Herstel van een cyberincident

Voor als het dan tóch misgaat

Mailen lukt niet meer. Belangrijke data zijn niet meer toegankelijk. Tot overmaat van ramp zijn ook de back-ups versleuteld. Zo maar een scenario dat jou kan overkomen. In zulke gevallen wil je snel terugkeren naar ‘business as usual’.

Het vermogen te herstellen van cyberincidenten is een voorwaarde om digitaal weerbaar te zijn. Maar herstel omvat meer dan back-ups. Weten wat je moet beschermen, welke middelen je daarvoor nodig hebt en hoe je je herstel uitvoert en oefent is noodzakelijk.

In dit "basisboek" licht het NCSC toe wat het belang van herstel is, hoe je dat inricht en welke maatregelen je kunt nemen om effectief te herstellen van cyberincidenten.

Achtergrond

Ongeveer 1 op de 5 bedrijven krijgt jaarlijks te maken met een cyberincident met schade of uitval als gevolg. [1] Kwetsbaarheden in software, menselijke fouten, maar ook rampen, pandemieën of stroomuitval; ze kunnen leiden tot onverwachte gebeurtenissen en zelfs uitmonden in disruptieve incidenten en leiden tot een crisis.

Herstellen van een cyberincident kan ingewikkeld en tijdrovend zijn: zo kan het herstel van gijzelsoftware dagen zo niet weken in beslag nemen. Hersteloperaties verlopen bovendien lang niet altijd vlekkeloos.

Vaak blijkt dat het herstellen onvoldoende is geoefend of dat back-ups niet goed kunnen worden teruggezet. [2] Hoe langer de hersteltijd en ingewikkelder de hersteloperatie, hoe groter de impact op de bedrijfsvoering. Dat kan geld kosten, je reputatie schaden of in een ernstig geval zelfs leiden tot faillissement.

Bij een cyberincident komt het aan op een effectief en efficiënt herstelvermogen van je organisatie zodat de dienstverlening gecontinueerd kan worden. [3] Wat herstellen betekent en hoe je dat inricht, dat lees je in dit basisboek. We gaan in op wat herstel precies is, hoe je het organisatorisch inricht en welke maatregelen je kunt treffen om effectief te herstellen van cyberincidenten.

Cyberincidenten met impact.
Cyberincidenten verstoren de beschikbaarheid, integriteit of vertrouwelijkheid van informatiesystemen en data. In het geval dat het impact heeft op kritieke producten en/of diensten met de daarbij behorende bedrijfsprocessen, wil je terug kunnen vallen op een herstelplan om zo snel als mogelijk terug te kunnen keren naar de normaalsituatie.

Herstel waarvan?

In dit basisboek verstaan we onder cyberincidenten: incidenten die de IT verstoren waardoor kritieke producten, diensten en processen niet meer kunnen worden geleverd. In dergelijke gevallen kan het betekenen dat de organisatiedoelstellingen niet meer verwezenlijkt kunnen worden, met schade als gevolg. Het is dan van belang dat je terug kunt vallen op plannen, procedures en afspraken zodat de hersteloperatie zo goed als mogelijk kan worden opgestart en uitgevoerd.

Inrichten van herstel

Voordat een cyberincident met ontwrichtende effecten op je bedrijfsvoering je organisatie treft, is het van belang om herstel in je organisatie in te richten. Maar hoe doe je dat? Hieronder benoemen we de instrumenten die nodig zijn om te bouwen aan je herstelvermogen.

Stap 1: Weet wat je moet beschermen

Je organisatie volledig beschermen tegen elke vorm van uitval of cyberdreiging is een utopie. Het is daarom verstandig potentiële dreigingen en de effecten daarvan op je producten en diensten vroegtijdig te identificeren en deze te prioriteren. Dat kan met een Business Impact Analyse (BIA).

De BIA is een voorwaarde voor effectief bedrijfscontinuïteitsbeheer (BCM). [4] De BIA helpt je zicht te krijgen op je te beschermen belangen. [5] Met een BIA breng je, samen met de verantwoordelijken en eigenaren de kritieke producten, diensten en processen in kaart. Daar horen ook de daaraan gerelateerde assets (software, hardware, mensen, leveranciers en data) bij die deze ondersteunen. Hierdoor weet je welke producten, diensten en processen kritiek zijn voor je bedrijfsvoering en wat ervoor nodig is om deze draaiende te houden.

De volgende 4 stappen helpen bij het opstellen van de BIA:

Stap 2: Ontwikkel een herstelplan

Met de inzichten uit de BIA heb je de tools in handen om te bouwen aan het herstelplan (ook wel (IT) Disaster Recovery Plan genoemd).
Een herstelplan is een document – of een onderdeel van het bedrijfscontinuïteitsplan - waar richtlijnen en benaderingen in zijn opgenomen die beschrijven hoe je na een cyberincident snel weer de werkzaamheden kunt hervatten. Het herstelplan is als het ware het draaiboek dat tijdens een cyberincident gebruikt wordt om effectief en snel te kunnen herstellen.
 

Maatwerk
Het herstelplan is maatwerk. Kleinere organisaties kunnen voldoende hebben aan bellijst met hun IT-leveranciers en een overzicht van afspraken die zij met hen hebben gemaakt over het herstellen van een cyberincident. [8] Voor organisaties met een complexe IT-omgeving is het nodig een uitgebreider plan op te stellen.

Zorg er daarom voor dat het herstelplan altijd paraat en up-to-date is. Een herstelplan of een scenariokaart (zie hieronder) bevat mogelijk gevoelige gegevens. Bedenk hoe je je plannen beschermt en beschikbaar houdt. Een oplossing is de plannen op versleutelde laptops op te slaan, of goed beveiligde externe locaties te gebruiken die losstaan van het eigen netwerk.

In een herstelplan is in elk geval beschreven:

Stap 3: Oefen, test en train het herstel

Het papier is geduldig, maar op zichzelf onvoldoende. Hersteloperaties blijken in de praktijk weerbarstig en een belangrijke oorzaak daarvan is dat plannen onvoldoende zijn geoefend, getest en getraind. Het beoefenen van het herstelplan en onderliggende scenario’s maakt duidelijk of het herstelvermogen in lijn is met de vereisten om bedrijfsprocessen weer op tijd te herstellen. Oefenen zorgt ervoor dat de mensen die het herstel uitvoeren ook leren hoe zij als team effectief kunnen optreden. Oefenen kan in diverse vormen. Denk aan een tabletop oefening, oefening met live herstel [13]of meedoen aan de Overheidsbrede Cyberoefening.

Daarnaast is het regelmatig testen en het terugzetten van back-ups cruciaal. Hieruit blijkt of de back-ups in staat zijn de data terug te zetten naar het gewenste moment (RPO), resultaat (data-integriteit), de kwaliteit en hoe lang dat duurt (RTO). Beoordeel op basis van de tests of de back-up strategie moet worden aanscherpt.

Tot slot is het periodiek opleiden en trainen van personeel een punt van aandacht. Zij moeten vertrouwd raken met de taken die zij hebben in het herstelteam, processen internaliseren, de herstelprocedures kennen en vlieguren maken in de uitvoering van herstelwerkzaamheden.

Communicatie en coördinatie

Tijdens een cyberincident kun je niet zonder effectieve communicatie en coördinatie. Een cyberincident kan de gemoederen binnen de organisatie flink bezighouden. Ook kan het zorgen voor onrust bij klanten, leveranciers en andere stakeholders, met reputatieschade als gevolg. [14] Een communicatieplan, zoals eerder beschreven bij het herstelplan, is nodig omdat je veel overwegingen al van tevoren kunt uitdenken.

De volgende overwegingen zijn hierin nuttig:

Continu leren en verbeteren

Cyberincidenten zijn leerzaam. Als het puin is geruimd, het incident verholpen is en de bedrijfsprocessen weer door kunnen, is het tijd om na te gaan welke lessen daaruit getrokken kunnen worden.  


Tot slot

Cyberincidenten zijn lang niet altijd te voorkomen. Als het dan toch gebeurt, wil je daar snel en effectief van herstellen. Om herstel in te richten is het nodig te weten wat je moet beschermen, herstelplannen op te stellen en deze regelmatig te beoefenen. Tijdens een cyberincident is communicatie en coördinatie een belangrijke voorwaarde voor succes. Door zowel intern als extern de betrokkenen op de hoogte te stellen en hen te voorzien van een handelingsperspectief, beperk je schade en onjuiste verwachtingen. Herstellen na een cyberincident betekent tot slot dat je leert van wat er goed ging en wat er fout ging. Deze geleerde lessen helpen je om nóg weerbaarder te worden.

Dit basisboek is tot stand gekomen uit een samenwerking tussen ASML, De Volksbank, Nederlandse Vereniging van Banken, Rabobank, Triodos Bank en de AIVD.
 

Doelgroep: Chief Information Officers, Chief Information Security Officers, Business Continuity Managers, Risk- en Crisis Managers.