Hoeveel we het ook proberen, honderd procent veilig werken zonder het risico te lopen slachtoffer te zijn van een security-incident is alleen haalbaar als je de stekkers van alle apparatuur uit het stopcontact trekt. Aangezien de productiviteit dan naar nul zakt is dit geen optie. Hoe hard we er ook aan werken om het te voorkomen, het kan dus gebeuren dat er een beveiligingsincident plaatsvindt. Om grote schade aan je organisatie te voorkomen wil je dat dan een beproefde incident response-cyclus in werking treedt.

Incident response-plan

Voordat een cybersecurity-incident plaatsvindt is door het securityteam gelukkig al goed nagedacht over de incident response. In de voorbereidingsfase (preparation) wordt een plan opgesteld waarin staat wat te doen bij een incident. Het incident response-plan bevat minimaal de volgende onderdelen:

  • Business continuity plan (BCP): hoe blijft de organisatie operationeel tijdens een incident?
  • Kritische systemen en data: een overzicht van welke systemen kritisch zijn voor de bedrijfsvoering van de organisatie (onderdeel van het BCP).
  • Communicatieprocedures: welke informatie wordt wanneer gedeeld? Dit is zowel intern binnen een organisatie als extern naar bijvoorbeeld de media in geval van een datalek of ransomwareaanval.

De war room

In het incident response-plan staat ook beschreven welke stakeholders er zijn en wie aanwezig moeten zijn in de war room. Een aantal belangrijke stakeholders zijn de CISO, de incidentmanager en een lid van de technische securityafdeling. Binnen de war room is de CISO het aanspreekpunt en de schakel tussen de leden in de war room en de directie. Om te voorkomen dat er meerdere lijnen van communicatie ontstaan wordt door de directie enkel met de CISO gesproken en niet met andere leden van de war room. De CISO is daarnaast de eigenaar van het incident response-plan en is dus op strategisch niveau verantwoordelijk.

Incidentmanager

Waar de CISO op strategisch niveau verantwoordelijk is, is de incidentmanager dat op tactisch-operationeel niveau. De incidentmanager is degene die zorgdraagt dat verzachtende (mitigerende) maatregelen ook daadwerkelijk worden uitgevoerd. Hij is het aanspreekpunt voor de technici die dit moeten implementeren en het changemanagement. De incidentmanager is ook degene die samen met communicatie verantwoordelijk is voor de interne communicatie in het geval van een incident. Soms wordt een incident gemeld door een externe partij of ontdekt door het security operations center (SOC). Bij Acknowledge is het Acknowledge Security Emergency Response Team (ASERT) hiervoor verantwoordelijk. Binnen de war room is ook altijd een van de teamleden aanwezig om inhoudelijke toelichting te geven op kwetsbaarheden of aanvallen.

Assessment en CER

Er is stront aan de knikker! En nu? Als eerste wordt er een assessment uitgevoerd. Hoe ernstig is het incident? Zijn er bijzondere persoonsgegevens gelekt of kritische systemen uitgevallen? Gaat het om een enkele computer of is de gehele organisatie platgelegd? Wat is de impact voor de organisatie, maar ook voor de klanten van een organisatie? De impact kan hier in brede zin worden gelezen. Focus niet alleen op de operationele kant, maar bepaal ook welke financiële gevolgen dit heeft. Als het assessment is afgerond gaan we door naar de containment, eradication & recovery-fase (CER). Besmette systemen worden geïsoleerd binnen het netwerk, malware wordt verwijderd en systemen opnieuw ingespoeld en uitgerold.

Continue evaluatie

Hoewel het nu klinkt alsof de assessmentfase en de CER-fase lineair zijn is dat niet het geval. Na iedere CER-fase wordt een nieuwe assessmentfase uitgevoerd om te kijken of de scope en impact is veranderd na de CER-werkzaamheden. Pas wanneer in de assessmentfase duidelijk wordt dat het incident is opgelost gaan we over naar de laatste fase, de post-incident activities. In dit stadium worden het proces en de activiteiten geëvalueerd. Welke zaken gingen goed binnen het incident response-traject en welke verbeterpunten zijn er? Het is een brede evaluatie van begin tot einde. Vragen die we stellen zijn bijvoorbeeld ‘waren we voldoende voorbereid?’ en ‘zijn de juiste mensen betrokken?’ Dit is ook het moment dat het incident response-plan wordt bijgesteld aan de hand van de ervaringen.