IT-beveiligingsplan

Deze tien stappen hoeven niet per se in deze volgorde te worden uitgevoerd. Bijvoorbeeld, het documenteren van het incident start helemaal in het begin en gaat door tijdens de hele duur van het incident; communicatie vindt ook gedurende het hele incident plaats.

Andere aspecten van het proces vinden tegelijkertijd plaats. Bijvoorbeeld, tijdens de eerste beoordeling krijgt u een idee van de algemene aard van de aanval. Het is belangrijk dat u deze informatie gebruikt om zo snel mogelijk de schade te beheersen en risico's tot een minimum te beperken. Als u snel handelt, kunt u tijd en geld voor de organisatie besparen en de reputatie van het bedrijf hoog houden.

Tijdens de eerste beoordeling krijgt u een idee van de algemene aard van de aanval. Het is belangrijk dat u deze informatie gebruikt om zo snel mogelijk de schade te beheersen en risico's tot een minimum te beperken. Als u snel handelt, kunt u tijd en geld voor de organisatie besparen en de reputatie van het bedrijf hoog houden.

 

Er zijn diverse herkenningspunten waaraan u kunt zien dat er mogelijk een aanval op uw organisatie gaande is. Zo kunnen bijvoorbeeld de activiteiten van een netwerkbeheerder die legitiem systeemonderhoud uitvoert, lijken op die van iemand die bezig is met een aanval. In andere gevallen kan een systeem dat niet goed is geconfigureerd, zorgen voor valse meldingen in het inbraakdetectiesysteem, waardoor het veel moeilijker is om echte incidenten te detecteren. Als onderdeel van uw eerste beoordeling moet u: 

 

 
Hoewel valse meldingen te allen tijde moeten worden voorkomen, is het altijd beter om op een valse melding te reageren dan niet te reageren op een écht incident. Uw eerste beoordeling moet daarom zo kort mogelijk zijn, terwijl overduidelijke valse meldingen moeten worden geëlimineerd.

 

Als u denkt dat u te maken hebt met een echt beveiligingsincident, moeten de leden van het CSIRT direct op de hoogte worden gebracht van het beveiligingslek. De incidentencoördinator van het CSIRT moet, samen met de andere teamleden, snel bepalen met welke mensen buiten het CSIRT contact moet worden opgenomen. Op deze manier wordt er mede voor gezorgd dat het incident onder controle en gecoördineerd blijft, terwijl de ernst van de schade tot een minimum kan worden beperkt.

 

Door snel te handelen en zo de daadwerkelijke en potentiële gevolgen van een aanval te beperken, kunt u het verschil maken tussen een klein en een groot incident. De exacte manier waarop moet worden gereageerd, is afhankelijk van uw organisatie en de soort aanval waar u mee te maken hebt.

 

 

Om op een effectieve wijze te kunnen herstellen van een aanval, moet u vaststellen hoe ernstig uw systemen beschadigd zijn geraakt. Daartoe moet u proberen de herkomst en het doel van de aanval vast te stellen (was de aanval speciaal op uw organisatie gericht om aan bepaalde informatie te komen of was het een willekeurige aanval ?). Probeer ook vast te stellen welke systemen in gevaar zijn gebracht en welke bestanden zijn geopend en hoe gevoelig de desbetreffende bestanden zijn.

 

Na moedwillige aanvallen op uw omgeving wilt u de aanvallers wellicht juridisch laten vervolgen. Om deze mogelijkheid open te houden, moet u al het bewijsmateriaal verzamelen dat tegen hen kan worden gebruikt, ook als u aan het eind van de rit van vervolging afziet. Daartoe laat u een specialist in computercriminalistiek twee bitsgewijze back-ups maken op nieuwe, nooit eerder gebruikte en slechts éénmaal te beschrijven media (CD-R, DVD). Eén back-up mag alleen worden gebruikt voor het vervolgen van de dader en moet fysiek veilig worden opgeslagen. De andere back-up is bedoeld om uw systemen mee te herstellen. Ook moet u de originele vaste schijven verwijderen en als forensisch bewijsmateriaal op een fysiek veilige plek bewaren. Voor het herstel van het systeem moeten nieuwe vaste schijven worden gemonteerd. Aan de hand van de (gecontroleerde) back-ups, kunt u de geïnfecteerde systemen weer opnieuw opbouwen en kunt u weer normaal aan de slag.

 

Aan het veiligstellen van bewijsmateriaal zijn nogal wat kosten verbonden. Weeg voor uzelf af of deze opwegen tegen wat de vervolging van de dader oplevert. Bedenk ook dat u - als u geen juridische stappen zult ondernemen - aanzienlijk sneller in de lucht kunt zijn, omdat u de vaste schijven slechts hoeft te wissen en de back-ups terug moet lezen.

 

Instellingen van buiten de organisatie kunnen technische ondersteuning bieden, kunnen mogelijk sneller oplossingen aandragen en beschikken wellicht over de gegevens van soortgelijke incidenten, zodat u sneller en volledig van het incident kunt herstellen en kunt voorkomen dat het zich in de toekomst nogmaals voordoet. Vaak betekent inschakelen van deze partijen, dat ook plaatselijke en nationale autoriteiten, beveiligingsinstellingen buiten de organisatie en virusexperts en soms ook de pers op de hoogte worden gebracht.
 
In bepaalde sectoren en bij bepaalde soorten inbraken moet u mogelijk uw klanten en het algemene publiek op de hoogte brengen, in het bijzonder als uw klanten mogelijk ook door het incident zijn getroffen.

 

De manier waarop u uw systeem herstelt, is over het algemeen afhankelijk van de omvang van het beveiligingslek. U moet bepalen of u het bestaande systeem kunt herstellen zonder al te veel wijzigingen aan te brengen of dat het nodig is het systeem helemaal opnieuw op te bouwen. Doorgaans gebruikt u daarvoor een back-up. Echter, een incident kan gedurende maanden gegevens beschadigen voordat het wordt ontdekt, waardoor ook de back-ups zijn aangetast. Daarom is het belangrijk dat u, als onderdeel van uw beveiligingsplan, vaststelt hoelang het incident zich al voordoet. In sommige gevallen beschikt u met de laatste back-up en zelfs met een aantal daaraan voorafgaande back-ups niet over een schone versie. Daarom moet u ook oudere gegevensback-ups regelmatig op een veilige plek buiten het bedrijf archiveren.

 

Het CSIRT moet tijdens het afhandelen van een willekeurig incident alle processen zorgvuldig documenteren. Hierbij hoort een beschrijving van het lek en gedetailleerde gegevens van elke ondernomen actie (door wie, wanneer en waarom). Door alles goed te documenteren, hebt u de meeste kans op een succesvolle afloop als u de daders gaat vervolgen.

 

Bij het bepalen van de schade aan uw organisatie, moet u rekening houden met zowel de directe als de indirecte kosten. Schade en kosten van het incident vormen eveneens belangrijk bewijsmateriaal bij eventuele juridische stappen. Denk aan: 

 

Als de calamiteit achter de rug is en het documentatie- en het herstelproces eenmaal is voltooid, moet het proces goed worden doorgelicht. Ga samen met uw team na welke stappen goed zijn uitgevoerd en welke fouten er werden gemaakt. In bijna alle gevallen komt u procedures tegen die moeten worden gewijzigd om incidenten in de toekomst beter af te kunnen handelen.
 
U zult kwetsbare punten tegenkomen in uw beveiligingsplan. Tijdens deze post-mortem kijkt u naar mogelijkheden om bestaande procedures te verbeteren, waarmee u weer een nieuwe fase ingaat van uw beveiligingsplan.