Hoe kan uw organisatie zich voorbereiden op een cyberincident?

De media komen dagelijks met nieuws over cyberaanvallen, datalekken of door vermoedelijk cyberaanvallen veroorzaakte ICT-storingen. Het blijkt dat organisaties vaak slecht voorbereid zijn op zo’n cyberincident. Dit is onverstandig, omdat zulke incidenten enorme verstoringen kunnen veroorzaken. Vandaag de dag kan iedere organisatie slachtoffer worden van een cyberaanval als gevolg van misbruikte kwetsbaarheden in het eigen netwerk of in die van softwareleveranciers. Deze zijn meestal niet specifiek gericht op uw organisatie, maar in een aantal gevallen zijn de aanvallen wel gericht op een specifieke organisatie.

Voorkomen is natuurlijk altijd beter, maar de praktijk leert dat de dreiging zo’n gevarieerd karakter heeft dat je er als organisatie goed aan doet om ook over de volle breedte op alle mogelijke scenario’s voorbereid te zijn. Hoe zorgt u er als directeur of CEO voor dat uw organisatie goed voorbereid is op een cybersecurity incident? Door het ontwikkelen van een Incident Response strategie en plan.

Wat is Incident Response?

Incident Response is het proces dat een organisatie gebruikt om met een IT-Security incident en de gevolgen ervan om te gaan. Vier fundamentele stappen van Incident Response zijn:

Stap 1: Technische voorbereiding inrichten
Stap 2: Incident Response team formeren
Stap 3: Incident Response plan opstellen
Stap 4: Trainen, oefenen en leren

Stap 1: Technische voorbereiding inrichten

Bij Incident Response zijn technische voorbereidingen het startpunt. Om een forensic trail (digitaal spoor) van een incident te kunnen opbouwen, is het bijvoorbeeld noodzakelijk dat allerlei logbestanden zo ver als mogelijk teruggaan in de tijd: minimaal drie maanden, maar liefst langer. Het gaat hierbij om de logs van onder andere firewalls, antivirus- en malwarepakketten, de Active Directory, Office365 en Windows events. Ook detectietechnologie kunt u reeds in uw IT-infrastructuur activeren en monitoren.

Stap 2: Incident Response team formeren

Het is essentieel om de medewerkers die de benodigde taken op zich nemen te bundelen in een Incident Response team, dat ook als taskforce voor cyberincidenten kan fungeren. Het gaat hierbij om het analyseren en monitoren van dreigingen, maar ook om coördinatie bij een IT-Security incident. Zorg ervoor dat duidelijk is wie de teamleden zijn, welke verantwoordelijkheden zij hebben en – misschien wel het belangrijkst – zorg ervoor dat ze goed worden opgeleid en getraind. Veel organisaties roepen bij IT-Security incidenten de hulp in van een Computer Emergency Response Team van een gespecialiseerd IT-Security bedrijf zoals NFIR.

Stap 3: Incident Response plan opstellen

Met een Incident Response plan (IR-plan) kan bij een incident gecoördineerd en effectief worden opgetreden. Het omvat een reeks instructies om uw medewerkers te helpen bij het detecteren van, reageren op en herstellen van beveiligingsincidenten. Voorbeelden van een IT-security incident zijn een storing, een datalek of een digitale aanval. Het doel is om snel en adequaat te kunnen reageren, om de impact te verkleinen, schade te beperken en reparatiewerk te minimaliseren. Onderdeel van het IR-plan is een risk assessment waarbij specifieke risico’s voor uw organisatie in kaart gebracht worden. Op welke systemen staat bedrijfsinformatie? Welke middelen worden hiervoor gebruikt? Welke informatie moet beschermd worden? Waar bevindt zich de informatie en welke wettelijke verplichtingen zijn er in het geval van een data-inbreuk? Vervolgens maakt u een helder stappenplan met daarin de stappen die moeten worden gezet en welke personen en partijen betrokken of geïnformeerd moeten worden bij een IT-Security incident. NFIR kan u daarbij assisteren. Zo bieden wij een training aan waarin onze experts u meenemen in het proces en stappenplan voor een Incident Response plan. Het mede opstellen van uw IR-plan door NFIR is ook mogelijk.

Stap 4: Trainen, oefenen en leren

Zorg ervoor dat de plannen veilig worden bewaard (liefst op papier), maar wel toegankelijk zijn voor wie erbij moet kunnen in geval van een cyberincident. Train de medewerkers van het Incident Response team goed in alle aspecten van hun taak. Dit kan bijvoorbeeld met de Incident Readiness training van NFIR . Daarnaast is het van groot belang om op realistische wijze incidenten te oefenen, zodat de teamleden echt als team gaan functioneren. Deze crisissimulaties trainen het team in adequaat reageren op incidenten. Dit kan bij NFIR bijvoorbeeld met een Incident Response Dry-run (simulatie met “injects” van een geslaagde ransomware aanval).

Communiceren is belangrijk

Effectieve communicatie is cruciaal bij een cyberincident. Dit geldt voor interne én externe communicatie.

Intern
Wanneer een medewerker vermoedt dat een incident plaatsvindt of sprake van een dreiging is, moet deze persoon snel alarm kunnen slaan. Zorg ervoor dat uw medewerkers weten hoe, en regel goed dat er 24/7 kan worden gemeld. Zorg ook dat het duidelijk is wie er communiceert met externe partijen (zoals een ICT-leverancier, cloudleverancier, de Autoriteit Persoonsgegevens of indien nodig een Computer Emergency Response Team). Zorg dat medewerkers op de hoogte zijn van het meldpunt, de scenario’s en eventuele andere contactpersonen. Als medewerkers weten dat het plan bestaat, wat het inhoudt en hoe ze incidenten kunnen melden, kan snel worden gehandeld. Regelmatige updates aan uw medewerkers over een cyberincident en de voortgang zijn ook belangrijk.

Extern
Tot slot is goede externe woordvoering over een cyberincident essentieel. Elke organisatie heeft stakeholders zoals leveranciers, klanten en partners die er recht op hebben om tijdig en goed te worden geïnformeerd over de eventuele gevolgen van een datalek en de bedrijf continuïteit voor hen. Waar mogelijk biedt uw organisatie handelingsperspectief aan de betrokkenen van het IT-Security Incident.

Lees hier meer over de Incident Response diensten van NFIR.

Beveiligingsincident? Maak kennis met Incident Response

Ons Incident Response team is 24/7 beschikbaar om elk cyber incident in kaart te brengen en op te lossen.

Neem contact met ons op

Wat is Emotet malware? En wat doet het?

Emotet is zogenoemde ‘polymorfe malware’ – welke zichzelf constant aanpast om detectie te voorkomen. De malware wordt vaak gebruikt door internetcriminelen als springplank om toegang te krijgen tot bedrijfsomgevingen. Eenmaal binnen gaan aanvallers vaak op zoek naar manieren om verdere toegang tot het netwerk te verkrijgen.

Lees het volledige artikel: Wat is Emotet malware? en wat doet het?

Wanneer heb ik te maken met een meldingsplichtig incident datalek?

Op het moment dat onbevoegden toegang (kunnen) hebben tot persoonsgegevens, is op dat moment sprake van een potentieel datalek. In veel gevallen zijn organisaties verplicht om een melding te doen bij de Autoriteit Persoonsgegevens (AP) van het incident. De AP is opgericht en aangewezen als toezichthouder op de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). Wanneer sprake is van een datalek hangt af van de omstandigheden. Zo hoeft een datalek niet te worden gemeld als het risico op rechten en vrijheden van betrokkenen beperkt zijn. Dit in tegenstelling tot het moment dat een onbevoegde toegang krijgt tot een paspoort of bankrekeningnummer van een klant. Immers, in dat geval is misbruik van de identiteit of financiële consequenties zijn dan niet uit te sluiten. Dergelijke incidenten moeten binnen 72 uur worden gemeld aan de AP.

Lees verder: Wanneer heb ik te maken met een meldingsplichtig incident / datalek?

Kan ik altijd contact opnemen met NFIR om hulp te krijgen in het geval van een IT-Security incident?

Ja, Wij staan 24/7 klaar voor MKB-bedrijven, multinationals, overheidsorganen, onderwijsinstellingen en non-profit organisaties. Binnen drie uur staat een incident response (CERT) team op elke locatie in Nederland (Waddeneilanden uitgesloten).

NFIR is een officieel CERT maar wat houdt dat eigenlijk in?

CERT staat voor Computer Emergency Response Team. Het kenmerk wordt door Carnagie Mellon University toegekend aan bedrijven en teams die zich inzetten bij digitale beveiligingsincidenten. In Nederland zijn er een aantal officiële CERT’s van grote organisaties die zich bezighouden met het bestrijden van cyberincidenten, zoals het NCSC, de IBD, Defensie, telecom organisaties en banken.