Het bestrijden van cyberveiligheidsincidenten is jammer genoeg geen rechtlijnig proces, maar een complexe oefening waarbij diverse acties door elkaar lopen, gaande van het detecteren van een incident, tot het inperken van schade, het herstellen van de dienstverlening, melden aan de bevoegde instanties en slotbeschouwing. Er is een belangrijke rol weggelegd voor ICT, maar eveneens voor luiken als interne en externe communicatie en organisatiebeheersing.
De kans is reeël dat je lokaal bestuur externe expertise zal moeten inroepen om het incident zo vlot en efficiënt als mogelijk aan te pakken. Het gebeurt immers niet elke dag dat cybercriminelen je dienstverlening en werking volledig dreigen plat te leggen. Maar zelfs wanneer externe hulp ingeroepen wordt, kan en zal je zelf ook diverse stappen moeten zetten. Dit draaiboek cybercrime reikt relevante strategische keuzes en acties aan die je kunnen helpen om terug te keren naar de gebruikelijke dienstverlening en werking. Het is echter van belang dat deze informatie vertaald wordt naar een concreet incidentresponseplan, dat rekening houdt met de context, aanwezige middelen, capaciteit en rollen binnen je lokaal bestuur. Om ervoor te zorgen dat dit plan gedragen wordt door de volledige organisatie, dient het goedgekeurd te worden door het management, alsook op reguliere basis ingeoefend worden. Wanneer de nood het hoogst is, is er weinig ruimte voor schadelijke keuzes of improvisatie. Door de gekozen aanpak op voorhand uit te voeren kan je belangrijke lessen trekken en bijsturen waar nodig.
Het opstellen van een draaiboek op maat van je lokaal bestuur is een stuk eenvoudiger indien reeds bepaalde plannen en leidraden voorhanden zijn. Enkele documenten die dit proces kunnen faciliteren zijn:
- Een Business Impact Analyse (BIA) en Business Continuïteitsplan (BCP): Via een BIA kan je als lokaal bestuur je kritieke processen identificeren, en bepalend binnen welke tijdsorde deze terug opgestart dienen te worden in de nasleep van een verstorend incident. Een BCP omschrijft de te ondernemen stappen en vereiste middelen om deze heropstart mogelijk te maken.
- Een Crisiscommunicatieplan: Tijdens een cyberveiligheidsincident met een aanzienlijke omvang zal je op een gegeven moment moeten communiceren, zowel intern (naar medewerkers en toeleveranciers) als extern (naar inwoners, media, getroffenen van een datalek). Door op voorhand de doelgroepen, kanalen en mogelijke boodschappen in kaart te brengen, kan je zorgen voor sterke en duidelijke crisiscommunicatie.
- Interne en externe contactlijsten: Snelheid is aan de orde tijdens een cyberveiligheidsincident. In een dergelijke situatie wil je dan ook geen kostbare tijd verliezen door nog snel te moeten zoeken naar het GSM-nummer van collega's of relevante leveranciers. Lijsten met de contactinformatie van de belangrijkste crisisactoren, bieden dan ook een grote meerwaarde.
Hieronder omschrijven we de verschillende acties en keuzes die aan bod kunnen of zullen komen tijdens het bestrijden van een cyberveiligheidsincident, aan de hand van 5 fases. Hou hierbij in het achterhoofd dat sommige acties deze fases kunnen overstijgen, en dat elk incident een aanpak op maat vereist, met specifieke noden en oplossingen.
Leer uit de lessen van Willebroek en Dilbeek
Ben je benieuwd hoe de bestrijding van een cyberveiligheidsincident in de praktijk verloopt? Tijdens het webinar 'We worden gehackt, wat nu' vertelden gemeente Willebroek en gemeente Dilbeek openhartig over hun confrontatie met gijzelsoftware. Bekijk hieronder het webinar om inzage te krijgen in de levensloop van een cyberveiligheidsincident en de stappen die je als lokaal bestuur kan of moet ondernemen om terug te keren naar de gebruikelijke werking en dienstverlening.
Bronvermelding
- Crisiscommunicatie bij een cyberaanval, CERT.be, 2021 | https://cert.be/nl/crisiscommunicatie-bij-een-cyberaanval
- Cyberveiligheid, gids voor incidentenbeheer, Centre for Cybersecurity Belgium en Cyber Security Coalition, 2021 | https://ccb.belgium.be/en/document/cyber-security-incident-management-guide
- Disaster Recovery Plan, FOD Economie, K.M.O., Middenstand en Energie, 2021 | https://www.digitalreactionplan.be/sites/default/files/2020-12/DRP_NL_1.docx
- Eerste hulp bij een cyberaanval, CERT.be, 2021 | https://cert.be/nl/eerste-hulp-bij-een-cyberaanval
-
Factsheet 'Gehackt, hoe nu verder?', Vereniging van Nederlandse Gemeenten (VNG), 2021 | https://www.informatiebeveiligingsdienst.nl/product/factsheet-gehackt-hoe-nu-verder/
-
Handreiking incident en response management, Vereniging van Nederlandse Gemeenten (VNG), 2021 | https://www.informatiebeveiligingsdienst.nl/product/voorbeeld-incidentmanagement-en-response-beleid-2/
-
Incident Response Plan, FOD Economie, K.M.O., Middenstand en Energie, 2021 | https://www.digitalreactionplan.be/sites/default/files/2020-12/IRP_NL_1.docx
-
Toolbox Bedrijfscontinuïteitsmanagement (BCM): Stappenplan, Agentschap Overheidspersoneel, 2021 | https://overheid.vlaanderen.be/toolbox/toolbox-bedrijfscontinu%C3%AFteitsmanagement-bcm/stappenplan