Fase 5: Afsluiten incident en verdere opvolging

Een cyberveiligheidsincident kan een snelle oplossing kennen, maar in de praktijk duurt het vaak dagen, soms wel weken vooraleer de eindfase in zicht is. Het is daarbij wel belangrijk om enige realisme aan de dag te leggen: zelfs wanneer de dienstverlening grotendeels terug operationeel is en het incident schijnbaar werd opgelost, blijft de kans bestaan dat sporen achterblijven of dat sommige bestanden en data onbereikbaar blijven. Gezien de kans op een mogelijk herval en de opportuniteit om lessen te trekken uit deze ongeplande praktijkoefening, is het belangrijk om te voorzien in de nodige opvolging. Zo moet al het bewijsmateriaal gebundeld en gearchiveerd worden, maar wordt de slotfase ook best aangegrepen om technische en organisatorische beschermingsmaatregelen door te voeren om de kans op toekomstige cyberveiligheidsincidenten te verkleinen.

Nadat het cyberveiligheidsincident grotendeels afgehandeld werd - in realiteit kunnen de gevolgen nog weken en zelfs maanden voelbaar zijn, wat echter niet inhoudt dat je lokaal bestuur tot dan in crisismodus moet blijven opereren - is het belangrijk om het snel vergaarde en opgeslagen bewijsmateriaal te archiveren en bijkomende informatie op te vragen die de gevolgen van het incident in kaart brengen, dit kan onder andere belangrijk zijn in kader van een mogelijke rechtszaak en juridische verplichtingen. 

Wat voor informatie dien je zoal samen te brengen? 

• Het verzamelde forensisch bewijsmateriaal
• Alle relevante incidentinformatie en communicatiegegevens
• Het aangelegde logboek 

• De financiële gegevens: Gedurende de crisissituatie hebben meerdere interne en externe medewerkers bijgedragen aan het crisisbeheer. De kans bestaat ook dat onvoorziene kosten gemaakt moesten worden om zo snel mogelijk tot een oplossing te komen in kader van schadebestrijding of herstel. Het is belangrijke dat de financiële dienst deze impact in kaart brengt, voor het geval er een rechtszaak komt tegen een mogelijke verdachte. Daarnaast zijn deze gegevens relevant bronmateriaal voor het uitschrijven van de geleerde lessen. 

Ongetwijfeld doen alle interne en actoren hun uiterste best om de crisissituatie zo goed als mogelijk te verhelpen, maar dit wil niet zeggen dat het niet de moeite loont om achteraf te kijken wat goed liep en wat beter zou kunnen. De dreiging van cybercriminaliteit zal enkel toenemen in de komende jaren. Door de crisissituatie als leermoment aan te grijpen, kan je je lokaal bestuur nog beter klaarstomen voor mogelijke incidenten in de toekomst. 

Ongeveer 2 tot 6 weken nadat de crisiswerking werd afgebouwd, is het dan ook een goed idee om het Incident Response Team samen te roepen om het logboek te overlopen, de genomen acties te beoordelen en te kijken naar bredere lessen die relevant kunnen zijn voor nieuwe crisissituaties. Naast een evaluatie met de gehanteerde crisisstructuur, is het echter ook wenselijk om alle medewerkers binnen het lokaal bestuur te bevragen. De kans is groot dat zij evenzeer belangrijke inspanningen hebben moeten leveren om de werking draaiende te houden en het incident onder controle te krijgen. Het is dan ook niet meer dan logisch dat zij ook gehoord worden tijdens deze oefening. Vertrek bij de evaluatie ook steeds vanuit een constructieve insteek, mogelijks had het incident vermeden kunnen worden, maar het gaat hier nog steeds over een criminele actie en een complexe problematiek. 

Hoe de evaluatie er concreet uit moet zien, zal sterk afhankelijk zijn van de aanwezige kanalen en het incident zelf. Desondanks zijn er enkele vragen die idealiter zeker aan bod komen: 

• Werden de aanpak en de procedures voor cyberveiligheidsincidenten gevolgd?
• Bleken de gehanteerde aanpak en procedures geschikt om de crisissituatie onder controle te krijgen?
• Moeten bestaande plannen - zoals het business continuïteitsplan (BCP) of crisiscommunicatieplan - aangepast worden?
• Verliep de informatiedoorstroming naar behoren, zowel intern als extern? Of had deze sneller kunnen verlopen via een andere aanpak?
• Zijn er acties of beslissingen die het herstel mogelijk verhinderd hebben op de een of andere manier?
• Had het cyberveiligheidsincident op de een of andere manier vermeden kunnen worden?
• Hadden de aanwezige data - en dan zeker persoonsgegevens - beter beveiligd kunnen worden?
• Zijn bijkomende middelen nodig om toekomstige cyberveiligheidsincidenten beter te detecteren, analyseren en bestrijden?
• Welke oplossingen of maatregelen kunnen soortgelijke incidenten in de toekomst voorkomen? Voor inspiratie kan je beroep doen op de CCB-cyberguide.
• Is er voldoende interne capaciteit om toekomstige cyberveiligheidsincidenten te detecteren, analyseren en bestrijden? Indien niet kan het nodig zijn om bijkomend aan te werven of externe hulp in te schakelen.
• Zijn er voortekens of indicatoren die het lokaal bestuur kan monitoren om incidenten makkelijker op te sporen in de toekomst?
• Was de gekozen samenstelling van het Incident Response Team geschikt om het cyberveiligheidsincident correct en efficiënt aan te pakken? 

Tijdens de evaluatie van de crisisaanpak zullen waarschijnlijk ook enkele oplossingen en maatregelen naar boven komen die een herhaling van het incident kunnen voorkomen in de toekomst. Het is aangewezen om deze ook zo snel als mogelijk te integreren, aangezien je niet kan voorspellen wanneer een nieuwe vorm van cybercriminaliteit zich kan voordoen en je niet altijd met 100% zekerheid kan zeggen dat het gevaar geweken is. 

Zodra de evaluatie afgerond is, dien je de vertaalslag te maken naar de praktijk, bijvoorbeeld door de gedetecteerde oplossingen en beveiligingsmaatregelen vast te leggen in het Veiligheidsplan van je lokaal bestuur. Deze acties moeten een timing toegewezen krijgen, alsook een budget waar nodig. Door de planning zo concreet mogelijk te maken, kan je er eenvoudig op toezien dat de nodige maatregelen tijdig en correct ingevoerd worden. 

Het is belangrijk om elk incident en alle ondernomen acties in kader van het crisisbeheer te documenteren en de vergaarde informatie bij te houden. Soortgelijke incidenten kunnen opnieuw plaatsvinden en vereisen mogelijk dezelfde processen, of een klein incident kan een onderdeel blijken van een groter incident dat later ontdekt wordt. Indien het incident samengaat met een inbreuk op de bescherming van persoonsgegevens, is het cruciaal dat hiervan een overzicht bijgehouden wordt. 

Werk op basis van de notulen en nabespreking een verslag uit van het incident, dat als naslagwerk kan dienen voor het eigen lokaal bestuur, maar ook voor andere externe instanties die kunnen leren uit de crisisaanpak.

De opluchting die de laatste fase in de crisisaanpak definieert, durft er al eens voor zorgen dat een aantal losse eindjes niet vastgeknoopt worden. In de afgelopen periode kregen inwoners, medewerkers en andere relevante stakeholders op reguliere basis updates over de stand van zaken, met antwoorden op hun veelgestelde vragen. Nu is het tijd om het incident ook communicatie af te ronden, met een afsluitende communicatie via de beschikbare kanalen. Welke zaken kan je aangeven in de (hopelijk) laatste boodschap?

• Het incident werd afgesloten: Let hierbij wel op dat je geen valse hoop geeft. Elke organisatie is vatbaar voor cyberaanvallen, zeker in deze snel veranderende wereld. Daarnaast bestaat de kans altijd dat mogelijke sporen over het hoofd gezien werden, die later weer kunnen opspelen.
• De resterende impact: Mogelijks zullen interne of externe doelgroepen nog even hinder ondervinden van het cyberveiligheidsincident, bijvoorbeeld omdat bepaalde bestanden of gegevens nog steeds onbereikbaar zijn. Schets de resterende impact voor de getroffenen, en geef ook aan waar zij terecht kunnen bij vragen.
• De geplande of geïntegreerde oplossingen: Het hoeft niet te verbazen dat er enige nieuwsgierigheid zal zijn met betrekking tot de stappen die het lokaal bestuur neemt in de nasleep van dit cyberveiligheidsincident. Mogelijks is er een vertrouwensbreuk of andere reputatieschade, waardoor het extra belangrijk is om lessen te trekken uit het voorval en de geplande oplossingen mee te geven.
• Dankwoord: Interne medewerkers hebben de afgelopen dagen of weken hard gewerkt om terug te keren naar de normale situatie. Een dankwoord naar al wie inspanningen leverde is dan ook zeker op zijn plaats. Externe doelgroepen kunnen bedankt worden voor hun geduld en medewerking in de afgelopen periode.

Het getuigt van een hoge maturiteit wanneer instellingen, bedrijven en overheden op transparante wijze hun geleerde lessen delen met andere organisaties. Op deze manier kunnen toekomstige incidenten mogelijk vermeden worden en gaat al de rapportering tijdens het incident niet verloren na afronding van de crisissituatie. Het delen van de geleerde lessen kan op diversie manieren, gaande van een rapport tot een webinar of blog.

• Crisiscommunicatie bij een cyberaanval, CERT.be, 2021 | https://cert.be/nl/crisiscommunicatie-bij-een-cyberaanval
   
• Cyberveiligheid, gids voor incidentenbeheer, Centre for Cybersecurity Belgium en Cyber Security Coalition, 2021 | https://ccb.belgium.be/en/document/cyber-security-incident-management-guide
   
• Disaster Recovery Plan, FOD Economie, K.M.O., Middenstand en Energie, 2021 | https://www.digitalreactionplan.be/sites/default/files/2020-12/DRP_NL_1.docx
   
• Eerste hulp bij een cyberaanval, CERT.be, 2021 | https://cert.be/nl/eerste-hulp-bij-een-cyberaanval
   

• Factsheet 'Gehackt, hoe nu verder?', Vereniging van Nederlandse Gemeenten (VNG), 2021 | https://www.informatiebeveiligingsdienst.nl/product/factsheet-gehackt-hoe-nu-verder/

• Handreiking incident en response management, Vereniging van Nederlandse Gemeenten (VNG), 2021 | https://www.informatiebeveiligingsdienst.nl/product/voorbeeld-incidentmanagement-en-response-beleid-2/

• Incident Response Plan, FOD Economie, K.M.O., Middenstand en Energie, 2021 | https://www.digitalreactionplan.be/sites/default/files/2020-12/IRP_NL_1.docx

• Toolbox Bedrijfscontinuïteitsmanagement (BCM): Stappenplan, Agentschap Overheidspersoneel, 2021 | https://overheid.vlaanderen.be/toolbox/toolbox-bedrijfscontinu%C3%AFteitsmanagement-bcm/stappenplan