Hulp en ondersteuning bij cyberincidenten
Met ons grote netwerk zijn wij in staat om snel en breed waardevolle inzichten op te halen en te delen. Zo kunnen wij de impact van incidenten (op nationaal niveau) snel minimaliseren. We staan naast organisaties in crisistijd, zonder commerciële belangen; jouw veiligheid staat voorop.
Samen stellen we vast wat er is gebeurd, hoe ernstig het is en wat de eerste acties kunnen zijn. Zo zorgen we dat je inzicht krijg, de controle behoudt en herstelstappen zelf kunt nemen of in samenwerking met een Incident Response (IR) partij. Per incident beoordelen wij welke inzet het NCSC kan leveren, dit doen we aan de hand van een inzetmatrix waarin diverse criteria getoest worden.
Identificatiefase
Bij een incident focussen wij ons op de identificatiefase. Dat houdt in dat we proberen inzicht te krijgen in de situatie, om er zo achter te komen wat er aan de hand is. Dat noemen we de identificatiefase van het incident response proces (een van de stappen die je moet nemen om een cyberincident onder controle te krijgen).
Waarom de identificatiefase cruciaal is
Zonder een goed beeld van wat er aan de hand is, is effectief reageren onmogelijk.
Helderheid en begrip van de situatie helpen om:
- De schade en impact van een aanval te minimaliseren
- De juiste mensen en middelen in te schakelen
- Sneller controle te krijgen over de situatie
- Herstelprocessen efficiënt op te starten
De twee dienstverleningen van het NCSC
Hulp en ondersteuning bij cyberincidenten
Wij leveren hulp bij incidenten door het bieden van technische ondersteuning. Primair in de identificatiefase van een incident zodat organisaties zelf of met IR-partijen aan de slag kunnen.
Incident coördinatie gericht op de weerbaarheid van Nederland
Wij zorgen voor de uitwisseling van (verrijkte) incidentinformatie met organisaties, sectoren en Nederland om zo de weerbaarheid tegen cyberincidenten in Nederland te verhogen.
Getroffen organisaties kunnen hulp verwachten in de volgende vormen:
- Triage: Helderheid over de situatie.
- Incident coördinatie: Het begeleiden en ondersteunen van een entiteit gedurende een cyberincident, remote of op locatie.
- Data-acquisitie: Het, voor onderzoek, verzamelen van data van een infrastructuur, een specifiek systeem of vanuit de cloud.
- Forensische analyse: Onderzoek gericht op het verzamelen en overzichtelijk maken van gebeurtenissen op een systeem of netwerk.
- Malware-analyse: Het onderzoeken van de werking van (kwaadaardige) software die wordt ingezet door kwaadwillenden om geautomatiseerd malafide acties uit te voeren.
- Duiding & handelingsperspectief: Op basis van de verkregen of onderzochte informatie de betekenis vaststellen van incidenten en het geven van mogelijkheden richting de getroffen organisatie om in controle te komen van de situatie.
Organisaties en sectoren binnen Nederland kunnen hulp verwachten in de volgende vormen:
- Duiding & handelingsperspectief: Op basis van de verkregen of onderzochte informatie de betekenis vaststellen van incidenten en het geven van mogelijkheden om in controle te komen van de situatie.
- Informatie-uitwisseling: Het coördineren en faciliteren van het delen van informatie ter voorkoming of beperking van cybersecurity incidenten.
- Adviesproducten: Documenten met advies voor organisaties om zo goed mogelijk voorbereid te zijn op incidenten – of te gebruiken als handreiking gedurende incidenten.
- Cyber intelligence: Het verzamelen, valideren, analyseren en verspreiden van informatie aangaande huidige of opkomende cyberdreigingen.
Wanneer je een Incident Response (IR) partij moet inschakelen
Wij ondersteunen getroffen organisaties in de identificatiefase. Voor de overige fases - containment, eradication en recovery - is het essentieel om een gespecialiseerde IR-partij tijdig te betrekken of de kennis 'in house' te hebben.
Wacht niet te lang! Hoe eerder een IR-partij wordt ingeschakeld, hoe groter de kans op het beperken van schade. Zorg dat je vooraf weet met welke partij je samenwerkt.
Jouw organisatie blijft altijd verantwoordelijk
De uiteindelijke verantwoordelijkheid voor de response ligt bij jouw organisatie. Wij geven advies, maar jij zit zelf aan de knoppen bij de uitvoering van herstelmaatregelen.
Incident melden?
Wij vormen het Computer Security Incident Response Team (CSIRT) voor belangrijke en essentiële organisaties uit bepaalde sectoren in Nederland. Het NCSC heeft een meldpunt voor cyberincidenten dat 24 uur per dag, 7 dagen per week bereikbaar is. Organisaties kunnen meldingen sturen naar cert@ncsc.nl of een vrijwillige NIS2-incidentmelding doen via dit formulier.