Wanneer je ongewone gebeurtenissen of dataverkeer opmerkt, kan je best eerst de melding of de storing verder gaan onderzoeken… Lees meer

Wanneer je ongewone gebeurtenissen of dataverkeer opmerkt, kan je best eerst de melding of de storing verder gaan onderzoeken… Lees meer

Het crisisbeheer start bij de vaststelling van een ICT-gerelateerd probleem… Lees meer

Bij vele incidenten is het vanaf het begin niet duidelijk of het gaat over cybercriminaliteit of een technische storing. We lijsten enkele signalen op die zouden kunnen wijzen op een cyberaanval… Lees meer

Bij vermoeden van een grotere problematiek of onduidelijkheid, dient de melding overgemaakt worden naar de lokale ICT-dienst, DPO, CISO of verantwoordelijke, op basis van de interne richtlijnen… Lees meer

Indien het eerste snelle onderzoek van de melding - snelle keuzes en acties zijn essentieel binnen deze fase van het crisisbeheer - de mogelijkheid op cybercriminaliteit niet kan uitsluiten, moeten de mogelijk geïnfecteerde of geïmpacteerde systemen en toepassingen onderzocht worden door de lokale IT-dienst… Lees meer

Een forensisch onderzoek is belangrijk voor het vergaren van bewijsmateriaal, maar kan ook nodig zijn om alle artefacten te verzamelen en de omvang en reikwijdte van de aanval te onderzoeken… Lees meer

Om de cyberaanval te stoppen en schade zoveel mogelijk in te perken, word je gedwongen om snel belangrijke keuzes te maken. Enerzijds wil je als lokaal bestuur zo snel mogelijk terugkeren naar de gebruikelijke dienstverlening en vermijden dat de besmetting zich verder verspreidt, anderzijds is het van belang om voldoende sporen te verzamelen om de daders te vatten en de best mogelijke oplossing te formuleren… Lees meer

Deze keuze houdt in dat je voor de getroffen systemen en toepassingen zo snel mogelijk de verbinding met het lokale netwerk en internet verbreekt… Lees meer

Deze keuze betekent dat je je activiteiten zo goed als mogelijk probeert verder te zetten en zoveel mogelijk inzet op bewijsvergaring… Lees meer

Gezien de complexiteit van de materie is het aangewezen om externe expertise in te schakelen voor forensisch onderzoek indien de ervaring binnen het lokaal bestuur beperkt is. Dat wil echter niet zeggen dat initieel geen stappen ondernomen kunnen worden om zicht te krijgen op de situatie en bewijsmateriaal te vergaren… Lees meer

Zo snel mogelijk na de vaststelling van het cyberveiligheidsincident en het loskoppelen van mogelijk geïmpacteerde servers of computers, is het een goed idee om aandacht te schenken aan de back-ups, aangezien deze een belangrijke rol kunnen spelen in de herstel- en remediëringsfase… Lees meer

Gezien het vitale belang van back-ups, zowel in kader van sporenonderzoek als voor de herstel- en remediëringsfase, zoomen we even in op twee belangrijke aandachtspunten in de initiële fases van het cyberveiligheidsincident… Lees meer

Het analyseproces zal nog een stuk langer in beslag nemen met het oog op forensisch onderzoek, maar gedurende het proces van bewijsvergaring zal al snel een van de volgende twee conclusies naar boven komen… Lees meer

Wanneer bijna onweerlegbaar vastgesteld wordt dat het lokaal bestuur te maken heeft met een cyberaanval, is het zaak om deze conclusie zo snel als mogelijk intern te communiceren zodat de nodige rollen gealarmeerd kunnen worden… Lees meer

Zodra de interne rollen ingelicht werden van het incident, is het aangewezen om de verschillende actoren samen te brengen voor een eerste crisisoverleg… Lees meer

Zodra duidelijk wordt dat cybercriminaliteit hoogstwaarschijnlijk aan de basis ligt van de problemen die je ervaart binnen je lokaal bestuur, is het aangewezen om zo snel mogelijk een melding te doen bij het CERT en de lokale politiezone… Lees meer

Nadat de eerste acties ondernomen werden, is het een goed idee om een secretaris aan te duiden die alle genomen acties en beslissingen bijhoudt in een overzichtelijk logboek…  Lees meer

De kans is reëel dat gedurende het forensisch onderzoek, of latere fases in de aanpak van cyberveiligheidsincident, naar boven komt dat persoonsgegevens getroffen werden. Gezien de wettelijke verplichtingen inzake databeheer en mogelijke inbreuken, is het cruciaal dat elk datalek, hoe triviaal ook, geregistreerd wordt… Lees meer

Als lokaal bestuur heb je - hopelijk - maar beperkte ervaring met het afhandelen van cyberincidenten. Wanneer het incident van een zodanige grootorde is dat er sprake is van onmiddellijke schade, verstoorde dienstverlening en diefstal of manipulatie van data, is het dan ook aangewezen om professionele hulp in te schakelen… Lees meer

DDOS-aanvallen zijn vaak erg gesofisticeerd en dus ook moeilijk om aan te pakken… Lees meer

Neem initiatief. Door te handelen op basis van aanwezige kennis en ervaringen kan je controle over de situatie herwinnen en de gelatenheid en passiviteit doorbreken die u in het andere geval dreigt te overrompelen…Lees meer

Gedurende de fase met de identificatie en melding van het incident werden de belangrijkste stakeholders idealiter reeds ingelicht en ging reeds een eerste overleg door om de initiële aanpak te bepalen. Nu wordt het een kwestie om alle relevante actoren formeel samen te brengen binnen een heldere en werkbare structuur voor crisiswerking… Lees meer

Dit houdt in dat de afweging gemaakt moet worden of men dient op te schalen naar de gemeentelijke fase of een alternatieve crisiswerking aan de orde is. Het afkondigen van de gemeentelijke fase is zeker geen automatisme en kan mee besproken worden met de leidinggevenden van de hulpdiensten… Lees meer

Indien de gemeentelijke fase niet noodzakelijk lijkt voor het oplossen van het incident, kan er ook voor gekozen worden om een incident response team op te richten, met vertegenwoordiging van de belangrijkste actoren voor een sterke crisiswerking… Lees meer

Het opstellen van een crisisstructuur is belangrijk, maar het is even belangrijk dat duidelijk afspraken gemaakt worden rond de frequentie van overlegmomenten en escalatieprocedures… Lees meer

De dienst-ICT krijgt de taak toegewezen om de actoren binnen het incident response team van ‘schone’ en veilige computers te voorzien, met een netwerkverbinding (bijvoorbeeld via 4G) en eventueel alternatieve e-mailaccounts om de crisiswerking digitaal te ondersteunen… Lees meer

Tijdens het eerste overleg van de voorziene crisisstructuur, is het aangewezen om te kijken hoe je je capaciteit kan maximaliseren. Vaak zijn crisissituaties geen sprint, maar een marathon. Het is dan ook belangrijk om zoveel mogelijke expertise en mankracht in te schakelen… Lees meer

Op een gegeven moment zal communicatie aan belang winnen binnen de crisiswerking. Het gaat hier niet alleen over de communicatie naar externen zoals pers en inwoners, maar ook over de communicatie naar de eigen medewerkers en partners van het lokaal bestuur… Lees meer

Indien bijkomende ondersteuning wenselijk is op het gebied van crisiscommunicatie als het over een incident van een omvangrijke grootorde gaat, kan de communicatieverantwoordelijke toestemming vragen aan het incident response team om Team D5 in te roepen, de discipline informatie in de Belgische rampenwerking… Lees meer

In de eerste fase van de crisissituatie probeer je een verdere verspreiding van het incident te vermijden door getroffen systemen onmiddellijk los te koppelen en geïmpacteerde of kwetsbare functionaliteit stil te leggen… Lees meer

Het kan nodig zijn om vergaand af te schakelen om de verspreiding van de besmetting tegen te gaan en het incident een halt toe te roepen. We schetsen een mogelijke volgorde voor een afschakelproces, maar natuurlijk is dit ook sterk afhankelijk van de eigen kritieke bedrijfsprocessen en de samenstelling van de ICT-omgeving… Lees meer

Leg een lijst met Frequently Asked Questions (FAQ) aan waarbij antwoorden uitgeschreven worden voor veelgestelde vragen, om te vermijden dat het aantal interne en externe ad hoc vragen te hoog oploopt… Lees meer

Wanneer de verspreiding van het cyberveiligheidsincident onder controle is en de crisiswerking vlot werd opgestart, is de eerstvolgende vraag hoe de gebruikelijke dienstverlening en werking terug opgestart kunnen worden… Lees meer

Er is geen gouden oplossing voor het in kaart brengen en structureren van de impact van een mogelijk cyberveiligheidsincident. Dit wil echter niet zeggen dat er geen handvatten zijn om dit efficiënt en procesmatig uit te werken… Lees meer

Zodra de impact in kaart werd gebracht en alle relevante informatie verzameld werd met betrekking tot de (tijdskritieke) processen in je lokaal bestuur, zullen prioriteiten gesteld moeten worden voor de heropstart en het herstel van systemen en toepassingen. Bij een eerder beperkt incident is dit proces vrij rechtlijnig, terwijl een incident van een grotere omvang een meer omvattende aanpak vereist… Lees meer

Zodra de prioritaire rangorde voor de heropstart van processen vaststaat, zal gekeken moeten worden welke middelen nodig zijn om de concrete processen te herstellen. Per impactcluster of tijdskritiek proces wordt dan een oplijsting gemaakt van de middelen die nodig zijn om processen en diensten terug op te starten… Lees meer

De kans bestaat dat het terug operationeel krijgen van bepaalde processen enige tijd in beslag neemt. Indien het proces van die aard is dat langer wachten geen mogelijkheid is, moet er dan ook gekeken worden naar alternatieve processen of methodieken… Lees meer

Voor de heropstart van de kritieke processen is het niet onwaarschijnlijk dat je beroep zal moeten doen op systemen en toepassingen die getroffen werden door het cyberveiligheidsincident. Het wordt dan ook zaak om de systemen te herstellen, zodat teruggekeerd kan worden naar de gebruikelijke werking… Lees meer

Voor het herstel van systemen bestaan verschillende methodes. Belangrijk hierbij is dat elk van deze methoden voordelen, maar ook nadelen heeft… Lees meer

Je kan gebruik maken van verschillende herstelmethodes voor de heropstart van systemen, maar tijdens dit proces is het belangrijk om de nodige controles uit te voeren en voorzorgen te nemen om nieuwe incidenten uit te sluiten… Lees meer

Hou ook steeds in het achterhoofd dat zodra een systeem of toepassing met succes aangevallen werd, de kans reëel is dat een nieuwe aanval zal plaatsvinden. Of dat hackers een gelijkaardige methodiek zullen toepassen om schade te berokkenen aan andere systemen en toepassingen… Lees meer

Als laatste stap in het proces moeten systemen ook formeel goedgekeurd worden voor heropstart voor deze opnieuw online geplaatst worden. Het is belangrijk om hierbij duidelijk af te spreken wie deze goedkeuring kan geven en tijdens het goedkeuringsproces niet alleen IT-veiligheidsexperts te betrekken, maar ook profielen die zicht hebben op de werking van de concrete toepassingen en systemen… Lees meer

In de eerdere fases werd het Incident Response Team voorzien van de nodige middelen en instrumenten om hun taken binnen de crisiswerking zo goed als mogelijk uit te voeren. Zodra de remediërings- en herstelfase ingezet wordt, dient diezelfde oefening uitgevoerd te worden voor medewerkers die instaan voor tijdskritieke processen en dienstverlening… Lees meer

Na de heropstart van servers, indien afgeschakeld, kan ingegaan worden op het gebruikersbeheer via de domeincontrollers. Net als bij servers, is het hier wijselijk om gefaseerd te werk te gaan, zodat voldoende controles kunnen ingebouwd worden… Lees meer

Het melden van incidenten en mogelijke gegevenslekken is een cruciale fase tijdens het crisisbeheer. Er zijn verschillende redenen om bevoegde instanties zo snel en transparant mogelijk in kennis te stellen… Lees meer

Neem beslissingen rond het informeren van getroffenen op basis van de bevindingen van het incident response team, de IT-dienst, functionaris gegevensbescherming en/of veiligheidsconsulent… Lees meer

Mocht je lokaal bestuur nog geen melding aan het CERT gedaan hebben - bijvoorbeeld omdat het niet nodig leek om extra advies in te winnen - is het toch een goed idee om dit te doen op vrijwillige basis… Lees meer

Zodra blijkt dat er sprake is van een datalek, is het van belang dat dit ook gemeld wordt aan de Vlaamse Toezichtcommissie (Vlaamse autoriteit) en de Gegevensbeschermingsautoriteit (Federale autoriteit). Deze meldingen zijn verplicht en komen ook met een concreet tijdsinterval… Lees meer

De GDPR-wetgeving definieert een datalek of gegevenslek als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.” Denk hierbij bijvoorbeeld aan het verlies van een USB-stick, een ongeoorloofde toegang tot een database of een mail die verstuurd werd naar een verkeerd adres… Lees meer

De meldingsplicht naar de Vlaamse Toezichtcommissie en Gegevensbeschermingsautoriteit omvat datalekken die een risico inhouden betreft lekken voor de rechten en vrijheden van de betrokkenen… Lees meer

Indien het cyberveiligheidsincident gepaard gaat met een datalek met een hoog risico voor de slachtoffers, dien je deze personen op de hoogte te brengen. Deze verantwoordelijkheid komt toe aan de verantwoordelijke voor de gegevensverwerking… Lees meer

De kennisgeving moet verstaanbaar zijn voor de getroffenen en dient zeker bepaalde informatie te bevatten… Lees meer

Om de gevolgen voor de getroffenen zoveel als mogelijk te beperken, kan het nodig of wenselijk zijn om contact op te nemen met externe partijen… Lees meer

Aangezien enkele van de bovenvermelde meldingen onderhevig zijn aan wetgeving en regels, is het belangrijk om duidelijk te registeren welke meldingen reeds gedaan werden en na te kijken of alle relevante instanties gecontacteerd werden… Lees meer

In het geval dat je lokaal bestuur een verzekeringspolis heeft afgesloten voor cyberveiligheidsincidenten, kan de financiële dienst op voorhand contact opnemen om de huidige situatie te schetsen en informatie in te winnen over de mogelijke gevolgen en voorzorgen… Lees meer

Nadat het cyberveiligheidsincident grotendeels afgehandeld werd - in realiteit kunnen de gevolgen nog weken en zelfs maanden voelbaar zijn, wat echter niet inhoudt dat je lokaal bestuur tot dan in crisismodus moet blijven opereren - is het belangrijk om het snel vergaarde en opgeslagen bewijsmateriaal te archiveren en bijkomende informatie op te vragen die de gevolgen van het incident in kaart brengen… Lees meer

Ongetwijfeld doen alle interne en actoren hun uiterste best om de crisissituatie zo goed als mogelijk te verhelpen, maar dit wil niet zeggen dat het niet de moeite loont om achteraf te kijken wat goed liep en wat beter zou kunnen… Lees meer

Tijdens de evaluatie van de crisisaanpak zullen waarschijnlijk ook enkele oplossingen en maatregelen naar boven komen die een herhaling van het incident kunnen voorkomen in de toekomst. Het is aangewezen om deze ook zo snel als mogelijk te integreren, aangezien je niet kan voorspellen wanneer een nieuwe vorm van cybercriminaliteit zich kan voordoen en je niet altijd met 100% zekerheid kan zeggen dat het gevaar geweken is… Lees meer

De opluchting die de laatste fase in de crisisaanpak definieert, durft er al eens voor zorgen dat een aantal losse eindjes niet vastgeknoopt worden. In de afgelopen periode kregen inwoners, medewerkers en andere relevante stakeholders op reguliere basis updates over de stand van zaken, met antwoorden op hun veelgestelde vragen… Lees meer

Het getuigt van een hoge maturiteit wanneer instellingen, bedrijven en overheden op transparante manier hun geleerde lessen delen met andere organisaties… Lees meer