Rijkslogo, link naar home
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Kwetsbaarheden in Ivanti EPMM 

Lees de alert met tijdlijn, scanscript, duiding en handelingsperspectieven.

Incidentresponseplan

Kennisartikelen
Leestijd:
Incidenten en herstellen
Beginnen
De gevolgen van een verstoring, datalek of cyberaanval kunnen ernstig zijn. Daarom is het belangrijk dat er in het geval van een incident adequaat gereageerd wordt om negatieve gevolgen te beperken. Incidentresponse kan je hiermee helpen.

Wat is incidentrespons?

Incidentresponse is het proces waarmee een organisatie omgaat met een incident en de gevolgen van een incident. Het is raadzaam om een plan te hebben zodat er gecoördineerd actie genomen kan worden wanneer een incident plaatsvindt: een IncidentResponsPlan (IRP).

Een incidentresponsplan kan worden omschreven als een set instructies om medewerkers te helpen om beveiligingsincidenten te detecteren, hierop te reageren en mogelijke schade te herstellen. Bijvoorbeeld in het geval van een verstoring, een datalek of een digitale aanval. Het doel is om snel, kalm en adequaat te kunnen reageren om schade te beperken en herstelwerkzaamheden te minimaliseren.

Hoe maak je een incidentresponsplan?

Vroeg of laat kan iedere organisatie te maken krijgen met een cyberincident. Incidentrespons gaat over hoe jij of jouw organisatie hier op een gestructureerde manier mee omgaat. De juiste voorbereiding en een incidentresponsplan kunnen schade verkleinen.

Stap1: Beleg de rollen en verantwoordelijkheden

Om zo effectief mogelijk te kunnen handelen in het geval van een incident is het belangrijk om medewerkers te hebben om diverse taken uit te voeren. Welke medewerker verleent digitale hulpverlening? En wie analyseert en monitort de dreiging? Is er iemand die een crisis kan coördineren. Het opstellen van een incidentresponsteam kan hierbij helpen. Zorg dat duidelijk is wie de leden van dit team zijn, welke verantwoordelijkheden zij hebben en dat zij getraind zijn.

Stap 2: Doe een risicoanalyse

Welke risico's hebben in het verleden plaatsgevonden, welke dreigingen bestaan er, wat zijn kwetsbare systemen, welke dreigingen zijn het meest waarschijnlijk? Dit zijn allemaal vragen die je kunnen helpen voor te bereiden op een mogelijk incident. Het maken van een risicoanalyse biedt handvatten om effectief te kunnen monitoren op incidenten en acties te ondernemen om risico's te verminderen.

Stap 3: Omschrijf scenario's

Nu je weet waar de grootste risico’s liggen, kun je deze risico’s uitwerken. Maak een duidelijk stappenplan waarin je omschrijft welk incident plaatsvindt, welke stappen er ondernemen moeten worden en welke personen en partijen er betrokken of geïnformeerd moeten worden. Een dergelijk plan zorgt voor duidelijkheid in het geval van een incident.

Stap 4: Zet een meldpunt op

Wanneer iemand vermoedt dat er een incident of dreiging plaatsvindt, moet deze persoon snel aan de bel kunnen trekken. Zorg daarom dat het duidelijk is hoe een incident gemeld kan worden en wanneer dit mogelijk is (bij voorkeur 24/7). Zorg dat het ook duidelijk is wie communicatie naar externe partijen (zoals een IT-leverancier, cloudleverancier of zelfs de nooddiensten) doet. Maak hiervoor je eigen bellijst voor noodsituaties.

Zorg ook dat je zelf bereikbaar bent indien door anderen geconstateerd is dat je IT-systemen kwetsbaar zijn. Dat kan via vrij eenvoudig door een security.txt-bestand te maken.

Stap 5: Communiceer de plannen

Zorg dat medewerkers op de hoogte zijn van het meldpunt, de scenario's en de eventuele andere contactpersonen. Als medewerkers weten dat het plan bestaat en hoe zij melding kunnen doen, kan er snel gehandeld worden.

Stap 6: Borgen, oefenen en leren

Zorg dat de plannen goed geborgd en veilig bewaard worden. Zorg echter wel dat de plannen toegankelijk zijn voor iedereen in het geval van een incident. Daarnaast is het belangrijk om incidenten te blijven oefenen zodat dit een natuurlijke handeling wordt en er geleerd kan worden van fouten en belemmeringen.
Oefen een ransomware-aanval met je crisisteam
 

Hoe zorg je voor effectieve incidentresponse?

Wanneer er daadwerkelijk een incident plaatsvindt, is het belangrijk dat de volgende fases doorlopen worden. Deze fases leg je ook vast in het incidentresponseplan.

  1. In de meeste gevallen draait je onderneming zoals het hoort en zijn er geen lopende incidenten. Je zit in een 'business-as-usual'-fase. Tijdens deze fase ben je echter wel bezig met incident response. Je treft voorbereidingen voor een mogelijk incident en hebt medewerkers die zich bezighouden met het monitoren van de IT-omgevingen.
  2. Wanneer er een incident ontdekt wordt, zit je in een analysefase. Je analyseert wat er gebeurd is, wat de omvang en de ernst van het incident is en je verzamelt gegevens over het incident. In sommige gevallen kan dit als bewijsmateriaal gelden, dus is het van belang dit accuraat te doen.
  3. Na het ontdekken en identificeren van het incident is het noodzaak het incident te verhelpen en schade te beperken. De acties die hierbij genomen worden, zijn volledig afhankelijk van het incident. Bij een storing zal dit vooral gaan om het herstellen van de apparatuur of het in gebruik nemen van een back-up. Wanneer het een criminele activiteit - zoals een aanval - betreft, is het belangrijk te zorgen dat de aanvaller niet bij belangrijke informatie kan.
  4. Na het incident kunnen de systemen hersteld worden. Kijk hierbij of er nog abnormaal gedrag plaatsvindt en wat hiervan de oorzaak is. Test of alles naar behoren werkt.
  5. Evalueer het incident en de incident response. Is er kordaat gehandeld? Had het incident voorkomen kunnen worden? Dit kan worden meegenomen voor een mogelijk volgend incident.

Good practices voor CISO's

Speciaal voor CISO's van organisaties die onder de Cyberbeveiligingswet verzamelden we inzichten en good practices voor een incidentresponseplan. Bekijk de bouwstenen van zo'n incidentresponseplan.

Incidentresponsplan voor CISO's
Formulier
Heeft deze pagina je geholpen?