Fase 1: detectie en analyse
Wanneer alarmeer ik over een cyberaanval?
Wanneer je ongewone gebeurtenissen of dataverkeer opmerkt, kan je best eerst de melding of de storing verder gaan onderzoeken… Lees meer
Wanneer is een vooralarm aanbevolen?
Wanneer je ongewone gebeurtenissen of dataverkeer opmerkt, kan je best eerst de melding of de storing verder gaan onderzoeken… Lees meer
Wanneer start ik met het crisisbeheer?
Het crisisbeheer start bij de vaststelling van een ICT-gerelateerd probleem… Lees meer
Welke signalen wijzen op een cyberaanval?
Bij vele incidenten is het vanaf het begin niet duidelijk of het gaat over cybercriminaliteit of een technische storing. We lijsten enkele signalen op die zouden kunnen wijzen op een cyberaanval… Lees meer
Wat bij vermoeden van een grotere problematiek of onduidelijkheid?
Bij vermoeden van een grotere problematiek of onduidelijkheid, dient de melding overgemaakt worden naar de lokale ICT-dienst, DPO, CISO of verantwoordelijke, op basis van de interne richtlijnen… Lees meer
Wat als bij het eerste onderzoek van de melding, cybercriminaliteit niet kan worden uitgesloten?
Indien het eerste snelle onderzoek van de melding - snelle keuzes en acties zijn essentieel binnen deze fase van het crisisbeheer - de mogelijkheid op cybercriminaliteit niet kan uitsluiten, moeten de mogelijk geïnfecteerde of geïmpacteerde systemen en toepassingen onderzocht worden door de lokale IT-dienst… Lees meer
Wat wordt er tijdens een forensisch onderzoek onderzocht?
Een forensisch onderzoek is belangrijk voor het vergaren van bewijsmateriaal, maar kan ook nodig zijn om alle artefacten te verzamelen en de omvang en reikwijdte van de aanval te onderzoeken… Lees meer
Wat is de beste keuze om een cyberaanval te stoppen?
Om de cyberaanval te stoppen en schade zoveel mogelijk in te perken, word je gedwongen om snel belangrijke keuzes te maken. Enerzijds wil je als lokaal bestuur zo snel mogelijk terugkeren naar de gebruikelijke dienstverlening en vermijden dat de besmetting zich verder verspreidt, anderzijds is het van belang om voldoende sporen te verzamelen om de daders te vatten en de best mogelijke oplossing te formuleren… Lees meer
Wat als ik ervoor kies om bewijsmateriaal maximaal te houden voor forensisch onderzoek?
Deze keuze houdt in dat je voor de getroffen systemen en toepassingen zo snel mogelijk de verbinding met het lokale netwerk en internet verbreekt… Lees meer
Wat als ik ervoor kies om alle computers en servers binnen ons lokaal bestuur los te koppelen?
Deze keuze betekent dat je je activiteiten zo goed als mogelijk probeert verder te zetten en zoveel mogelijk inzet op bewijsvergaring… Lees meer
Wat kan ik doen ter voorbereiding van een forensisch onderzoek?
Gezien de complexiteit van de materie is het aangewezen om externe expertise in te schakelen voor forensisch onderzoek indien de ervaring binnen het lokaal bestuur beperkt is. Dat wil echter niet zeggen dat initieel geen stappen ondernomen kunnen worden om zicht te krijgen op de situatie en bewijsmateriaal te vergaren… Lees meer
Welke voorzorgen neem ik bij het maken van back-ups?
Zo snel mogelijk na de vaststelling van het cyberveiligheidsincident en het loskoppelen van mogelijk geïmpacteerde servers of computers, is het een goed idee om aandacht te schenken aan de back-ups, aangezien deze een belangrijke rol kunnen spelen in de herstel- en remediëringsfase… Lees meer
Wat kan ik doen om het sporenonderzoek en/of het herstelproces inzake back-ups te vergemakkelijken?
Gezien het vitale belang van back-ups, zowel in kader van sporenonderzoek als voor de herstel- en remediëringsfase, zoomen we even in op twee belangrijke aandachtspunten in de initiële fases van het cyberveiligheidsincident… Lees meer
Welke conclusies kan men reeds trekken gedurende het proces van bewijsvergaring?
Het analyseproces zal nog een stuk langer in beslag nemen met het oog op forensisch onderzoek, maar gedurende het proces van bewijsvergaring zal al snel een van de volgende twee conclusies naar boven komen… Lees meer
Indien de conclusie komt dat het effectief over een cyberaanval gaat, naar welke interne rollen moet ik communiceren?
Wanneer bijna onweerlegbaar vastgesteld wordt dat het lokaal bestuur te maken heeft met een cyberaanval, is het zaak om deze conclusie zo snel als mogelijk intern te communiceren zodat de nodige rollen gealarmeerd kunnen worden… Lees meer
Wat doe ik inzake verdere beeldvorming nadat ik alle interne rollen heb gecontacteerd?
Zodra de interne rollen ingelicht werden van het incident, is het aangewezen om de verschillende actoren samen te brengen voor een eerste crisisoverleg… Lees meer
Doe ik bij een geval van cybercriminaliteit, een melding bij de lokale politie en het CERT (Computer Emergency Response Team)?
Zodra duidelijk wordt dat cybercriminaliteit hoogstwaarschijnlijk aan de basis ligt van de problemen die je ervaart binnen je lokaal bestuur, is het aangewezen om zo snel mogelijk een melding te doen bij het CERT en de lokale politiezone… Lees meer
Hoe hou ik alle ondernomen acties en beslissingen tijdens het crisisbeheer bij?
Nadat de eerste acties ondernomen werden, is het een goed idee om een secretaris aan te duiden die alle genomen acties en beslissingen bijhoudt in een overzichtelijk logboek… Lees meer
Wat als er door de cyberaanval persoonsgegevens zijn getroffen?
De kans is reëel dat gedurende het forensisch onderzoek, of latere fases in de aanpak van cyberveiligheidsincident, naar boven komt dat persoonsgegevens getroffen werden. Gezien de wettelijke verplichtingen inzake databeheer en mogelijke inbreuken, is het cruciaal dat elk datalek, hoe triviaal ook, geregistreerd wordt… Lees meer
Wat als ik als lokaal bestuur niet over de nodige expertise beschik voor het afhandelen van cyberincidenten?
Als lokaal bestuur heb je - hopelijk - maar beperkte ervaring met het afhandelen van cyberincidenten. Wanneer het incident van een zodanige grootorde is dat er sprake is van onmiddellijke schade, verstoorde dienstverlening en diefstal of manipulatie van data, is het dan ook aangewezen om professionele hulp in te schakelen… Lees meer
Kan je een DDOS-aanval (Distributed-Denial-Of-Service-aanval) zelf stoppen?
DDOS-aanvallen zijn vaak erg gesofisticeerd en dus ook moeilijk om aan te pakken… Lees meer
Hoe kan ik na een cyberincident in de toekomst preventief te werk gaan?
Neem initiatief. Door te handelen op basis van aanwezige kennis en ervaringen kan je controle over de situatie herwinnen en de gelatenheid en passiviteit doorbreken die u in het andere geval dreigt te overrompelen…Lees meer
Fase 2: schadebeperking- en bestrijding
Welke crisiswerking neem ik het beste in afweging?
Gedurende de fase met de identificatie en melding van het incident werden de belangrijkste stakeholders idealiter reeds ingelicht en ging reeds een eerste overleg door om de initiële aanpak te bepalen. Nu wordt het een kwestie om alle relevante actoren formeel samen te brengen binnen een heldere en werkbare structuur voor crisiswerking… Lees meer
Waarmee hou ik rekening indien ik kies voor een gemeentelijke fase binnen mijn crisiswerking?
Dit houdt in dat de afweging gemaakt moet worden of men dient op te schalen naar de gemeentelijke fase of een alternatieve crisiswerking aan de orde is. Het afkondigen van de gemeentelijke fase is zeker geen automatisme en kan mee besproken worden met de leidinggevenden van de hulpdiensten… Lees meer
Waarmee hou ik rekening indien ik kies voor een alternatieve crisiswerking?
Indien de gemeentelijke fase niet noodzakelijk lijkt voor het oplossen van het incident, kan er ook voor gekozen worden om een incident response team op te richten, met vertegenwoordiging van de belangrijkste actoren voor een sterke crisiswerking… Lees meer
Hoe begin ik aan het opstellen van een crisisstructuur?
Het opstellen van een crisisstructuur is belangrijk, maar het is even belangrijk dat duidelijk afspraken gemaakt worden rond de frequentie van overlegmomenten en escalatieprocedures… Lees meer
Welke middelen voorzie ik voor het incident response team?
De dienst-ICT krijgt de taak toegewezen om de actoren binnen het incident response team van ‘schone’ en veilige computers te voorzien, met een netwerkverbinding (bijvoorbeeld via 4G) en eventueel alternatieve e-mailaccounts om de crisiswerking digitaal te ondersteunen… Lees meer
Hoe ga ik tijdens het eerste overleg van de voorziene crisisstructuur te werk?
Tijdens het eerste overleg van de voorziene crisisstructuur, is het aangewezen om te kijken hoe je je capaciteit kan maximaliseren. Vaak zijn crisissituaties geen sprint, maar een marathon. Het is dan ook belangrijk om zoveel mogelijke expertise en mankracht in te schakelen… Lees meer
Hoe zorg ik voor een efficiënte crisiscommunicatie?
Op een gegeven moment zal communicatie aan belang winnen binnen de crisiswerking. Het gaat hier niet alleen over de communicatie naar externen zoals pers en inwoners, maar ook over de communicatie naar de eigen medewerkers en partners van het lokaal bestuur… Lees meer
Wat doe ik indien bijkomende ondersteuning noodzakelijk is?
Indien bijkomende ondersteuning wenselijk is op het gebied van crisiscommunicatie als het over een incident van een omvangrijke grootorde gaat, kan de communicatieverantwoordelijke toestemming vragen aan het incident response team om Team D5 in te roepen, de discipline informatie in de Belgische rampenwerking… Lees meer
Hoe kan ik in de eerste fase van de crisissituatie verdere verspreiding van het incident vermijden?
In de eerste fase van de crisissituatie probeer je een verdere verspreiding van het incident te vermijden door getroffen systemen onmiddellijk los te koppelen en geïmpacteerde of kwetsbare functionaliteit stil te leggen… Lees meer
Hoe stel ik een mogelijk afschakelproces voor lokale ICT-infrastructuur op?
Het kan nodig zijn om vergaand af te schakelen om de verspreiding van de besmetting tegen te gaan en het incident een halt toe te roepen. We schetsen een mogelijke volgorde voor een afschakelproces, maar natuurlijk is dit ook sterk afhankelijk van de eigen kritieke bedrijfsprocessen en de samenstelling van de ICT-omgeving… Lees meer
Hoe kan ik ervoor zorgen dat interne en externe ad-hoc vragen beantwoord worden?
Leg een lijst met Frequently Asked Questions (FAQ) aan waarbij antwoorden uitgeschreven worden voor veelgestelde vragen, om te vermijden dat het aantal interne en externe ad hoc vragen te hoog oploopt… Lees meer
Fase 3: remediëring en herstel
Hoe bereid ik de opstart van kritieke processen voor?
Wanneer de verspreiding van het cyberveiligheidsincident onder controle is en de crisiswerking vlot werd opgestart, is de eerstvolgende vraag hoe de gebruikelijke dienstverlening en werking terug opgestart kunnen worden… Lees meer
Hoe breng ik de impact op de werking en dienstverlening in kaart?
Er is geen gouden oplossing voor het in kaart brengen en structureren van de impact van een mogelijk cyberveiligheidsincident. Dit wil echter niet zeggen dat er geen handvatten zijn om dit efficiënt en procesmatig uit te werken… Lees meer
Welke prioriteiten stel ik op voor de heropstart en het herstel van systemen en toepassingen?
Zodra de impact in kaart werd gebracht en alle relevante informatie verzameld werd met betrekking tot de (tijdskritieke) processen in je lokaal bestuur, zullen prioriteiten gesteld moeten worden voor de heropstart en het herstel van systemen en toepassingen. Bij een eerder beperkt incident is dit proces vrij rechtlijnig, terwijl een incident van een grotere omvang een meer omvattende aanpak vereist… Lees meer
Welke benodigde middelen voorzie ik tijdens de heropstart en het herstel van systemen en toepassingen?
Zodra de prioritaire rangorde voor de heropstart van processen vaststaat, zal gekeken moeten worden welke middelen nodig zijn om de concrete processen te herstellen. Per impactcluster of tijdskritiek proces wordt dan een oplijsting gemaakt van de middelen die nodig zijn om processen en diensten terug op te starten… Lees meer
Wat doe ik als de heropstart van bepaalde processen enige tijd in beslag neemt?
De kans bestaat dat het terug operationeel krijgen van bepaalde processen enige tijd in beslag neemt. Indien het proces van die aard is dat langer wachten geen mogelijkheid is, moet er dan ook gekeken worden naar alternatieve processen of methodieken… Lees meer
Hoe pak ik het herstel van de benodigde systemen aan?
Voor de heropstart van de kritieke processen is het niet onwaarschijnlijk dat je beroep zal moeten doen op systemen en toepassingen die getroffen werden door het cyberveiligheidsincident. Het wordt dan ook zaak om de systemen te herstellen, zodat teruggekeerd kan worden naar de gebruikelijke werking… Lees meer
Welk hersteltype kies ik voor mijn lokaal bestuur?
Voor het herstel van systemen bestaan verschillende methodes. Belangrijk hierbij is dat elk van deze methoden voordelen, maar ook nadelen heeft… Lees meer
Welke acties moet ik ondernemen vooraleer systemen terug in dienst genomen worden?
Je kan gebruik maken van verschillende herstelmethodes voor de heropstart van systemen, maar tijdens dit proces is het belangrijk om de nodige controles uit te voeren en voorzorgen te nemen om nieuwe incidenten uit te sluiten… Lees meer
Hoe kan ik bij de heropstart een nieuwe cyberaanval voorkomen?
Hou ook steeds in het achterhoofd dat zodra een systeem of toepassing met succes aangevallen werd, de kans reëel is dat een nieuwe aanval zal plaatsvinden. Of dat hackers een gelijkaardige methodiek zullen toepassen om schade te berokkenen aan andere systemen en toepassingen… Lees meer
Hoe kan ik de heropstart van servers vlot en veilig laten verlopen?
Als laatste stap in het proces moeten systemen ook formeel goedgekeurd worden voor heropstart voor deze opnieuw online geplaatst worden. Het is belangrijk om hierbij duidelijk af te spreken wie deze goedkeuring kan geven en tijdens het goedkeuringsproces niet alleen IT-veiligheidsexperts te betrekken, maar ook profielen die zicht hebben op de werking van de concrete toepassingen en systemen… Lees meer
Welke middelen voorzie ik voor de medewerkers die instaan voor kritieke processen?
In de eerdere fases werd het Incident Response Team voorzien van de nodige middelen en instrumenten om hun taken binnen de crisiswerking zo goed als mogelijk uit te voeren. Zodra de remediërings- en herstelfase ingezet wordt, dient diezelfde oefening uitgevoerd te worden voor medewerkers die instaan voor tijdskritieke processen en dienstverlening… Lees meer
Wat met de heropstart van het gebruikersbeheer?
Na de heropstart van servers, indien afgeschakeld, kan ingegaan worden op het gebruikersbeheer via de domeincontrollers. Net als bij servers, is het hier wijselijk om gefaseerd te werk te gaan, zodat voldoende controles kunnen ingebouwd worden… Lees meer
Hoe stel ik bevoegde instanties zo snel en transparant mogelijk in kennis van het cyberveiligheidsincident?
Het melden van incidenten en mogelijke gegevenslekken is een cruciale fase tijdens het crisisbeheer. Er zijn verschillende redenen om bevoegde instanties zo snel en transparant mogelijk in kennis te stellen… Lees meer
Welke aanpak hanteer ik bij het informeren van de getroffenen van het cyberveiligheidsincident?
Neem beslissingen rond het informeren van getroffenen op basis van de bevindingen van het incident response team, de IT-dienst, functionaris gegevensbescherming en/of veiligheidsconsulent… Lees meer
Hoe rapporteer ik aan het CERT (Computer Emergency Response Team)?
Mocht je lokaal bestuur nog geen melding aan het CERT gedaan hebben - bijvoorbeeld omdat het niet nodig leek om extra advies in te winnen - is het toch een goed idee om dit te doen op vrijwillige basis… Lees meer
In geval van een datalek, ben ik verplicht dit te melden aan het VTC (Vlaamse toezichtcommissie) en GBA (Gegevensbeschermingsautoriteit)?
Zodra blijkt dat er sprake is van een datalek, is het van belang dat dit ook gemeld wordt aan de Vlaamse Toezichtcommissie (Vlaamse autoriteit) en de Gegevensbeschermingsautoriteit (Federale autoriteit). Deze meldingen zijn verplicht en komen ook met een concreet tijdsinterval… Lees meer
Is een datalek of gegevenslek een inbreuk op de GDPR-wetgeving?
De GDPR-wetgeving definieert een datalek of gegevenslek als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.” Denk hierbij bijvoorbeeld aan het verlies van een USB-stick, een ongeoorloofde toegang tot een database of een mail die verstuurd werd naar een verkeerd adres… Lees meer
Hoe en wanneer dien ik een datalek te melden?
De meldingsplicht naar de Vlaamse Toezichtcommissie en Gegevensbeschermingsautoriteit omvat datalekken die een risico inhouden betreft lekken voor de rechten en vrijheden van de betrokkenen… Lees meer
Hoe ga ik te werk bij het informeren van de slachtoffers van een datalek?
Indien het cyberveiligheidsincident gepaard gaat met een datalek met een hoog risico voor de slachtoffers, dien je deze personen op de hoogte te brengen. Deze verantwoordelijkheid komt toe aan de verantwoordelijke voor de gegevensverwerking… Lees meer
Hoe zorg ik ervoor dat alle informatie omtrent de datalek verstaanbaar is voor de slachtoffers?
De kennisgeving moet verstaanbaar zijn voor de getroffenen en dient zeker bepaalde informatie te bevatten… Lees meer
Hoe kan ik de gevolgen voor de getroffenen zoveel mogelijk beperken?
Om de gevolgen voor de getroffenen zoveel als mogelijk te beperken, kan het nodig of wenselijk zijn om contact op te nemen met externe partijen… Lees meer
Hoe maak ik een overzicht van alle gedane meldingen?
Aangezien enkele van de bovenvermelde meldingen onderhevig zijn aan wetgeving en regels, is het belangrijk om duidelijk te registeren welke meldingen reeds gedaan werden en na te kijken of alle relevante instanties gecontacteerd werden… Lees meer
Neem ik bij een cyberveiligheidsincident contact op met mijn verzekeraar?
In het geval dat je lokaal bestuur een verzekeringspolis heeft afgesloten voor cyberveiligheidsincidenten, kan de financiële dienst op voorhand contact opnemen om de huidige situatie te schetsen en informatie in te winnen over de mogelijke gevolgen en voorzorgen… Lees meer
Fase 5: afsluiten incident en verdere opvolging
Welke informatie dien ik samen te brengen na de afhandeling van het cyberveiligheidsincident?
Nadat het cyberveiligheidsincident grotendeels afgehandeld werd - in realiteit kunnen de gevolgen nog weken en zelfs maanden voelbaar zijn, wat echter niet inhoudt dat je lokaal bestuur tot dan in crisismodus moet blijven opereren - is het belangrijk om het snel vergaarde en opgeslagen bewijsmateriaal te archiveren en bijkomende informatie op te vragen die de gevolgen van het incident in kaart brengen… Lees meer
Hoe ga ik te werk bij de evaluatie van de voorbije crisissituatie?
Ongetwijfeld doen alle interne en actoren hun uiterste best om de crisissituatie zo goed als mogelijk te verhelpen, maar dit wil niet zeggen dat het niet de moeite loont om achteraf te kijken wat goed liep en wat beter zou kunnen… Lees meer
Hoe kan ik preventief te werk gaan om een herhaling van het incident in de toekomst te voorkomen?
Tijdens de evaluatie van de crisisaanpak zullen waarschijnlijk ook enkele oplossingen en maatregelen naar boven komen die een herhaling van het incident kunnen voorkomen in de toekomst. Het is aangewezen om deze ook zo snel als mogelijk te integreren, aangezien je niet kan voorspellen wanneer een nieuwe vorm van cybercriminaliteit zich kan voordoen en je niet altijd met 100% zekerheid kan zeggen dat het gevaar geweken is… Lees meer
Welke zaken kan ik aangeven in de afsluitende communicatie rond het cyberveiligheidsincident?
De opluchting die de laatste fase in de crisisaanpak definieert, durft er al eens voor zorgen dat een aantal losse eindjes niet vastgeknoopt worden. In de afgelopen periode kregen inwoners, medewerkers en andere relevante stakeholders op reguliere basis updates over de stand van zaken, met antwoorden op hun veelgestelde vragen… Lees meer
Hoe kunnen de geleerde lessen uit het cyberveiligheidsincident een meerwaarde vormen naar de toekomst toe?
Het getuigt van een hoge maturiteit wanneer instellingen, bedrijven en overheden op transparante manier hun geleerde lessen delen met andere organisaties… Lees meer