4. Incidentbehandeling

De gevolgen van een verstoring, uitval, datalek of cyberaanval kunnen ernstig zijn. Daarom wil je bij een incident adequaat reageren om negatieve gevolgen te beperken. Een Incident Response Plan (IRP) helpt je organisatie hierbij.

Hoe maak je een Incident Response Plan?

Incident response is het proces van het beheer en mitigatie dat je doorloopt als er een incident plaatsvindt. Je kunt je acties beter bedenken wanneer er geen tijdsdruk op zit. Daarom maak je een plan zodat er gecoördineerd actie genomen kan worden ten tijde van een incident: een Incident Response Plan.

Het plan bevat een set instructies om medewerkers te helpen om beveiligingsincidenten te detecteren, hierop te reageren en mogelijke schade te herstellen. Bijvoorbeeld in het geval van een verstoring, een datalek of een digitale aanval. Het doel is om snel, kalm en adequaat te kunnen reageren om schade te beperken en herstelwerkzaamheden te minimaliseren.

Beleid opstellen

De invulling van een IRP kan per organisatie verschillen. Toch zie je vaak de volgende stappen of elementen terug in een IRP:

• Maak een risicoanalyse
  De basis van het opstellen van een IRP ligt bij het uitvoeren van een risicoanalyse. Welke incidenten hebben in het verleden plaatsgevonden? Welke dreigingen zijn bekend? Wat zijn je kwetsbare systemen of processen? Dit zijn enkele vragen die je helpen om de risico's met de hoogste prioriteit in beeld te krijgen zodat je daarop voorbereidingen kunt treffen.
• Maak scenario's
  Nu je weet waar de belangrijkste risico’s liggen, kun je deze verder uitwerken. Maak een duidelijk stappenplan waarin je omschrijft welk incident plaatsvindt, welke stappen je moet ondernemen en welke personen en partijen je moet betrekken of informeren. Voorbeelden van scenario’s zijn incidenten zoals ransomware, DDoS, malware of ongeautoriseerde toegang tot systemen.
• Benoem taken en beleg verantwoordelijkheden
  Om zo effectief mogelijk te kunnen handelen, moeten medewerkers (en IT-dienstverleners) weten welke taken en verantwoordelijkheden ze hebben. Te denken valt aan het analyseren en monitoren van dreigingen, maar ook het coördineren van crisisactiviteiten. Beleg de taken en verantwoordelijkheden in het IRP. Vergeet niet om de taken expliciet te beleggen bij de betrokkenen en te zorgen dat ze getraind zijn of het geoefend hebben.
• Zet een meldpunt op
  Wanneer iemand vermoedt dat er een incident of dreiging plaatsvindt, moet deze persoon snel aan de bel kunnen trekken. Zorg daarom dat het duidelijk is hoe je een incident meldt en wanneer dit mogelijk is (bij voorkeur 24/7). Zorg dat het ook duidelijk is wie communicatie naar externe partijen zoals afnemers, IT-leverancier, cloudleverancier, nooddiensten en nationale of sectorale CSIRT verzorgt. 
• Communiceer de plannen
  Zorg dat medewerkers op de hoogte zijn van het meldpunt, de scenario's en de eventuele andere contactpersonen. Als medewerkers weten dat het plan bestaat en hoe zij melding kunnen doen, kan er snel gehandeld worden.
• Opleiden, trainen, oefenen (OTO)
  Leid medewerkers op voor hun taken, train de handelingen en processen en oefen dit met regelmaat zodat dit een natuurlijke handeling wordt en er geleerd kan worden van fouten en belemmeringen. Zorg dat de plannen goed geborgd en veilig bewaard worden. Zorg echter wel dat de plannen toegankelijk zijn voor iedereen in het geval van een incident.
• Effectieve incident response
  Wanneer er daadwerkelijk een incident plaatsvindt, is het belangrijk dat de volgende fases doorlopen worden. Deze fases leg je ook vast in het IRP.

• Voorbereiding
  In de meeste gevallen draait je organisatie zoals het hoort en zijn er geen lopende incidenten. Je zit in een 'business-as-usual'-fase. Tijdens deze fase ben je echter wel bezig met incident response. Je treft voorbereidingen voor een mogelijk incident en er zijn medewerkers die zich bezighouden met het monitoren van de IT- en OT-omgevingen. De volgende zaken kun je voorbereiden:
  • Communicatie en faciliteiten:
    Stel een contactenlijst of bellijst op zodat je op het moment van een incident weet wie je in moet schakelen. Bedenk welke faciliteiten je nodig hebt; welk materiaal (hard- en software), welke locaties, en welk personeel wil je tot je beschikking hebben?
  • Hard- en software en middelen voor analyses:
    Ter voorbereiding op een incident kan worden nagedacht over materiaal (hard- en software) dat nodig is voor het analyseren van een incident. Denk hierbij bijvoorbeeld aan back-up apparaten, extra werkstation of verwijderbare media die te vertrouwen zijn.
  • Minimaliseer de kans op incidenten
    Door jezelf te beschermen tegen virussen en andere malware, voorkom je dat kwaadwillenden van buitenaf via 'foute software' schade veroorzaken aan je apparaten, software of data. Ook beperk je zo dat ze de controle overnemen over jouw systemen en je bedrijf vervolgens afpersen om losgeld (ransom) te betalen. Het inzetten van de juiste anti-malware software en het trainen van personeel zijn stappen die je in de voorbereiding neemt. Basisprincipe 5 geeft hier handvatten voor.
• Identificatie
  Er zijn veel verschillende cyberincidenten te onderscheiden. Hoe je moet reageren, verschilt per incident. Voor het identificeren en prioriteren kun je de volgende gebeurtenissen of aanvalsmethoden als 'kapstokken' gebruiken:
  • aanvallen via internet;
  • aanvallen via e-mail;
  • onjuist gebruik of handelen door een gebruiker;
  • verlies of diefstal;
  • externe media (zoals USB);
  • en aanvallen via een brute force methode.

  Wanneer er een incident ontdekt wordt, zit je in een analysefase. Je analyseert wat er gebeurd is, wat de omvang en de ernst van het incident is en je verzamelt gegevens over het incident. In sommige gevallen kan dit als bewijsmateriaal gelden, dus is het van belang dit accuraat te doen.

• Beperking en uitroeiing
  Hoe je het incident verhelpt en de schade beperkt, is volledig afhankelijk van het incident. Bij een storing zal het vooral gaan om het herstellen van de apparatuur of het in gebruik nemen van een back-up. Wanneer het een criminele activiteit - zoals een aanval - betreft, is het belangrijk te zorgen dat de aanvaller niet bij belangrijke informatie kan.
• Herstel
  Na het incident kunnen de systemen hersteld worden naar de normale werking van de IT-systemen. Eventuele kwetsbaarheden of configuratiefouten worden verholpen om soortgelijke incidenten te voorkomen. Kijk na het herstel of er nog abnormaal gedrag plaatsvindt. Test of alles naar behoren werkt.
• Geleerde lessen
  Evalueer het incident en de incident response. Wat is er precies gebeurd? Is er adequaat gehandeld? Had dit incident voorkomen kunnen worden? De geleerde lessen worden meegenomen bij de herziening van het IRP. Ook kan de verzamelde data tijdens een incident inzichten geven in de werkwijze van het incident of de aanvalsmethode. Met dit inzicht kan leiden tot een betere beveiliging. 
• Herziening
  Het IRP is een levend document dat periodiek geactualiseerd moet worden. Er kunnen nieuwe systemen aangeschaft worden, risico's en dreigingsbeeld kunnen veranderen en ook de maatregelen die je moet nemen om adequaat te reageren op een cyberincident, kunnen wijzigen. Daarom is het aan te raden om het IRP jaarlijks - of na grote wijzigingen - te onderhouden en te herzien.