Het Nationaal Cyber Security Centrum (NCSC) heeft een ‘basisboek’ gepubliceerd over het herstellen van een cyberincident. Volgens de overheidsinstantie krijgt ongeveer één op de vijf bedrijven jaarlijks te maken met een cyberincident met schade of uitval als gevolg.
Mailen lukt niet meer. Belangrijke data zijn niet meer toegankelijk. Tot overmaat van ramp zijn ook de back-ups versleuteld. Zo maar een scenario dat jou kan overkomen. In zulke gevallen wil je snel terugkeren naar ‘business as usual’.
Weerbaarheid omvat meer dan back-ups
Het vermogen te herstellen van cyberincidenten is een voorwaarde om digitaal weerbaar te zijn. Maar herstel omvat meer dan back-ups. Weten wat je moet beschermen, welke middelen je daarvoor nodig hebt en hoe je je herstel uitvoert en oefent is noodzakelijk.
In dit “basisboek” licht het NCSC toe wat het belang van herstel is, hoe je dat inricht en welke maatregelen je kunt nemen om effectief te herstellen van cyberincidenten.
> LEES OOK: Toekomstvisie NCTV op verhogen cyberweerbaarheid van organisaties
Herstel waarvan?
Het basisboek verstaat onder cyberincidenten: incidenten die de IT verstoren waardoor kritieke producten, diensten en processen niet meer kunnen worden geleverd. In dergelijke gevallen kan het betekenen dat de organisatiedoelstellingen niet meer verwezenlijkt kunnen worden, met schade als gevolg. Het is dan van belang dat je terug kunt vallen op plannen, procedures en afspraken zodat de hersteloperatie zo goed als mogelijk kan worden opgestart en uitgevoerd.
Inrichten van herstel
Voordat een cyberincident met ontwrichtende effecten op je bedrijfsvoering je organisatie treft, is het van belang om herstel in je organisatie in te richten. Maar hoe doe je dat? Hieronder benoemen we de instrumenten die nodig zijn om te bouwen aan je herstelvermogen.
> LEES OOK: Het CCV en CYRA gaan samenwerking aan om mkb cyberweerbaar te maken
Stap 1: Weet wat je moet beschermen
Je organisatie volledig beschermen tegen elke vorm van uitval of cyberdreiging is een utopie. Het is daarom verstandig potentiële dreigingen en de effecten daarvan op je producten en diensten vroegtijdig te identificeren en deze te prioriteren. Dat kan met een Business Impact Analyse (BIA).
De BIA is een voorwaarde voor effectief bedrijfscontinuïteitsbeheer (BCM). De BIA helpt je zicht te krijgen op je te beschermen belangen. Met een BIA breng je, samen met de verantwoordelijken en eigenaren de kritieke producten, diensten en processen in kaart. Daar horen ook de daaraan gerelateerde assets (software, hardware, mensen, leveranciers en data) bij die deze ondersteunen. Hierdoor weet je welke producten, diensten en processen kritiek zijn voor je bedrijfsvoering en wat ervoor nodig is om deze draaiende te houden.
De volgende 4 stappen helpen bij het opstellen van de BIA:
- Breng je belangen in kaart.
- Voer een dreigingsanalyse uit.
- Stel de maximale uitvalduurvast.
- Prioriteer je kritische producten en diensten.
Stap 2: Ontwikkel een herstelplan
Met de inzichten uit de BIA heb je de tools in handen om te bouwen aan het herstelplan (ook wel (IT) Disaster Recovery Plan genoemd).
Een herstelplan is een document – of een onderdeel van het bedrijfscontinuïteitsplan – waar richtlijnen en benaderingen in zijn opgenomen die beschrijven hoe je na een cyberincident snel weer de werkzaamheden kunt hervatten. Het herstelplan is als het ware het draaiboek dat tijdens een cyberincident gebruikt wordt om effectief en snel te kunnen herstellen.
> LEES OOK: “Zorg voor een goed crisisplan in geval van ransomware-aanval”
Maatwerk
Het herstelplan is maatwerk. Kleinere organisaties kunnen voldoende hebben aan bellijst met hun IT-leveranciers en een overzicht van afspraken die zij met hen hebben gemaakt over het herstellen van een cyberincident. Voor organisaties met een complexe IT-omgeving is het nodig een uitgebreider plan op te stellen.
Zorg er daarom voor dat het herstelplan altijd paraat en up-to-date is. Een herstelplan of een scenariokaart (zie hieronder) bevat mogelijk gevoelige gegevens. Bedenk hoe je je plannen beschermt en beschikbaar houdt. Een oplossing is de plannen op versleutelde laptops op te slaan, of goed beveiligde externe locaties te gebruiken die losstaan van het eigen netwerk.
In een herstelplan is in elk geval beschreven:
- Activatie, uitvoering en beëindiging
- Rollen en verantwoordelijkheden
- Scenariokaarten
- Communicatieplan en uitwijklocatie
- Inventaris van systemen en applicaties
- Netwerkbeschrijvingen en schema’s
- Back-up strategie
Stap 3: Oefen, test en train het herstel
Het papier is geduldig, maar op zichzelf onvoldoende. Hersteloperaties blijken in de praktijk weerbarstig en een belangrijke oorzaak daarvan is dat plannen onvoldoende zijn geoefend, getest en getraind. Het beoefenen van het herstelplan en onderliggende scenario’s maakt duidelijk of het herstelvermogen in lijn is met de vereisten om bedrijfsprocessen weer op tijd te herstellen. Oefenen zorgt ervoor dat de mensen die het herstel uitvoeren ook leren hoe zij als team effectief kunnen optreden. Oefenen kan in diverse vormen. Denk aan een tabletop oefening, oefening met live herstel enzovoorts. [13]
Daarnaast is het regelmatig testen en het terugzetten van back-ups cruciaal. Hieruit blijkt of de back-ups in staat zijn de data terug te zetten naar het gewenste moment (RPO), resultaat (data-integriteit), de kwaliteit en hoe lang dat duurt (RTO). Beoordeel op basis van de tests of de back-up strategie moet worden aanscherpt.
Tot slot is het periodiek opleiden en trainen van personeel een punt van aandacht. Zij moeten vertrouwd raken met de taken die zij hebben in het herstelteam, processen internaliseren, de herstelprocedures kennen en vlieguren maken in de uitvoering van herstelwerkzaamheden.
> LEES OOK: Zo bereiden bedrijven zich alvast voor op de nieuwe cyberwet
Communicatie en coördinatie
Tijdens een cyberincident kun je niet zonder effectieve communicatie en coördinatie. Een cyberincident kan de gemoederen binnen de organisatie flink bezighouden. Ook kan het zorgen voor onrust bij klanten, leveranciers en andere stakeholders, met reputatieschade als gevolg. Een communicatieplan, zoals eerder beschreven bij het herstelplan, is nodig omdat je veel overwegingen al van tevoren kunt uitdenken.
De volgende overwegingen zijn hierin nuttig:
- Werk aan je cultuur
- Communiceer intern
- Communiceer extern
- Coördineer het herstel
- Maak melding van het incident
Continu leren en verbeteren
Cyberincidenten zijn leerzaam. Als het puin is geruimd, het incident verholpen is en de bedrijfsprocessen weer door kunnen, is het tijd om na te gaan welke lessen daaruit getrokken kunnen worden.
- Verslaglegging
- Evalueer
- Herstelinformatie
- Verbeteren
> LEES OOK: Leren van een ransomware-aanval
Tot slot
Cyberincidenten zijn lang niet altijd te voorkomen. Als het dan toch gebeurt, wil je daar snel en effectief van herstellen. Om herstel in te richten is het nodig te weten wat je moet beschermen, herstelplannen op te stellen en deze regelmatig te beoefenen. Tijdens een cyberincident is communicatie en coördinatie een belangrijke voorwaarde voor succes. Door zowel intern als extern de betrokkenen op de hoogte te stellen en hen te voorzien van een handelingsperspectief, beperk je schade en onjuiste verwachtingen. Herstellen na een cyberincident betekent tot slot dat je leert van wat er goed ging en wat er fout ging. Deze geleerde lessen helpen je om nóg weerbaarder te worden.
Het basisboek is tot stand gekomen uit een samenwerking tussen ASML, De Volksbank, Nederlandse Vereniging van Banken, Rabobank, Triodos Bank en de AIVD.
Doelgroep: Chief Information Officers, Chief Information Security Officers, Business Continuity Managers, Risk- en Crisis Managers.
Download hier het basisboek: Herstel van een cyberincident. Voor als het dan tóch misgaat
Bron: Nationaal Cyber Security Centrum
Volg Security Management op LinkedIn