er binnen je organisatie en op je infrastructuur gebeurt. Je hoeft echt niet alle technisch details te weten, maar het helpt als je kennis hebt van de werking en indeling van het bedrijfsnetwerk. Controleer ook waar de meer specialistische kennis zich bevindt. Is dat in de hoofden van de verantwoordelijken, of is het ergens gedocumenteerd?
Het is zeer belangrijk van tevoren goed op de te hoogte zijn van het bedrijfsnetwerk. Daarbuiten is het ook belangrijk om vragen te stellen als:

  • Welke personen of groeperingen zouden het niet eens kunnen zijn met onze bedrijfsactiviteiten?
  • Wat is het sentiment op social media over ons bedrijf?
  • Horen we klachten of bedreigingen via kanalen als sales en customer service?
  • Zijn er in onze branche incidenten geweest die voor ons belangrijk zijn?

3. Wetgeving
Belangrijk is dat je bedrijfsvoering en dataverwerking gebeurt volgens de nationale wetgeving. Mocht bij een inbreuk op de beveiliging blijken dat je niet hebt voldaan aan wat juridisch gezien noodzakelijk is, dan sta je bij een eventuele rechtszaak natuurlijk zwak. Houd er ook rekening mee dat de schuldige van een cyberincident een interne medewerker kan zijn. Het is prettig om van tevoren vast te leggen wat er in zo’n geval moet gebeuren en wat voor medewerkers de consequenties zijn.

4. Deel kennis met je vakgenoten
Geen enkele organisatie kan in zijn eentje alle kennis en kunde bezitten die nodig is bij een cyberincident. Kennisuitwisseling met vakgenoten op dat gebied is dan ook vrijwel altijd erg waardevol. Schroom niet om kennis en ervaringen rondom cybersecurity en cyberincidenten te delen met branchegenoten, ook als dit directe concurrenten zijn. Je concurreert immers op je product of dienstverlening, niet op security.

5. Zorg voor een communicatieplan
Een cyberincident kan de nodige media-attentie opleveren. Dat is meestal geen positieve aandacht. Maar wat je zegt en vooral wat je niet zegt, kan een groot verschil maken. Zeker wanneer forensisch onderzoek nog loopt. Het is verstandig dit aan getrainde crisiscommunicatieprofessionals over te laten.
Maar ook een plan voor communicatie met derde partijen is belangrijk. Bijvoorbeeld aan leveranciers of beheerders van (cloud)applicaties, netwerkfaciliteiten of externe support. Weet wie je nodig hebt en hoe je hen kunt bereiken in het geval van een incident.
Het is belangrijk dat je als organisatie transparant bent over de data die je bewaart. Maar waakzaamheid is geboden: speel kwaadwillenden niet in de kaart door details vrij te geven die hen mogelijk verder helpen. Vergelijk het met een politiewoordvoerder, hij of zij zal ook nooit details vrijgeven die criminelen in de kaart spelen.

6. Win zoveel mogelijk informatie in
Vindt een incident plaats, dan is het belangrijk zoveel mogelijk informatie over het voorval te verzamelen. Probeer het zo goed mogelijk te reconstrueren: welke informatie hebben we? Wie detecteerde het incident? Is het überhaupt een incident, of is er iets anders aan de hand? Om wat voor incident gaat het eigenlijk? En wie of wat is precies getroffen? Breng alles in kaart.

Zeker voor forensisch onderzoek bij een beveiligingsincident is het belangrijk precies te weten wat de ‘touch points’ zijn geweest. Wie konden er allemaal bij die data en welk pad hebben die data afgelegd? Aandachtspunten zijn bijvoorbeeld login-pogingen, veranderingen aan wachtwoorden, wijzigingen in permissies en/of rollen van gebruikers.

Er zijn allerlei specialistische tools op de markt die alarmbellen laten afgaan bij verdachte situaties. Maar of je daar nu tools voor gebruikt of zelf door de logs gaat: hoe meer informatie je vooraf in kaart hebt gebracht, hoe gemakkelijk je afwijkingen kunt constateren.

7. Incident-eliminatie
Is een incident eenmaal ontdekt, dan is het belangrijk het gevaar indien mogelijk zo snel mogelijk te elimineren. Afhankelijk van de situatie betekent dat bijvoorbeeld verwijdering van de malware, het blokkeren van toegangsrechten van de kwaadwillende gebruiker of het dichten van een beveiligingslek. Maar dat alleen is niet genoeg: kijk vooral goed wat de oorzaak van het incident is geweest en neem adequate maatregelen. Heeft de IT-afdeling een patch gemist? Is er sprake van een foute configuratie? Loopt er een kwaadwillende medewerker rond? Of hebben andere organisaties een soortgelijk incident gehad? Zonder maatregelen die de oorzaak wegnemen is het wachten op het volgende incident.

8. Herstel
Systeembeheerders zijn vaak goed in het draaiende houden van het bedrijfsnetwerk. Maar weten ze ook wat er moet gebeuren voor het herstel na een calamiteit? Zijn bijvoorbeeld procedures voor het terugzetten van back-ups goed geregeld? Ga ook na wat de ‘lessons learned’ zijn, zodat in het vervolg het Incident Respons Plan nog beter functioneert.

9. De buitenwereld informeren
Wanneer alle IT weer volledig functioneert, deel je het beste de ervaringen met klantrelaties en concurrenten. Vanaf 1 januari 2016 moet je bovendien incidenten waarbij de bescherming van persoonsgegevens in gevaar is, altijd melden aan het AP. Heeft het incident mogelijk gevolgen voor de betrokken personen, bijvoorbeeld vanwege een vermeend lek, dan moeten ook zij hiervan op de hoogte worden gebracht. Het is goed van tevoren al scherp te hebben wie deze taken op zich neemt en wat het plan van aanpak is.

10. Maak gebruik van externe expertise
Als organisatie kun je je maar tot een bepaald niveau voorbereiden op en verdedigen tegen cyberdreigingen. Het is immers niet je core business. Er zijn in Nederland diverse gespecialiseerde organisaties die hierbij kunnen helpen. Vanuit een zogeheten SOC (Security Operations Center) monitoren zij continu dreigingen en kunnen zij hier pro-actief voor waarschuwen. Ook bieden zij ondersteuning, zoals pro-actieve monitoring van het netwerk en het isoleren en uitschakelen van aanwezige dreigingen.

Belangrijker nog is dat deze organisaties 24×7 bewijsmateriaal verzamelen. Mocht je als organisatie in het ongelukkige geval terechtkomen waarbij een klant of partner jou beschuldigt van een datalek, dan kan je weerbaar optreden door aan te tonen of er wel of geen incidenten plaats hebben gevonden.

Met een gedegen Incident Respons Plan sta je als organisatie veel sterker. Het versnelt forensisch onderzoek, minimaliseert schade, voorkomt zover als dat mogelijk is herhaling en vermindert negatieve publiciteit. Volledigheid is absoluut geen schande: hoe meer procedures, rollen, tools, contactpersonen, verantwoordelijkheden en afspraken gedocumenteerd zijn, hoe effectiever je als organisatie kunt reageren op het moment dat dat het hardst nodig is.

Nieuwsgierig geworden naar meer? Neem dan gerust contact met mij op.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *