Hoe herstel ik van een cyberincident?
Doelgroep:
CISO’s die aan de slag willen met het vergroten van het herstelvermogen van hun organisatie, maar die in hun organisatie nog geen herstelfase hebben ingericht.
De rol van herstel in incidentrespons
Herstel is een belangrijk onderdeel van incident respons. Nadat een incident is gedetecteerd, geanalyseerd en de oorzaak is verwijderd, richt de herstelfase zich op het veilig terugbrengen van systemen, diensten en processen naar hun normale werking. Het doel van herstel is niet alleen om systemen weer operationeel te maken, maar ook om ervoor te zorgen dat dit op een gecontroleerde en veilige manier gebeurt, zodat het incident zich niet opnieuw voordoet of verder escaleert.
Herstel waarvan?
Herstellen is dus belangrijk, maar niet elke verstoring, aanval of fout leidt direct tot een cyberincident. Wat is dan een cyberincident? Een cyberincident is een incident dat je IT-capaciteiten verstoort waardoor belangrijke diensten niet meer verder werken. Het is daarom belangrijk dat je terug kunt vallen op plannen, procedures en afspraken zodat de hersteloperatie zo goed en effectief mogelijk wordt opgestart en uitgevoerd. Bijvoorbeeld: jouw website valt uit, je database werkt niet meer of gegevens zijn niet meer te gebruiken.
Inrichten van herstel
Voordat een cyberincident je organisatie treft, is het van belang om herstel in je organisatie in te richten. Maar hoe doe je dat? Hieronder benoemen we de stappen waarmee je bouwt aan je herstelvermogen.
Stap 1: Weet wat je moet beschermen
Je organisatie volledig beschermen tegen elke vorm van uitval of cyberdreiging kan niet. Daarom is het belangrijk om je herstel risicogestuurd in te richten. Dat betekent dat je voorrang geeft aan producten, diensten en processen die essentieel zijn voor het voortbestaan en functioneren van jouw organisatie. Voer een risicoanalyse uit om zicht te krijgen op wat je moet beschermen. Kijk hierbij naar de impact van uitval of verstoring (in bijvoorbeeld tijd, financiën, capaciteit).
Stap 2: Stel je maximale uitvalsduur vast
Je weet nu wat je moet beschermen, maar hoe weet je wanneer je effectief weerbaar bent? Daarvoor moet je jouw relevante KPI’s bepalen. Een onderdeel daarvan is dat je voor je essentiële producten, diensten of processen moet bepalen hoe lang uitval acceptabel is (Maximum Tolerable Period of Disruption, MTPD).
Dit is wanneer uitval écht kritiek wordt voor jouw organisatie. Na hoeveel tijd (uren, dagen, weken) zorgt uitval van het leveren van een product of dienst ervoor dat het echt kritiek wordt? Dit is belangrijk voor het inrichten van je herstelproces, want duurt het herstellen langer dan de MTPD, dan heeft dat serieuze gevolgen voor het voortbestaan van je organisatie.
Je moet ook bepalen hoe snel je wilt herstellen naar een acceptabel niveau (Recovery Time Objective, RTO). Als herstel langer duurt dan de RTO, loop je risico de MTPD te overschrijden en schade op te lopen.
Het is nodig om in deze fase het gesprek tussen de business en IT (en leveranciers) te faciliteren om belemmeringen in kaart te brengen en te adresseren. Daarnaast is het nodig te bepalen hoeveel dataverlies je kunt accepteren. Dit maak je duidelijk met de Recovery Point Objective (RPO). Op het moment dat er niet vaak genoeg een back-up wordt gemaakt van data, dan kun je tijdens een cyberincident data verliezen. Als dit dataverlies te groot is, dan leidt dat tot schade aan je organisatie.
Met de MTPD, RTO en de RPO krijg je zicht op de eisen die gesteld moeten worden aan je herstelvermogen (zie tabel 1). Ook in deze stap is het belangrijk je toeleveranciers en IT-dienstverleners te betrekken. Zij helpen met essentiële informatie om je MTPD, RTO en RPO te bepalen.
Tabel 1: RTO - RPO - MTPD scenario
RTO - RPO - MTPD scenario
Organisatie X is een softwarebedrijf dat met name software ontwikkelt voor grote supermarktketens. Een van hun belangrijkste diensten is een applicatie die supermarktvoorraden realtime bijhoudt en automatisch aanvult door tijdig in te kopen. Supermarkten zijn voor hun dagelijkse bedrijfsvoering sterk afhankelijk van deze dienst.
De applicatie draait steeds vaker in de cloud, zodat klanten geen eigen servers hoeven te beheren en updates automatisch worden uitgevoerd.
Doordat supermarkten volledig vertrouwen op actuele voorraadgegevens kan uitval of onjuiste informatie leiden tot financiële schade, bijvoorbeeld door lege schappen of verspilling van producten. Dit kan voor Organisatie X zelf leiden tot reputatieschade en financiële gevolgen.
Impactanalyse en MTPD
Op basis van onderzoek heeft Organisatie X vastgesteld dat uitval van de applicatie niet langer mag duren dan een halve werkdag (vier uur). Na deze periode ontstaat ernstige financiële schade bij klanten, met als gevolg ook reputatie- en financiële schade voor Organisatie X.
De Maximum Tolerable Period of Disruption (MTPD) is daarom vastgesteld op vier uur.
Hersteldoelen: RPO en RTO
Naast beschikbaarheid is ook datakwaliteit cruciaal. Organisatie X kan het zich niet permitteren om met data te werken die ouder is dan anderhalf uur. Voorraadinformatie verandert continu en moet zo actueel mogelijk zijn om fouten in inkoop en voorraadbeheer te voorkomen.
De Recovery Point Objective (RPO) is daarom vastgesteld op anderhalf uur.
Ook de cloudomgeving zelf is een kritisch onderdeel. Als deze verstoord raakt, zijn de voorraden niet inzichtelijk en vindt er geen automatische verwerking plaats. Om dit risico te beperken heeft Organisatie X een noodomgeving ingericht op een alternatieve cloudlocatie.
Het activeren van deze noodomgeving, inclusief het terugzetten van data uit back-ups, duurt ongeveer drie uur.
De Recovery Time Objective (RTO) is daarmee vastgesteld op drie uur.
Herstelmaatregelen
Als onderdeel van het herstelvermogen heeft Organisatie X een back-up strategie ingericht die aansluit op de vastgestelde RPO. Van de voorraaddata worden regelmatig back-ups gemaakt, zodat bij herstel gebruik kan worden gemaakt van zo actueel mogelijke gegevens. Deze back-ups worden ingezet bij het herstellen van data in de noodomgeving. Het is van vitaal belang dat je back-up schoon is; dus niet aangetast door wat het cyberincident heeft veroorzaakt.
Daarnaast heeft Organisatie X maatregelen getroffen om verstoringen in de cloudomgeving op te vangen. Hiervoor is een noodomgeving ingericht op een alternatieve cloudlocatie. In geval van een verstoring kan hiernaar worden overgeschakeld, waarna systemen opnieuw worden ingericht en data vanuit back-ups wordt teruggezet.
Om het herstel binnen de vastgestelde termijnen te laten verlopen, zijn er afspraken gemaakt over het activeren van deze maatregelen. Daarbij is vastgelegd wie verantwoordelijk is voor de besluitvorming en uitvoering tijdens een verstoring.
Testen, evaluatie en aanscherping
Op basis van tests en een oefening met een klant komt Organisatie X erachter dat het inrichten toch vaak wat langer duurt. Hierdoor kan bij een echte verstoring de hersteltijd langer duren dan toelaatbaar is volgens de vastgestelde RTO.
Daarnaast komen ze tot de conclusie dat het verstandig is om elk uur een back-up te maken en deze regelmatig te testen, zodat zowel de RPO als de RTO beter geborgd blijft.
Stap 3: Ontwikkel een herstelplan
Met de inzichten uit de risicoanalyse en het vaststellen van de maximale uitvalduur maak je een herstelplan (ook wel (IT) Disaster Recovery Plan genoemd).
Een herstelplan is een document waarin staat hoe je na een cyberincident weer snel en veilig kunt werken. Het herstelplan is je draaiboek dat tijdens een cyberincident gebruikt wordt om effectief en snel te kunnen herstellen. Het plan moet actueel en altijd beschikbaar zijn. Een herstelplan of een scenariokaart (zie hieronder) bevat mogelijk gevoelige gegevens. Bedenk hoe je je plannen beschermt en beschikbaar houdt. Een oplossing is de plannen op versleutelde laptops op te slaan, of goed beveiligde externe locaties te gebruiken die losstaan van het eigen netwerk.
In een herstelplan beschrijf je:
Activatie, uitvoering en beëindiging
Beschrijf door wie en bij welke situaties het herstelplan geactiveerd moet worden en wie het vervolgens uitvoert. Beschrijf vervolgens welke besluiten genomen mogen worden binnen welke rol (bijvoorbeeld ‘stekkermandaat’). Meestal ligt de beslissingsbevoegdheid voor activatie, uitvoering en beëindiging van het herstelplan bij het hoger management. Zij kunnen een herstelmanagementteam vormen waar de strategische besluiten worden genomen.
Rollen en verantwoordelijkheden
In het herstelplan is beschreven wie er in het herstelteam zit, welke rollen zij hebben (netwerkteam, applicatieteam, serverteam, communicatieteam) en – niet onbelangrijk – wat hun contactgegevens zijn. Een notificatielijst of bellijst is daarin onmisbaar. Denk ook na over toeleveranciers en IT-dienstverleners en hun contactgegevens. Beschrijf welke rol zij hebben in het herstelproces en welke afspraken (SLA’s) en contracten relevant zijn.
Bespreek welke eisen je stelt aan continuïteit en welke inspanningen jij verwacht van de leveranciers om je hersteltijd af te stemmen op je eisen uit de BIA. Denk vooraf na over wie welke verantwoordelijkheden heeft binnen het herstelproces en beschrijf deze in het herstelplan.
Scenariokaarten
Een goed herstelplan is actiegericht en in staat een handreiking te zijn voor het herstelteam op het moment dat een cyberincident plaatsvindt. Dat kan door het herstelplan aan te vullen met scenariokaarten (playbooks). Gebaseerd op de dreigingsanalyse uit de BIA, beschrijf je hier bondig scenario’s en hoe je daar stap-voor-stap van kunt herstellen. Denk aan scenario’s als ransomware, DDoS-aanval, uitval door een stroomstoring, brand, lekkage enzovoorts. Bedenk wel dat cyberincidenten in de praktijk vrijwel nooit precies passen op een scenariokaart.
Communicatieplan en uitwijklocatie
- Beschrijf hoe je in geval van een cyberincident communiceert richting diverse stakeholders. Zie hiervoor het kopje Maak melding van een incident onder Communicatie en coördinatie.
- Zorg voor alternatieve communicatiekanalen en uitwijklocaties (indien mogelijk), bijvoorbeeld voor het geval het internet of mobiele telefonie niet functioneert (out of band communications).
Inventaris van systemen en applicaties
Voeg een overzicht van alle systemen en applicaties toe en de onderlinge afhankelijkheden, leveranciers en dergelijke. Rankschik ze naar de impact op je bedrijfsvoering.
Netwerkbeschrijvingen en schema’s
Voeg netwerkbeschrijvingen en schema’s toe zodat je inzicht hebt in je netwerk en de onderlinge afhankelijkheden. De uitdaging hier is deze regelmatig up to date te houden. Daarom borg je dit in een proces.
Back-upstrategie
Een back-upstrategie is nodig in het geval een cyberincident de beschikbaarheid, integriteit of toegankelijkheid van data treft. Het is aan te raden de back-upstrategie in te richten aan de hand van de dreigingsanalyse uit de risicoanalyse. Een door water ondergelopen serverruimte vraagt immers om een ander type back-up dan een aanval met gijzelsoftware. Een goede back-upstrategie houdt rekening met diverse dreigingen en de onderliggende RTO’s en RPO’s van de getroffen producten, diensten en processen.
Overwegingen rondom back-upmedia (snapshots, harddisks, cloud), locaties (on-site, off-site, offline), type back-ups (volledig, incrementeel, differentieel) en bewaartermijnen zijn uiteindelijk allemaal afhankelijk van de risico’s, kosten, wet- en regelgeving en voorkeuren. Denk daarnaast ook aan het kunnen vervangen van hardware (switches, servers e.d.) en het back-uppen van systeem- en netwerkconfiguraties (virtuele machines, config-bestanden).
Tot slot is het raadzaam ook na te gaan welke afspraken (SLA’s) je met IT-leveranciers hebt gemaakt over systemen en applicaties die niet in eigen beheer zijn.
Stap 4: Oefen, test en train
Het papier is geduldig, maar op zichzelf onvoldoende. Een herstelplan alleen is niet genoeg als je het niet oefent en test. Het oefenen laat zien of het herstelvermogen overeenkomt met de doelen die je hebt vastgesteld en hoe effectief teams optreden.
Herstel kun je oefenen op verschillende manieren: Denk aan een tabletop-oefening, oefening met live herstel of meedoen aan de Overheidsbrede Cyberoefening.
Daarnaast is het regelmatig testen en het terugzetten van back-ups cruciaal. Hieruit blijkt of de back-ups in staat zijn de data terug te zetten naar het gewenste moment (RPO), resultaat (data-integriteit), de kwaliteit en hoelang dat duurt (RTO). Beoordeel op basis van de tests of de back-upstrategie voldoende is.
Tot slot is het periodiek opleiden en trainen van je collega’s belangrijk. Zij moeten vertrouwd raken met de taken die zij hebben in het herstelteam, processen beheersen, de herstelprocedures kennen en vlieguren maken in de uitvoering van herstelwerkzaamheden.
Ontwikkel een communicatieplan
Tijdens een cyberincident kun je niet zonder effectieve communicatie en coördinatie. Een cyberincident kan je organisatie flink bezighouden. Ook kan het zorgen voor onrust bij klanten, leveranciers en andere stakeholders, met reputatieschade als gevolg. Een communicatieplan, zoals eerder beschreven bij het herstelplan, is nodig omdat je veel overwegingen al van tevoren kunt uitdenken.
Denk aan:
Werken aan je cultuur
Herstellen van een cyberincident is mensenwerk. Mensen moeten het gevoel hebben dat zij veilig melding kunnen maken van een incident en het vertrouwen krijgen bij te kunnen dragen aan het herstel daarvan. Ruimte om fouten te maken is daar een belangrijke voorwaarde voor.
Interne communicatie
We raden aan om zo open en vooral zo feitelijk als mogelijk te communiceren zodat de juiste verwachtingen worden geschept en eventuele ruis wegneemt. Besef dat interne communicatie óók externe communicatie is. Stem daarom goed af wat er wordt gedeeld, door wie en wat de boodschap is. Communiceer wat je weet, maar ook wat je (nog) niet weet.
Externe communicatie
Klanten, leveranciers en andere stakeholders kunnen als gevolg van een cyberincident ook schade of hinder ondervinden. Ze kunnen afhankelijk zijn van jouw product- of dienstverlening of direct te maken krijgen met een vergelijkbaar cyberincident. Het is daarom voor het behouden van de relatie van belang snel, transparant en feitelijk te informeren over het incident. Vergeet daarbij niet een concreet handelingsperspectief te bieden.
Een belangrijke voorwaarde voor open communicatie is dat vooraf wordt nagedacht over de doelgroepen die moeten worden benaderd, waarbij wettelijke verplichtingen, belangen, informatiebehoeftes en reputatierisico’s centraal staan. Denk ook aan mogelijke juridische gevolgen van de communicatie. Dit vraagt om een zorgvuldige afweging.
Coördineer het herstel
Coördinatie van de hersteloperatie is nodig om ervoor te zorgen dat het herstel goed getimed wordt. Te vroeg of te laat herstellen kan ineffectief zijn of het verhelpen van een cyberincident in de weg zitten. Denk daarbij aan forensische sporen en de ‘chain-of-custody’.
Coördinatie tussen interne en externe stakeholders zoals managed service providers (MSP’s), systeemeigenaren, ontwikkelaars of autoriteiten is belangrijk om het herstel vlekkeloos te laten verlopen. En een praktisch punt: organiseer facilitaire ondersteuning (ruimtes, schrijfmateriaal, secretariële ondersteuning, rustmomenten e.d.).
Meld het incident
In sommige gevallen is het nodig om melding te maken van het cyberincident. NIS2-entiteiten hebben een meldplicht voor ernstige cyberincidenten bij het NCSC. In het geval van strafbare feiten doe je aangifte bij de politie en bij een datalek bij de Autoriteit Persoonsgegevens. Bij vermoedens van betrokkenheid van een statelijke actor neem je contact op met de AIVD.
Stap 5: Leer en verbeter
Cyberincidenten zijn leerzaam. Als het puin is geruimd, het incident verholpen is en de bedrijfsprocessen weer door kunnen, is het tijd om na te gaan wat het je leert over jouw digitale weerbaarheid. Aandachtspunten zijn:
Verslaglegging
Het mag een open deur lijken, maar in de chaos van een cyberincident kan het weleens worden vergeten: de verslaglegging. Om lessen te trekken uit een cyberincident is het nodig om verslag te leggen van de hersteloperatie. Zorg ervoor dat besluiten en werkzaamheden uit het herstelteam, managementteam, responsteam, correspondentie met externen (IT-leveranciers) nauwkeurig en op een eenduidige wijze worden vastgelegd.
De BOB-methodiek (beeldvorming, oordeelsvorming en besluitvorming) is een nuttig hulpmiddel om de verslaglegging te ordenen.
Denk ook aan de duur van de werkzaamheden, zodat een tijdslijn kan worden opgesteld. We raden je aan om per betrokken team een persoon aan te wijzen die verantwoordelijk is voor de vastlegging.
Evalueren
Kort na het cyberincident helpt een evaluatie om de eerste lessen vast in kaart te brengen. Dit kan pijnlijk zijn als het over (menselijke) fouten gaat. Heb daarom ook oog voor wat er juist wel goed ging. Dit bevordert de bereidheid tot leren. Na een eerste evaluatie wordt vaak meer duidelijk over de gevolgen en schade van het cyberincident en welke activiteiten de respons- en herstelwerkzaamheden bevorderden of juist verslechterden. Zorg dat verbeterpunten uit de evaluatie duidelijk belegd worden en monitor de voortgang hiervan.
Herstelinformatie
De verslaglegging en evaluatie(s) helpen om inzicht te krijgen in de duur en kwaliteit van de herstelwerkzaamheden. Deze informatie kunnen worden omgezet in herstelinformatie. Voorbeelden zijn te vinden in het MITRE-rapport: Cyber Resiliency Metrics. Herstelinformatie is nuttig om de kwaliteit van het herstel te bevorderen. Denk aan de tijdsduur van het herstellen van een met malware geïnfecteerde server, of de tijd die het duurt om back-ups terug te zetten. Andere informatie zoals de kosten van een cyberincident (juridisch, hardware, software, arbeidskosten enzovoorts) of de frequentie van bepaalde cyberincidenten per jaar is nuttig om het herstel van je organisatie beter in te richten.
Verbeteren
Zet de geleerde lessen om in actie door ze naast de in de BIA geïdentificeerde belangen, dreigingen, RTO’s, RPO’s en prioritering te leggen. Kloppen deze nog of moeten ze worden bijgeschaafd? Hebben we de juiste middelen of moet er aanvullend geïnvesteerd worden? De geleerde lessen zijn cruciaal om deze vragen te beantwoorden. Wanneer de geleerde lessen worden geïntegreerd, beoefend en getest ontstaat een verbetercyclus.
Ten slotte
Cyberincidenten zijn niet te voorkomen. Als het dan gebeurt, wil je daar snel en effectief van herstellen. Om herstel in te richten is het nodig te weten wat je moet beschermen, herstelplannen op te stellen en deze regelmatig te beoefenen. Tijdens een cyberincident is communicatie en coördinatie een belangrijke voorwaarde voor succes. Door zowel intern als extern de betrokkenen op de hoogte te stellen en hen te voorzien van een handelingsperspectief, beperk je schade en onjuiste verwachtingen. Herstellen na een cyberincident betekent tot slot dat je leert van wat er goed ging en wat er fout ging. Deze geleerde lessen helpen je om nóg weerbaarder te worden.
In samenwerking met:
ASML, De Volksbank, Nederlandse Vereniging van Banken, Rabobank, Triodos Bank en de AIVD.