Incident Respons Plan
Instructie
Klik op het de bijbehorende stappen om ze te openen.
Organigramweergave
Liever een organigramweergave met onderliggende informatie per actie? Klik hier.
4. Indammen van schade
Als de analyse is afgerond volgt het wegnemen van de oorzaak van het incident (als dat niet direct is gebeurd na ontdekking) en het indammen van de schade.
Te doen:
- Beoordeel: Extra ICT capaciteit inschakelen nodig?
- Verzamel fysiek en digitaal bewijs t.b.v. vraag hoe data gecomprimitteerd kon worden.
- Maak een inventarisatielijst van het bewijsmateriaal.
- Maatregelen nemen om scope en impact in te perken.
- Voer (als nodig) forensisch onderzoek uit.
- Definitieve inschatting van incident maken.
- Communicatie strategie (waarnodig) updaten.
Eigenaar: Incident Respons Team
5. Herstel
Na het wegnemen van de oorzaak en het indammen van de gevolgen, volgt de stap om de systemen te herstellen en de bedrijfsprocessen te herstarten als deze gestopt waren.
Te doen:
- Bepaal of onderzoek is afgerond.
- Pas de communicatie strategie aan.
Eigenaar: Hoofd ICT & Communicatie adviseur
6. Remediatie
Zet alle ondersteunende technologieën, bedrijfsprocessen of personeelstraining in die mogelijk zouden hebben geholpen om het incident te voorkomen als ze vóór het incident aanwezig waren geweest.
Te doen:
- Controle of kwetsbaarheden echt zijn verholpen en mitigeer openstaande risico’s.
- Toegang tot systemen minimaliseren
- Coördinatie, inzet en uitdragen ondersteunende technologieën, bedrijfsprocessen en personeelstraining die mogelijk zouden hebben geholpen om het incident te voorkomen als ze vóór het incident aanwezig waren geweest.
Eigenaar: Hoofd ICT & Privacy Officer
Stappen
4.1 Extra capaciteit nodig?
Te doen:
Beoordeel in overleg met het IRT of forensische ICT-capaciteit nodig is om digitaal bewijs te verzamelen voor opsporing, beoordeling van de schade en impact voor betrokkenen en organisatie.
Eigenaar: Incident Respons Manager en Hoofd ICT
4.2 Informatie verzamelen
Te doen:
Verzamel fysiek en digitaal bewijs die tezamen een duidelijke, gedetailleerde beschrijving geven van hoe de data gecompromitteerd kon worden, bijvoorbeeld:
- Images van de harddisk(en);
- Netwerkverkeersgegevens van en naar de gecompromitteerde apparatuur;
- Werkplek applicatie logs;
- Toegangslogs;
- Foto’s van de omgeving waar het incident plaatsvindt.
Eigenaar: Incident Respons Manager en Hoofd ICT
4.3 Zorg voor, onderhoud, al het bewijsmateriaal.
Te doen:
- Zorg voor, en onderhoud, al het bewijsmateriaal en houd bij waar het zich bevindt en wie er toegang toe heeft.
- Maak een inventarisatielijst van alle bewijsmateriaal en houdt bij wie, wanneer, wat gedaan heeft met het bewijsmateriaal.
Bijvoorbeeld:
a. Beschrijf wat exact het bewijsmateriaal is.
b. Leg vast wie erbij moest en waarom.
c. Leg vast waar en hoe het bewijsmateriaal opgeslagen is.
d. Als apparatuur verplaatst moet worden zorg dan dat de ontvanger getekend heeft voor ontvangst en dat dit bewijs wordt toegevoegd aan de verzameling. Zorg dat de ontvanger weet welke verantwoordelijkheden er zijn.
- Beoordeel en bepaal waar de data zich bevindt en wijzig dit indien nodig om een hogere beschermingsgraad te verzekeren.
Eigenaar: Incident Respons Manager en Hoofd ICT
4.4 Scope en impact beperken
Te doen:
Maatregelen nemen om de scope en impact van het icident in te perken.
Bijvoorbeeld:
- Indien het incident betrekking heeft op gevoelige gegevens die onjuist geplaatst zijn op publiek toegankelijke websites, verwijder dan de actieve en opgeslagen inhoud en verzoek om verwijdering van de gecachte of in proxy opgeslagen webpagina(‘s), die geïndexeerd zijn door zoekmachine bedrijven en andere Internet-archief bedrijven, zoals bijvoorbeeld de Wayback Machine.
- Wijzig verder waar nodig de wachtwoorden die mogelijk gecorrumpeerd zijn.
- Verwijder of mitigeer kwetsbaarheden van systemen, beoordeel toegangsrechten en remediatie risico’s voor gevoelige dataopslag.
- Staak de exploitatie van een gecompromitteerde applicatie of server.
Eigenaar: Incident Respons Manager en Hoofd ICT
Stappen
5.1 Bepaal of onderzoek is afgerond.
Te doen:
Als het onderzoek naar de bewijslast op de gecompromitteerde systemen klaar is kunnen ze hersteld worden.
- Indien nodig overleg met het hoogste management in verband met hogere capaciteit leveranciers en/of de hiervoor ingeschakelde externe partij.
|
N.B. Wanneer veel systemen getroffen zijn kan deze stap maanden in beslag nemen |
Eigenaar: Hoofd ICT
5.2 Pas de communicatie strategie aan.
Te doen:
Als het onderzoek naar de bewijslast op de gecompromitteerde systemen klaar is kunnen ze hersteld worden.
- Indien nodig overleg met het hoogste management in verband met hogere capaciteit leveranciers en/of de hiervoor ingeschakelde externe partij.
| N.B. Wanneer veel systemen getroffen zijn kan deze stap maanden in beslag nemen |
Eigenaar: Hoofd ICT
Stappen
6.1 Controleren kwetsbaarheden zijn verholpen.
Te doen:
Controleer nogmaals of eventuele kwetsbaarheden die tijdens het incident zijn uitgebuit, wel echt zijn verholpen. Ga terug naar stap 3 en zoek naar aanvullende risico’s die verband houden met dit incident:
- Beoordeel bijvoorbeeld de inventarisatie van getroffen hardware en systemen en wijzig verder waar nodig de wachtwoorden die mogelijk gecorrumpeerd zijn.
- Stop eventueel gecorumpeerde diensten of applicaties en zorg voor work-arounds.
- Verwijder of mitigeer kwetsbaarheden van systemen, beoordeel toegangsrechten en remediatie risico’s voor gevoelige dataopslag.
Eigenaar: Hoofd ICT
6.2 Coördinatie van ondersteunende technologieën, bedrijfsprocessen of personeelstraining.
Te doen:
Coördinatie van ondersteunende technologieën, bedrijfsprocessen of personeelstraining in die mogelijk zouden hebben geholpen om het incident te voorkomen als ze vóór het incident aanwezig waren geweest.
Eigenaar: Hoofd ICT
6.3 Beperk toegang tot systemen
Te doen:
Beperk de toegang tot systemen tot uitsluitend degenen die toegan nodig hebben. Tip: Gebruik software tools om gevoelige data te vinden, te verwijderen en te beschermen. (bijvoorbeeld: Identity Finder)
Eigenaar: Hoofd ICT