Hoe reageren bij cyberincidenten?
SpearIT editor
30/04/2019
Geen enkel bedrijf of organisatie kan met 100 procent zekerheid zeggen dat hackers geen kans hebben. Daarom heeft elk bedrijf een incidentresponsplan dat vastlegt wat er moet gebeuren.
56 procent van de Belgische bedrijven werd het voorbije jaar geconfronteerd met één of andere vorm cybercriminaliteit. Het is dus niet de vraag of, maar wanneer uw bedrijf ooit te maken zal hebben met een cyberincident.
Een goede voorbereiding, onder vorm van een incidentresponsplan, kan helpen om de impact van een incident te beperken.
Er is geen vast formaat voor zo een incident responsplan, want elk bedrijf is anders. Het plan beschrijft de procedures die gevolgd moeten worden bij een incident, zodat iedereen in de organisatie weet wat van hem of haar verwacht wordt. Het plan moet regelmatig bijgewerkt worden.
Maak een plan
- Het incident responsplan beschrijft alle activiteiten die nodig zijn voor de werking van de organisatie, en welke IT-infrastructuur nodig is voor die activiteiten.
- U maakt een inventaris van alle apparaten, toepassingen, databanken, netwerkverbindingen, servers en beveiligingsapparaten. Een duidelijk netwerkschema helpt om bij een incident snel in te grijpen.
- Op basis van deze inventaris kunt meteen een risicoanalyse maken. Welke infrastructuur is onmisbaar voor de werking van het bedrijf, welke is minder essentieel? Bij een incident heeft het herstel van essentiële infrastructuur uiteraard voorrang.
Maak een team
Het incidentresponsplan beschrijft ook het team dat het incident zal aanpakken. Bepaal wie de interne contactpersoon voor cyberveiligheidsincidenten is en hoe hij bereikbaar is – denk daarbij ook aan een back-up tijdens vakantieperiodes.
Het plan legt vast wie in het bedrijf verantwoordelijk is om de infrastructuur te herstellen. Werkt u met externe partners, dan dienen ook hun contactgegevens in het plan te staan.
Het incidentresponsteam moet over de gepaste hulpmiddelen beschikken. Zelfs als het bedrijfsnetwerk volledig platligt, moet het team kunnen beginnen.
Voorzie dus back-upsystemen (laptops) die zij kunnen inzetten. Zet hierop alle informatie en procedures die het team nodig heeft om te kunnen werken.
Werk met externe hulp
Bij een cyberveiligheidsincident is het een begrijpelijke reflex om ervoor te zorgen dat uw infrastructuur zo snel mogelijk weer werkt. Maar het is belangrijk dat er daarbij geen sporen verloren gaan die naar de daders kunnen leiden.
Meteen de stekker uit alle systemen trekken, is daarom geen goed idee. Het is evenmin een goed idee om een systeem te herstellen vanaf aan back-up als u niet zeker bent dat de back-up zelf niet besmet is.
Het is dus verstandig om externe partners in te schakelen die ervaring hebben met cyberveiligheidsincidenten.
Zij werken op een forensisch verantwoorde manier zodat alle bewijsmateriaal bewaard blijft. Bovendien beschikken ze over tools die binnen uw bedrijf misschien niet aanwezig zijn om sporen te vinden.
Herstellen
- Eenmaal het onderzoek is afgerond, kunt u de resterende bedreigingen verwijderen en alle kwetsbaarheden die de hackers hebben uitgebuit dichtmaken. Ook hiervoor heeft u soms externe hulp nodig.
- Pas als u zeker bent dat alle kwaadaardige code verwijderd is, herstelt u de systemen naar hun normale toestand en zet u eventueel verloren gegane gegevens terug.
- Afhankelijk van de aard en de omvang van de inbraak kan dat een complexe en tijdrovende klus zijn. De exacte procedure op voorhand uittekenen is niet mogelijk, maar dankzij het incidentresponsplan liggen de prioriteiten wel vast.
Leer meer over hoe je bedrijf te beschermen
Interesse om vrijblijvend met ons van gedachten te wisselen hoe u een meer pro-actieve en geïntegreerde ICT Security aanpak in uw organisatie te implementeren?