Waar de schadebeperking- en bestrijdingsfase vooral als doel heeft om het incident onder controle te houden en bijkomende schade zoveel als mogelijk te minimaliseren, verschuift de focus later naar remediëring en herstel. Het gaat hier over de eerste stappen richting de gebruikelijke dienstverlening en werking, maar ook over het herstel van getroffen systemen en toepassingen. Het concept van bedrijfscontinuïteit wordt hier in de praktijk gebracht. 

Wanneer de verspreiding van het cyberveiligheidsincident onder controle is en de crisiswerking vlot werd opgestart, is de eerstvolgende vraag hoe de gebruikelijke dienstverlening en werking terug opgestart kunnen worden. In een ideaal scenario heeft je lokaal bestuur reeds een Business Impact Analyse (BIA) uitgevoerd en een bedrijfscontinuïteitsplan (BCP) uitgewerkt.  

  • Een Business Impact Analyse is een methode om de tijdskritieke processen binnen je lokaal bestuur te identificeren (processen die zo snel als mogelijk terug opgestart moeten worden) en een tijdsframe te kleven op de opstart van een specifiek proces na uitval of langdurige onderbreking. 

  • Een bedrijfscontinuïteitsplan legt - idealiter op basis van een BIA - vast in welke volgorde de kritieke bedrijfsprocessen terug opgestart dienen te worden, alsook welke voorbereidingen, middelen en capaciteit nodig zijn om de opstart zo vlot en correct als mogelijk te laten verlopen. 

Nadat het cyberveiligheidsincident zich niet verder kan uitbreiden en de eerste stappen richting herstel gezet kunnen worden, zal het Incident Response Team zich dan ook moeten buigen over de heropstart van de processen, en de gekozen werkwijze om deze oefening tot een goed einde te brengen. Het crisisteam kan dit echter niet alleen, en zal ook input van procesverantwoordelijken en afdelingshoofden nodig hebben. 

Aangezien het niet mogelijk is om bij elke werknemer het oor te luisteren te leggen voor de heropstart van processen, is het een goed idee om deze verantwoordelijkheid te leggen bij de afdelingshoofden of proceseigenaars (dit zijn de verantwoordelijke medewerkers voor een specifiek proces). Zij krijgen de vraag om, samen met de medewerkers binnen hun dienst, de impact op hun werking en dienstverlening in te schatten en samen te vatten. Welke processen kunnen zij niet langer uitvoeren op dit moment en wat zijn de noden om deze terug op te kunnen starten? 

De afdelingshoofden of proceseigenaars kunnen vervolgens samen met het Incident Response Team een globaal overzicht maken van de impact van het cyberveiligheidsincident. Natuurlijk heeft een dergelijk overzicht ook nood aan een werkbare structuur. Het is dan ook aangeraden om de impact te clusteren, zodat specifieke werkcellen opgezet kunnen worden, die zich ontfermen over hun respectievelijke cluster. Deze werkcellen staan in voor de monitoring van de impact op hun specifieke processen, alsook voor het identificeren van noden en benodigdheden voor de heropstart. 

Indien reeds een uitgewerkt business continuïteitsplan voorhanden is, gebaseerd op een degelijke Business Impact Analyse, wordt deze oefening meteen een stuk eenvoudiger. In dit geval kan prioritair gekeken worden naar de tijdskritieke processen, met procesverantwoordelijken die de impact op deze processen snel kunnen inschatten en zicht hebben op de benodigde middelen voor heropstart en herstel. Indien niet aanwezig kunnen bestaande productencatalogi of andere beschikbare documentatie rond diensten en producten gebruikt worden voor deze oefening. 

Afweging: Hoe breng je de impact in kaart?

Er is geen gouden oplossing voor het in kaart brengen en structureren van de impact van een mogelijk cyberveiligheidsincident. Dit wil echter niet zeggen dat er geen handvatten zijn om dit efficiënt en procesmatig uit te werken.  

  1. Een eerste mogelijkheid, is om voor de clustering te vertrekken vanuit de bestaande afdelingsstructuur. Concreet houdt deze optie in dat de impact in kaart wordt gebracht voor de verschillende diensten, rekening houdend met de processen die opgevolgd worden door deze dienst en de wijze waarop deze processen uitgevoerd worden.
     
  2. Het is echter ook mogelijk om te kiezen voor een alternatieve opzet, indien dit het toewijzen van verantwoordelijkheden en de opvolging binnen het incident response team vergemakkelijkt. Tijdens de cyberaanval in gemeente Willebroek in januari 2020, werd bijvoorbeeld gekozen om de impactclustering tot slechts vier clusters te betrekken: 
     
    1. Sociaal: deze cluster omvat het woonzorgcentrum en de OCMW-werking
    2. Diensten: deze cluster omvat de technische en administratieve dienstverlening, zoals de onthaalbalie, burgerzaken en vergunningen
    3. Vrije tijd: deze cluster omvat onder meer de bibliotheek en evenementen
    4. Extern: Deze cluster omvat relevante externe organisaties, zoals de VDAB en het CAW 

Zodra de impact in kaart werd gebracht en alle relevante informatie verzameld werd met betrekking tot de (tijdskritiek) processen in je lokaal bestuur, zullen prioriteiten gesteld moeten worden voor de heropstart en het herstel van systemen en toepassingen. Bij een eerder beperkt incident is dit proces vrij rechtlijnig, terwijl een incident van een grotere omvang een meer omvattende aanpak vereist. 

Indien reeds een Business Impact Analyse en Business Continuïteitsplan aanwezig zijn, worden logischerwijze de meest tijdskritieke processen als eerste terug opgestart. Indien dergelijke plannen niet voorhanden zijn, zal op basis van de impactclustering bepaald moeten worden welke processen wanneer opgestart worden. Hierbij moet zeker aandacht besteed worden aan termijn-gebonden producten en diensten en de impact van het uitvallen van het proces. Om deze impact in te schatten, kan gekeken worden naar volgende indicatoren: 

  • Menselijke impact: Bv. lichamelijke slachtoffers en fysiek of emotioneel leed
  • Financiële impact: Bv. verlies van financiële middelen of boetes 
  • Juridische impact: Bv. niet naleven van wettelijke verplichtingen 
  • Impact op reputatie: Bv. geleden reputatieschade of negatieve berichtgeving 
  • Impact op dienstverlening: Bv. uitval van essentiële dienstverlening 

Zodra de prioritaire rangorde voor de heropstart van processen vaststaat, zal gekeken moeten worden welke middelen nodig zijn om de concrete processen te herstellen. 

Per impactcluster of tijdskritiek proces wordt dan een oplijsting gemaakt van de middelen die nodig zijn om processen en diensten terug op te starten. De bevoegde werkcellen of procesverantwoordelijken staan in voor de opmaak van deze lijst. Bij middelen denkt men al snel aan financiële of technische ondersteuning, maar in realiteit komt er vaak meer bij kijken. Onderstaand overzicht kan dienstdoen als geheugensteuntje: 

  • Mensen: Denk hierbij aan de rollen die benodigd zijn om de processen uit te voeren, het aantal vereiste VTE’s, bijkomende (technische) ondersteuning, hulp of expertise van leveranciers, personeel van andere lokale diensten, ...
  • Machines: Hier gaat het onder andere over de toegang tot gegevens en platformen, telewerkmogelijkheden, digitale tools en instrumenten.
  • Gegevens: Welke data of informatie zijn nodig om de processen terug op te starten? In de praktijk is deze categorie ook vaak gelinkt aan de benodigdheden voor het luik ‘machines’.
  • Werkplekken: Denk hierbij aan bureaus, stoelen, computers, verwarming, internetverbinding, vergaderruimten, technische ruimten en andere nutsvoorzieningen. 

Hou ook rekening met mogelijke externe leveranciers bij deze stap. Mogelijk zijn zij een belangrijke schakel bij de opstart van bepaalde processen. Een overzicht met alle relevante interne en externe contactpersonen binnen de oplijsting van middelen is dan ook geen overbodige luxe. 

De kans bestaat dat het terug operationeel krijgen van bepaalde processen enige tijd in beslag neemt. Indien het proces van die aard is dat langer wachten geen mogelijkheid is, moet er dan ook gekeken worden naar alternatieve processen of methodieken. De verantwoordelijkheid om mogelijke oplossingen te formuleren, kan je toewijzen aan procesverantwoordelijken of opgestarte werkcellen die goed en wel weten wat het proces inhoudt en welke mogelijke alternatieven voorhanden zijn.

Natuurlijk vraagt deze oefening enige creativiteit. In bepaalde gevallen zal gekeken moeten worden of bepaalde digitale processen op de oude weg kunnen gebeuren, met pen en papier, maar mogelijk kan ook gewerkt worden vanuit een uitwijklocatie die reeds werd vastgelegd bij de opmaak van bestaande draaiboeken of noodplannen.

Door preventief samenwerkingsverbanden af te sluiten met andere lokale besturen kunnen ook bijkomende mogelijkheden gecreeërd worden. Mogelijks kan de lokale politiezone laptops met 4G-verbinding aanleveren in noodsituaties, of beschikt een ander lokaal bestuur over een ruimte die gebruikt kan worden voor een (beperkte) opstart van digitale dienstverlening.

Voor de heropstart van de kritieke processen is het niet onwaarschijnlijk dat je beroep zal moeten doen op systemen en toepassingen die getroffen werden door het cyberveiligheidsincident. Het wordt dan ook zaak om de systemen te herstellen, zodat teruggekeerd kan worden naar de gebruikelijke werking. Mogelijks houdt dit proces ook het oplossen van kwetsbaarheden in, om nieuwe incidenten uit te sluiten.  

Voor het herstel van systemen bestaan verschillende methodes, belangrijk hierbij is dat elk van deze methoden voordelen, maar ook nadelen heeft. Hieronder schetsen we de drie meest courante hersteltypes: 

  1. Kwaadaardige artefacten schoonmaken en de aangetaste bestanden vervangen door schone versies
  2. Herstellen vanaf een back-up
  3. Systemen of omgeving vanaf nul heropbouwen 

Voor- en nadelen per hersteltype?

Kwaadaardige artefacten schoonmaken

  • Snelle hersteltijd
  • Rendabel
  • Minimale kans op gegevensverlies 
  • Opgelet: De kans bestaat dat onontdekte artefacten achterblijven, wat tot nieuwe problemen kan leiden. 

Herstellen vanaf een back-up

  • Middellange hersteltijd
  • Rendabel
  • Minimale kans op gegevensverlies 
  • Opgelet: Dit hersteltype kan enkel gebruikt worden indien je lokaal bestuur over een betrouwbare back-up beschikt voor het getroffen systeem. De kans bestaat ook dat de exacte tijd van het cyberveiligheidsincident moeilijk in te schatten is, of dat het incident al langer ligt te sluimeren. In dergelijke situaties is de kans groot dat er geen (veilige) back-up is van de periode voor het incident zich voordeed. 

Systemen of omgeving vanaf nul heropbouwen

  • Lange hersteltijd en minst efficiënte hersteltype
  • Heel duur
  • Kans op gegevensverlies
  • Opgelet: Dit is de enige manier om 100% zeker te zijn dat je van de aanvaller verlost bent. Deze zekerheid gaat wel gepaard met een duur kostenplaatje en lange hersteltijd. 

Welk type herstel je best kiest voor het cyberveiligheidsincident waarmee je lokaal bestuur geconfronteerd wordt, zal sterk afhangen van de beschikbare tijd en financiële middelen. Ook de schade van het incident aan je infrastructuur is een belangrijke randvoorwaarde om rekening mee te maken: zo zou het kunnen dat je geen onbesmette back-up hebt voor een aantal belangrijke systemen, omdat de oudste back-up pas gemaakt werd nadat cybercriminelen zijn binnengedrongen.

Je kan gebruik maken van verschillende herstelmethodes voor de heropstart van systemen, maar tijdens dit proces is het belangrijk om de nodige controles uit te voeren en voorzorgen te nemen om nieuwe incidenten uit te sluiten. Vooraleer systemen terug in dienst worden genomen, moeten dan ook enkele relevante acties uitgevoerd worden: 

  • Controleer de gehanteerde back-ups: Vooraleer hersteld wordt vanaf een back-up, dien je te controleren op virussen, rootkits en achterpoortjes. Indien geen betrouwbare back-up gevonden kan worden, moet het systeem opnieuw geïnstalleerd worden, inclusief het besturingssysteem. 
  • Installeer de nodige patches: Het gaat hier zowel over patches op het niveau van het besturingssysteem, als op het niveau van de applicaties.
  • Wijzig de wachtwoorden
  • Wijzig de accounts
  • Verhoog de beveiliging van de netwerkperimeter: Je kan hiervoor o.a. de firewall wijzigen en de controlelijsten voor routertoegang opnieuw programmeren
  • Diensten vergrendelen 

Hou ook steeds in het achterhoofd dat zodra een systeem of toepassing met succes aangevallen werd, de kans reëel is dat een nieuwe aanval zal plaatsvinden. Of dat hackers een gelijkaardige methodiek zullen toepassen om schade te berokkenen aan andere systemen en toepassingen. Dit houdt natuurlijk ook in dat de verdediging waar mogelijk opgeschaald zal moeten worden, dit kan je bijvoorbeeld doen via: 

  • Introductie systeemlogging
  • Netwerktoezicht op een hoger niveau
  • Bijkomende toegangsbeveiliging (zoals multifactorauthenticatie) 

Als laatste stap in het proces moeten systemen ook formeel goedgekeurd worden voor heropstart, vooraleer deze opnieuw online geplaatst worden. Het is belangrijk om hierbij duidelijk af te spreken wie deze goedkeuring kan geven en tijdens het goedkeuringsproces niet alleen IT-veiligheidsexperts te betrekken, maar ook profielen die zicht hebben op de werking van de concrete toepassingen en systemen. Het systeem kan dan wel veilig verklaard worden voor heropstart, maar het is ook belangrijk dat alles naar behoren functioneert. Wat beveiliging betreft is het aanbevolen om nog een laatste scan uit te voeren op systemen en toepassingen in de goedkeuringsfase, zodat gecontroleerd kan worden op overblijvende kwetsbaarheden. 

Verdieping: Wat met servers?

Naar analogie van de voorbeeldafschakelprocedure in fase 2, voer je de heropstart van servers best gefaseerd uit, één voor één. Je gebruikt hierbij logischerwijze de omgekeerde volgorde van de afschakeling.

Om dit proces vlot en veilig te laten verlopen, kan je als volgt te werk gaan:

  1. Je neemt eerst een snapshot van de 'oude' (vermoedelijk geïnfecteerde) machine
  2. Je start de server op
  3. Je neemt als administrator controle over de computer
  4. Je maakt gebruik van detectietools om mogelijke sporen van een besmetting terug te vinden
  5. Je inventariseert de gevonden sporen in kader van de bewijsvergadering
  6. Je kijkt na op indicatoren die kunnen wijzen op gegevensverlies of datalekken
  7. Je maakt gebruik van opschoonsoftware om de server te reinigen, mits akkoord van betrokken partijen (DPO, politie, externe experten, ...)
  8. Indien je niet zeker bent of alles gewist is, dan wel of de machine naar behoren functioneert, kan je overwegen om een eerdere back-up terug te zetten indien je zicht hebt op de tijd van de besmetting
  9. Verklaar de machine terug in dienst, met de een melding of deze 100% operationeel is, of er bijzonderheden zijn zoals dataverlies

In de eerdere fases werd het Incident Response Team voorzien van de nodige middelen en instrumenten om hun taken binnen de crisiswerking zo goed als mogelijk uit te voeren. Zodra de remediërings- en herstelfase ingezet wordt, dient diezelfde oefening uitgevoerd te worden voor medewerkers die instaan voor tijdskritieke processen en dienstverlening. Later kan deze stap natuurlijk ook uitgebreid worden naar andere diensten en medewerkers. 

Enkele zaken die mogelijk van pas kunnen komen zijn: 

  • Laptops met 4G-verbinding (via toestel of routers)
  • Printers (met USB-kabels)
  • USB-sticks en harde schijven voor het opvragen van informatie: belangrijk is hierbij wel dat deze na elke update van informatie volledig gescand worden
  • Cloudopslag met strenge beveiliging (bijvoorbeeld via OO-drive of TresorIT)

Daarnaast kan het ook nuttig zijn om een reeks emailadressen te activeren op een maildomein voor noodzakelijk werkgerelateerd verkeer. 

Verdieping: Wat met de heropstart van het gebruikersbeheer?

Na de heropstart van servers, indien afgeschakeld, kan ingegaan worden op het gebruikersbeheer via de domeincontrollers. Net als bij servers, is het hier wijselijk om gefaseerd te werk te gaan, zodat voldoende controles kunnen ingebouwd worden.

Dit proces ziet er als volgt uit:

  • De gebruikers worden in fases terug in dienst gezet:
  1. IT-administratoren
  2. Leden van het Incident Response Team
  3. Medewerkers die instaan voor kritieke processen
  4. Medewerkers wiens dienstverlening in mindere mate afhankelijk is van vastgelegde tijdsordes
  • Vooraleer een gebruiker zich terug mag aanmelden in het domein, moet het wachtwoord eerst gereset worden. Dit wordt best ook rechtstreeks naar de respectievelijke gebruikers gecommuniceerd.
  • Indien nodig kan een éénmalige code gegeven worden die bij de eerste inlogpoging meteen gewijzigd moet worden.
Praktijk informatie

Fase 4: Kennisgeving

# Bestuur, Veiligheid

Lees meer


 

Bronvermelding