Niet ingelogd
Menu

Snelle navigatie

Na het zogenaamde ‘gouden uur’ of de eerste acties om het cyberveiligheidsincident te beoordelen en de impact in te dammen, wordt al snel duidelijk worden of het hier gaat over een kortstondig incident met beperkte impact, of een incident dat een meer doorgedreven crisiswerking vereist, bijvoorbeeld omdat de impact op de werking en dienstverlening duidelijk voelbaar is, of er een risico is op datadiefstal of -lekken. In deze fase wordt het dan ook een kwestie om de beschikbare capaciteit zoveel als mogelijk toe te spitsen op het controleren en bestrijden van het incident en een efficiënte crisiswerking op te starten. Een belangrijke rol is tevens weggelegd voor technische bestrijdingsmaatregelen en crisiscommunicatie. 

Zet een structuur op voor crisiswerking

Gedurende de fase met de identificatie en melding van het incident werden de belangrijkste stakeholders idealiter reeds ingelicht en ging reeds een eerste overleg door om de initiële aanpak te bepalen, maar nu wordt het een kwestie om alle relevante actoren formeel samen te brengen binnen een heldere en werkbare structuur voor crisiswerking. 

Afweging: gemeentelijke fase of alternatieve crisiswerking?

Dit houdt in dat de afweging gemaakt moet worden of men dient op te schalen naar de gemeentelijke fase of een alternatieve crisiswerking aan de orde is. Het afkondigen van de gemeentelijke fase is zeker geen automatisme, en kan mee besproken worden met de leidinggevenden van de hulpdiensten.  

Opschalen naar de gemeentelijke fase kan wenselijk zijn indien het antwoord op de volgende vragen positief luidt:

  1. Is de impact op inwoners, medewerkers en andere relevante doelgroepen direct merkbaar?
  2. Is het moeilijk om de duur van het incident in te schatten? Bestaat de kans met andere woorden dat de situatie enkele dagen of zelfs weken zal aanhouden?
  3. Is de kans reëel dat gevoelige informatie of data gecompromitteerd zijn?
  4. Is er nood aan een duidelijk afgestemde crisiscommunicatie waarbij alle diensten en disciplines betrokken zijn?
  5. Zijn nog andere organisaties of lokale besturen slachtoffer van dit incident?
  6. Heeft het incident impact op diensten die kaderen binnen de sectoren onder de NIS-wetgeving: energie, vervoer, financiën, gezondheidszorg, drinkbaar water en digitale infrastructuur? Indien de medicatieschema’s van bewoners uit het nabijgelegen woonzorgcentra niet langer te raadplegen zijn (gezondheidszorg), kan het bijvoorbeeld nuttig zijn om over te schakelen naar de gemeentelijke fase. 

Indien de gemeentelijke fase niet noodzakelijk lijkt voor het oplossen van het incident, kan er ook voor gekozen worden om een incident response team op te richten, met vertegenwoordiging van de belangrijkste actoren voor een sterke crisiswerking. We schetsen hieronder een mogelijke samenstelling van het incident response team: 

  • Crisismanager: De crisismanager heeft de taak om de werking van het incident response team te coördineren, in samenspraak met het managementteam. Deze rol kan ook ingevuld worden door een van onderstaande profielen.
  • Managementteam (MAT): Het managementteam staat mee in voor het doorhakken van strategische knopen.
  • Secretaris of notulist: De secretaris staat in voor het bijhouden van het logboek en de notulen voor de overlegmomenten van het incident respons team.
  • Diensthoofd ICT: Het diensthoofd ICT stuurt de IT-medewerkers en/of externe leveranciers aan, en is het centrale aanspreekpunt voor IT-gerelateerde vragen.
  • Diensthoofd Communicatie: Het diensthoofd communicatie coördineert de interne en externe communicatie voor en door het lokaal bestuur tijdens de crisisfase.
  • Noodplanningscoördinator: Ondersteunt de crisiswerking met inzichten uit eerdere noodsituaties en courante lokale processen.
  • Diensthoofd HR: Het diensthoofd HR heeft een overzicht op de kwalificaties en profielen binnen het lokaal bestuur en kan zo adviezen geven om de beschikbare menselijke capaciteit optimaal in te zetten.
  • Preventieadviseur: Een crisissituatie kan lange(re) tijd aanslepen, het is dan ook aangewezen om een lid binnen het incident response team te hebben die zich toelegt op het welzijn van de voornaamste actoren en medewerkers. 

Waar nodig kan deze samenstelling aangevuld worden met bijkomende profielen. Hou er wel rekening mee dat daadkrachtige beslissingen en snelheid aan de orde zijn, dus vermijdt een te logge crisisstructuur. Enkele mogelijke aanvullende profielen zijn: 

  • Coördinator Logistiek, Facilitair beheer, Technische dienst: voor gebouwen, uitwijklocaties en voorraden.
  • Interne juridische deskundige: voor vraagstukken rond schadeclaims en strafonderzoek.
  • Coördinator Financiën: voor contracten, facturen, uitkeringen, verzekering, ... 

  • Coördinator voor specifiek zwaar getroffen of vitale diensten: OCMW, RVT, onderwijs, … 

Het opstellen van een crisisstructuur is belangrijk, maar het is even belangrijk dat duidelijk afspraken gemaakt worden rond de frequentie van overlegmomenten en escalatieprocedures. Op de eerste dag van de crisis zijn meerdere overlegmomenten geen overbodige luxe. Naarmate de situatie terug onder controle komt, kan de frequente afgebouwd worden. 

Het is ook goed om tijdens deze initiële fase na te denken over de afschaling van de crisiswerking: welke resultaten moeten behaald worden om deels of volledig terug te keren naar de gebruikelijke werking en dienstverlening?

Voorzie het incident response team van de nodige tools

De dienst ICT krijgt de taak toegewezen om de actoren binnen het incident response team van ‘schone’ en veilige computers te voorzien, met een netwerkverbinding (bijvoorbeeld via 4G) en eventueel alternatieve e-mailaccounts, teneinde de crisiswerking digitaal te ondersteunen.  

Tot nader order werken deze computers met lokale gebruikers en hebben de leden van het incident response team enkel toegang tot bedrijfszekere apps en data in een beveiligde Cloudomgeving die hiervoor speciaal opgericht wordt.

Maximaliseer je interne en externe capaciteit

Tijdens het eerste overleg van de voorzien crisisstructuur is het aangewezen om te kijken hoe je je capaciteit kan maximaliseren. Vaak zijn crisissituaties geen sprint, maar een marathon. Het is dan ook belangrijk om zoveel mogelijke expertise en mankracht in te schakelen. Intern gaat het hier over twee types profielen: 

  • Medewerkers die deskundig zijn in het (normaal) verloop van een proces en/of het bedienen van een of meerdere toepassingen die daarbij gebruikt worden: Hun functies zijn vaak gekoppeld aan belangrijke en kritieke bedrijfsprocessen. 
  • Medewerkers die een specifieke opdracht hebben in het beheersen van een crisis: Zij worden hoofdzakelijk of uitsluitend ingezet om de schade te beperken en de terugkeer naar een 100% operationele werking mogelijk te maken. 

 Ook via externen kan expertise en ondersteuning voorzien worden. Idealiter wordt in de fase ‘Identificatie en melding’ al gekeken of steun van private partners of leveranciers ingeschakeld moet worden, bijvoorbeeld voor CERT-diensten. Daarnaast kan echter ook gekeken worden naar bestaande partnerschappen - bijvoorbeeld met de lokale politiezones of andere steden en gemeenten - en advies van relevante instanties zoals het CERT en de Computer Crime Units.

Zorg van bij de start voor efficiënte crisiscommunicatie

Op een gegeven moment zal communicatie aan belang winnen binnen de crisiswerking. Het gaat hier niet alleen over de communicatie naar externen zoals pers en inwoners, maar ook over de communicatie naar de eigen medewerkers en partners van het lokaal bestuur. 

Breng bestaande documentatie samen 

Een belangrijke bouwsteen voor succes is een uitgewerkt crisiscommunicatieplan. Een dergelijk plan omvat een aantal luiken die een grote meerwaarde bieden voor de organisatie van de verschillende communicatie-acties, meer bepaald: 

  • Een contactenlijst met de contactinfo van medewerkers, belanghebbenden, partners en pers
  • Een contactenlijst met partners die ondersteuning kunnen bieden
  • Een overzicht van de communicatiekanalen die gebruikt kunnen worden: hou er rekening mee dat bepaalde gebruikelijke kanalen niet beschikbaar kunnen zijn ten gevolge van het cyberveiligheidsincident, zoals mail, intranet en website.
  • Een overzicht van kernboodschappen
  • Een taakverdeling met opsomming van de verschillende rollen bij een cyberincident en bijhorende taken 

Communiceer zo snel mogelijk intern

Een goede communicatie tijdens een incident is primordiaal om geen tijd verloren te laten gaan en de reputatieschade te beperken. Soms durft men hier al eens te vergeten dat de communicatie naar internen ministens even belangrijk is als de communicatie naar externen. Interne belanghebbenden hebben immers hebben nood aan snelle en correcte informatie om te kunnen helpen bij het onder controle krijgen van het cyberveiligheidsincident. 

In de startfase van de crisis kunnen volgende interne communicaties opgezet worden: 

  1. Brief de diensthoofden binnen het lokaal bestuur zo snel mogelijk, met de vraag om hun verschillende dienstleden op de hoogte te brengen. Vergeet hierbij niet om ook relevante partners en leveranciers in te lichten.
  2. Richt een snel en veilig intern communicatiekanaal op of maak gebruik van een bestaand kanaal voor crisiscommunicatie. Denk hierbij bijvoorbeeld aan een Whatsappgroep met alle medewerkers en diensthoofden, waarin belangrijke mededelingen en richtlijnen snel en efficiënt gecommuniceerd kunnen worden.
  3. Werk duidelijke interne communicatielijnen uit voor medewerkers waarbij ze - idealiter via hun respectievelijk diensthoofd - een duidelijk aanspreekpunt aangereikt krijgen voor vragen, alsook een overzicht krijgen van de regels naar externe communicatie toe.
  4. Werk instructiefiches voor personeel uit in samenwerking met het incident response team en de ICT-dienst, zodat medewerkers en relevante partners duidelijk weten welke acties ze wel en niet mogen stellen om nieuwe aanvallen of bijkomende schade te voorkomen. Denk hierbij aan een verbod op het meebrengen van eigen hardware of het aansluiten op het publieke wifi netwerk van het lokaal bestuur. 

De inhoud van de initiële communicatie zal hoogstwaarschijnlijk eerder beperkt zijn, aangezien nog niet alle details gekend zijn. Desondanks dient een voorlopig antwoord geformuleerd te worden op volgende vragen: 

  • Wat is op dit moment al geweten?
  • Wie werkt momenteel aan welke oplossing(en)?
  • Op welke manier zullen inwoners en andere stakeholders geïnformeerd worden?
  • Wat zijn de rollen en verantwoordelijkheden van het incident response team of de voorziene structuur voor crisismanagement?
  • Wat wordt verwacht van de medewerkers? Wat mag wel en wat mag niet?
  • Wanneer kunnen de medewerkers zich aan een volgende update verwachten? 

Vergeet ook niet om je medewerkers gedurende het verdere verloop op de hoogte te houden van nieuwe ontwikkelingen en richtlijnen. Dit kan ook via korte flash-updates op de beschikbare communicatiekanalen. 

Communiceer proactief naar externen

Zodra interne medewerkers op de hoogte werden gebracht van het incident, is het een kwestie van zo snel mogelijk naar buitenaf te communiceren. Het voelt misschien niet intuïtief om zelf het slechte nieuws naar buiten te brengen, maar door niet te wachten tot nieuwsmedia of inwoners de situatie aankaarten kan je vermijden dat het verhaal een eigen leven gaat leiden, met foutieve assumpties en informatie. Deze techniek staat bij marketeers gekend als ‘stealing thunder’. 

In deze fase is de kans reëel dat je zelf nog over onvoldoende informatie beschikt om het volledige verhaal te kunnen delen. Dit wil echter niet zeggen dat je nog niet in een eerste communicatie kan voorzien. Wanneer er nog te veel onduidelijkheid bestaat kan je al een wachtboodschap opstellen en communiceren naar pers, inwoners en andere belanghebbenden via de beschikbare kanalen. Deze wachtboodschap bevat best volgende elementen:

  1. We zijn op de hoogte: Je weet dat het lokaal bestuur ten prooi is gevallen aan een cyberveiligheidsincident van een aanzienlijke omvang.
  2. We zijn ermee bezig: Het lokaal bestuur onderneemt een aantal stappen om de situatie onder controle te krijgen, en werkt aan een oplossing.
  3. We zijn bezorgd: Je neemt de situatie ernstig en hebt empathie voor al wie ongemak ondervindt van deze situatie.
  4. We betreuren het voorval: Natuurlijk is het cyberveiligheidsincident het werk van cybercriminelen, maar dat wil niet zeggen dat je geen excuses kan overmaken aan al wie hinder ondervindt.
  5. We komen zo snel mogelijk terug: Zodra er meer informatie is, zal je terugkoppelen naar buitenaf. 

Indien er sprake is van specifieke getroffenen, denk bijvoorbeeld aan datadiefstal of een datalek, is het van belang dat deze personen dit niet via de pers of andere kanalen moeten vernemen. Vooraleer het brede publiek op de hoogte wordt gebracht, zorg je er dus best voor dat de getroffenen waar mogelijk om een meer directe manier op de hoogte worden gebracht. Bijvoorbeeld via telefoon, mail of direct message. 

In het geval dat er voldoende capaciteit beschikbaar is, kan de oprichting van een elementair callcenter een grote meerwaarde bieden voor de externe communicatie. Dit is zeker het geval indien er sprake is van getroffenen, bijvoorbeeld ten gevolge van een datalek.  

Afweging: inschakelen Team D5

Indien bijkomende ondersteuning wenselijk is op het gebied van crisiscommunicatie aangezien het over een incident van een omvangrijke grootorde gaat, kan de communicatieverantwoordelijke toestemming vragen aan het incident response team om Team D5 in te roepen, de discipline informatie in de Belgische rampenwerking. Team D5 is een nationale werking vanuit het Federaal Crisiscentrum die gemeenten of provincies kan ondersteunen bij het opvangen van de pers, informeren van bevolking, monitoren van en reageren op sociale media en andere. 

Er is geen verplichting om beroep te doen op deze ondersteuning, maar de hulp kan een grote meerwaarde bieden indien de interne capaciteit beperkt is of een meer doorgedreven crisiscommunicatie aangewezen is gezien de impact of eventuele slachtoffers. Elke burgemeester of gouverneur kan in het kader van een noodsituatie Team D5 activeren.

Neem bijkomende technische maatregelen

In de eerste fase van de crisissituatie tracht je een verdere verspreiding van het incident te vermijden door getroffen systemen onmiddellijk los te koppelen en geïmpacteerde of kwetsbare functionaliteit stil te leggen. Het forensisch onderzoek brengt in de tussentijd meer duidelijkheid met betrekking tot de getroffen systemen en toepassingen. De kans is reëel dat bijkomende acties nodig zijn om de situatie onder controle te krijgen en de gewone werking te hervatten, belangrijk hierbij is dat deze maatregelen ook een impact op de interne werking met zich (kunnen) meebrengen. 

Volgende stappen kunnen gezet worden om het incident te bestrijden en mogelijke schade zoveel mogelijk in te dammen: 

  1. Het afsluiten van de werksessies van de gebruikers: Ingelogde gebruikers vormen een belangrijke vector voor aanvallers om binnen te dringen in de IT-omgeving. Alles wat maakt dat gebruikersprofielen actief kunnen zijn - hierbij dient zeker gedacht te worden aan de mogelijkheid tot telewerk en dus toegang van buitenaf - moet worden onderbroken en stopgezet. Er zijn technische oplossingen om het afmelden van gebruikers op te volgen, maar natuurlijk dient dit eerst ook expliciet gevraagd worden aan alle gebruikers via de voorziene interne communicatiekanalen. Verstuur daarom een e-mailbericht of flashmededeling naar alle interne medewerkers met de vraag om hun huidig werk op te slaan en zo snel mogelijk af te melden, zowel intern als van thuis uit.
     
  2. Aansluitend op het vorige punt: Binnen het gebruikersbeheer valt het aan te bevelen om de volgende twee stappen in de aangegeven volgorde te doorlopen:
     
    1. Voor IT-administratoren of systeembeheerders: Een onmiddellijke en onvoorwaardelijke reset van wachtwoorden doorvoeren, ook wanneer reeds gewerkt wordt met meervoudige authenticatie (MFA).
    2. Voor alle overige gebruikers: De toegang dient tot nader order integraal gedeactiveerd worden. Dit proces kan je enigszins voorbereiden door een speciale gebruikersgroep in het leven te roepen zonder rechten, waarbij alles initieel dichtstaat. Bij een afschakeling kan je dan eenvoudig alle gebruikers in deze bijzondere groep opdelen.
       
  3. Vervang de wachtwoorden op alle toestellen: Alle wachtwoorden die gebruikt werden op de server worden best aangepast. Denk hierbij aan de wachtwoorden van e-mail, control panels, content management systemen en andere. Doe hetzelfde voor alle toestellen die toegang hadden tot de gehackte website of server bij aanvallen van een grotere omvang. Het is ook aangeraden om de overige apparaten te controleren, en dan zeker die waarop mogelijk gevoelige gegevens staan.
     
  4. Schakel netwerksegmenten die risico lopen zoveel mogelijk uit: Hierbij gaat het bijvoorbeeld over gastentoegangen via het wifinetwerk en VPN-verbindingen voor toegang van buitenaf. 
     
  5. Verhoog de monitoring en controle op de firewalls:  Het is aangewezen om de toegangsregels aan te passen, met whitelisting van toegestane verbindingen en blacklisting van verdachte verbindingen.
     
  6. Scan de DMZ-omgeving: Voer een security scan uit op de externe IP-adressen van je lokaal bestuur door middel van een kwetsbaarhedenscan en controle op openstaande services en netwerkpoorten.
     
  7. Leg de mailfunctionaliteit stil: Door de servers die instaan voor mailfunctionaliteit uit te schakelen kan vermeden worden dat via deze weg besmettingen (verder) verspreid worden.

Er kan bewust voor gekozen worden om bepaalde functionaliteit intact te laten, denk aan mogelijk vitale functies zoals website en telefonie, op voorwaarde dat er een duidelijke afscheiding is van de andere voorzieningen voor hardware en software. Toepassingen als virusscanners en firewalls worden best maximaal operationeel gehouden, aangezien zij inzage geven in de actuele toestand en het recente verleden van de cyberaanval. 

Verdieping: mogelijk afschakelproces voor lokale ICT-infrastructuur

Zoals reeds aangehaald kan het nodig zijn om vergaand af te schakelen om de verspreiding van de besmetting tegen te gaan en het incident een halt toe te roepen. We schetsen hieronder een mogelijke volgorde voor een afschakelproces, maar natuurlijk is dit ook sterk afhankelijk zijn van de eigen kritieke bedrijfsprocessen en de samenstelling van de ICT-omgeving. De systemen bovenaan dienen als laatste losgekoppeld te worden en als eerste terug opgestart te worden: 

  1. Nutsvoorzieningen
    1. Elektriciteit (stroomkasten)
    2. Generator
    3. UPS
       
  2. Netwerkinfrastructuur (WAN en LAN)
    1. LAN switches
    2. WAN Switches
    3. Routers internet en WAN
    4. SIP apparatuur
       
  3. Centrale opslagsystemen SAN / NAS
    1. SAN
    2. NAS
    3. Backup NAS
       
  4. Virtualisatie omgeving (VMWARE)
    1. VMWare Servers
    2. vCenter Server
       
  5. Cloud systemen
    1. Servers in Datacenter (Private cloud, denk aan CIPAL, proximus, …)
    2. Servers in Cloud (Azure, AWS, Google, …)
       
  6. Telefonie en radio infrastructuur (Astrid)
    1. SIP routers
    2. ISDN Switches
    3. Astrid apparatuur
    4. Telefonie server
       
  7. Fysieke Servers
    1. Camera Server
    2. Bewakingsserver
    3. Verwarmingsserver

    4.  
  8. Basis Virtuele Servers
    1. DHCP
    2. DNS
    3. Domain controllers AD
    4. Authority Server + NAP
    5. Fileserver
       
  9. Database Servers
    1. ISLP database
    2. ISLP Query
    3. … 
       
  10. Applicatie Servers
    1. ISLP Server(s)
    2. Remote office / Citrix Server(s)
    3. 3P Server 
       
  11. Backup omgeving
    1. Library of NAS Backup
    2. Backup Server
       
  12. Primaire Werkstations
    1. ICT
    2. Dispatching
    3. Onthaal en Planton
    4. Kritieke diensten
       
  13. Secondaire Werkstations
    1. Andere voorname werkstations of diensten
       
  14. Remote Office

Blijf communiceren, bijvoorbeeld via een FAQ

Leg een lijst met Frequently Asked Questions aan waarbij antwoorden uitgeschreven worden voor veel gestelde vragen, om te vermijden dat het aantal interne en externe ad-hoc vragen te hoog oploopt. Zorg er hoe dan ook voor dat internen en externen steeds terecht kunnen op een vaste pagina of webstek om een antwoord te vinden op veelgestelde vragen.

Praktijk informatie

Fase 3: Remediëring en herstel

# Bestuur, Veiligheid

Lees meer


 

Bronvermelding

Cookies op onze website.

Cookies worden gebruikt om deze website optimaal te laten werken en uw surfervaring te verbeteren.

Om meer te weten over welke cookies wij gebruiken, lees ons privacystatement.

Wilt u analytische cookies?

Hiermee kunnen wij statistieken verzamelen over de websitebezoek.