Een incidentresponsplan is een soort uitgebreid stappenplan dat je uitvoert op het moment dat een cyberincident aan het licht komt. Het beschrijft tot in detail de taakverdeling en de verantwoordelijkheden van medewerkers. Zo weet bij een incident iedereen wat er van hem of haar wordt verwacht. Dat voorkomt chaos en verdere escalatie. Bovendien kun je zo direct maatregelen nemen om soortgelijke problemen in de toekomst te voorkomen.

Incidentresponsplan

Bij de afhandeling van een incident zoals een datalek is het altijd nodig om verschillende mensen in je organisatie te betrekken. In het incidentresponsplan staat gedetailleerd beschreven welke functionarissen je nodig hebt en welke rol ze vervullen. Ook staat er in het plan hoe de communicatielijnen lopen. Iedereen moet namelijk continu over de juiste informatie beschikken om het probleem te kunnen oplossen. Daarnaast moet duidelijk zijn wie namens het bedrijf het woord mag voeren en hoe je informatie binnen en buiten het bedrijf gaat verspreiden.

Zo moet je een ernstig datalek bijvoorbeeld melden bij de Autoriteit Persoonsgegevens. Afhankelijk van de ernst van het datalek voor de betrokkenen moet je het ook melden aan de getroffen personen. Dat zijn bijvoorbeeld klanten of medewerkers van wie persoonlijke gegevens op straat zijn beland.

Om te weten of en om welke persoonsgegevens het gaat, moet je vooraf natuurlijk wel in kaart hebben gebracht welke gegevens er allemaal in jouw bedrijf omgaan, welke daarvan privacygevoelig zijn en op welke manier je ze optimaal beveiligt.

Werkbare scenario's

Een incidentresponsplan moet rekening houden met alle waarschijnlijke datarisico's en hiervoor werkbare scenario's bieden. Het is verstandig om deze scenario's regelmatig door te nemen met je medewerkers. Dat kan een eenvoudige tabletop-oefening zijn, maar ook een training waarbij jullie een incident realistisch naspelen. Op die manier raakt iedereen vertrouwd met de te nemen stappen en komen eventuele zwakke plekken in een scenario of in de organisatiestructuur vanzelf naar boven. Deze ervaring kun je maar beter bij een training opdoen dan bij een echt datalek.

Omdat zowel organisaties als bedreigingen met de tijd veranderen, is het belangrijk dat je het incidentresponsplan continu bijwerkt. Doe dat sowieso altijd na een praktijktraining, aan de hand van de bevindingen.

Centrale logging

Om een datalek te dichten is het van belang na te gaan wat er precies gebeurd is. Welke data is er gelekt en wanneer is dat gebeurd? Is het inmiddels gestopt of is het nog aan de gang, en bestaat er een gevaar op herhaling? Om welke systemen gaat het en welke personen hadden toegang? Door allerlei sporen na te lopen, kom je bij de mogelijke oorzaak of dader(s) uit en kun je passende maatregelen treffen.

Het is dan ook belangrijk dat er continu logging plaatsvindt van alles wat er op de systemen en in het netwerk gebeurt. Verzamel deze logbestanden centraal en zorg dat ze lang genoeg bewaard blijven, zodat je ze met tools kunt analyseren en verbanden kunt leggen.

Noodplannen

Een incidentresponsplan is bedoeld om de schade zo veel mogelijk te beperken. De oorzaak van het datalek boven water krijgen en die vervolgens wegnemen heeft dan ook hoge prioriteit. Vandaar dat je een gedetailleerd noodplan klaar moet hebben liggen voor elk type gevaar dat je als organisatie redelijker wijs loopt. Bij een verloren usb-stick neem je andere stappen dan bij een DDoS-aanval of een uitbraak van malware of ransomware.

Onderdeel van deze noodprocedures kan bijvoorbeeld zijn dat je bepaalde accounts tijdens een aanval tijdelijk blokkeert, bepaalde verbindingen verbreekt, of een applicatie uit de lucht haalt. Zo voorkom je dat er data blijft weglekken, ransomware nog meer fileservers aantast, of dat kwaadaardige code zich verder door de organisatie verspreidt.

Dataherstel

Na een incident moet de schade zo goed mogelijk hersteld worden. Is er data verloren gegaan of beschadigd geraakt? Dan moet je kunnen terugvallen op de reguliere back-upvoorzieningen. Om er zeker van te zijn dat ze goed werken, is het nodig om ze regelmatig in de praktijk te testen. Zo voorkom je dat je jarenlang back-ups maakt, om er pas bij een restore achter te komen dat je er in deze specifieke omstandigheden niets aan hebt.

Afhankelijk van de aard van het incident kan het voldoende zijn om specifieke data te herstellen. Maar het kan ook nodig zijn een volledig systeem opnieuw in te richten. Zorg dat je op alle scenario's bent voorbereid en weet wat te doen. Op die manier kun je veel ellende voorkomen.