Incident Response Plan: Wat u doet in de eerste 72 uur na een cyberaanval

TL;DR

Wanneer een cyberaanval toeslaat, bepalen de beslissingen in de eerste uren het verschil tussen een ingeperkt incident en een catastrofaal incident. NIS2 vereist een vroegtijdige waarschuwing aan uw nationale autoriteit binnen 24 uur. DORA vereist hetzelfde voor financiële entiteiten. De meeste organisaties hebben geen gedocumenteerd, getest plan voor wat te doen in die 24 uur. Deze gids behandelt wat een effectief incident response plan moet bevatten, wie in de kamer moet zijn en hoe u uw regelgevende meldingsverplichtingen nakomt zonder de situatie te verergeren.

Waarom de meeste organisaties onvoorbereid zijn

Incident response plannen bestaan in de meeste organisaties. Ze zijn doorgaans een document dat één keer is geschreven, opgeslagen en nooit getest. Wanneer er een daadwerkelijk incident plaatsvindt, is het document ofwel niet gevonden, verouderd of te generiek om nuttig te zijn onder de specifieke omstandigheden van de aanval.

Het resultaat is dat de respons wordt geïmproviseerd. Belangrijke beslissingen worden genomen zonder vooraf overeengekomen bevoegdheid. Communicatie verloopt via mogelijk gecompromitteerde kanalen. Bewijs wordt vernietigd voordat het is bewaard. Regelgevende meldingsverplichtingen worden gemist. En de mensen die de respons zouden moeten leiden, besteden de eerste uren aan het uitzoeken wie ze moeten bellen.

NIS2 en DORA hebben de inzet veranderd. Het missen van een 24-uurs meldingsverplichting is niet langer alleen een operationele mislukking. Het is een regelgevende, met sancties eraan verbonden.

De regelgevende rapportagetijdlijn

NIS2: driefasige rapportage

NIS2 vereist dat essentiële en belangrijke entiteiten significante incidenten in drie fasen melden aan hun nationale bevoegde autoriteit. Een vroegtijdige waarschuwing is verschuldigd binnen 24 uur na kennisname van het incident, met vermelding of het incident lijkt te zijn veroorzaakt door kwaadaardige of onrechtmatige handelingen en of het grensoverschrijdende impact kan hebben. Een volledige incidentmelding is verschuldigd binnen 72 uur, met een meer gedetailleerde beoordeling van het incident. Een eindrapport moet binnen één maand volgen, inclusief een beschrijving van het incident, de waarschijnlijke oorzaak en de genomen maatregelen.

De 24-uurklok begint te lopen wanneer u op de hoogte raakt, niet wanneer het incident begon. Als uw detectiesystemen op dinsdagochtend een incident identificeren, is de vroegtijdige waarschuwing tegen woensdagochtend verschuldigd, ongeacht wanneer de aanval zelf begon.

DORA: specifieke vereisten voor de financiële sector

DORA is van toepassing op financiële entiteiten en introduceert een vergelijkbaar driefasig rapportagekader, maar met sectorspecifieke criteria voor wat een ernstig ICT-gerelateerd incident vormt. DORA vereist ook dat financiële entiteiten cliënten en tegenpartijen op de hoogte stellen die door een ernstig incident kunnen worden getroffen, wat verder gaat dan wat NIS2 expliciet verplicht. De rapportage gaat naar de financiële toezichthoudende autoriteit, die in België de NBB of FSMA is afhankelijk van het type entiteit.

Wat een incident response plan moet bevatten

Een effectief incident response plan is geen lang document. Het is een korte, uitvoerbare set procedures met duidelijk eigenaarschap. De volgende elementen zijn essentieel.

Rollen en contactlijst

Definieer wie de respons leidt, wie verantwoordelijk is voor technische inperking, wie communicatie afhandelt, wie de bevoegdheid heeft systemen offline te halen en wie de aangewezen contactpersoon is voor regelgevende rapportage. Dit moet persoonlijke mobiele nummers bevatten, niet alleen werke-mailadressen. Als uw communicatie-infrastructuur gecompromitteerd is, is e-mail geen betrouwbaar kanaal.

Criteria voor incidentclassificatie

Niet elke beveiligingsgebeurtenis is een meldingsplichtig incident. Uw plan moet de criteria definiëren die het responsproces en regelgevende meldingsverplichtingen in gang zetten. Dit omvat drempelwaarden voor het volume van getroffen gegevens, systeem kriticiteit, of er persoonsgegevens betrokken zijn en of het incident grensoverschrijdende impact heeft of kan hebben.

Checklist eerste uur

Het eerste uur gaat over activering en inperking, niet over onderzoek. Activeer het incident response team. Stel een beveiligd out-of-band communicatiekanaal in. Isoleer getroffen systemen om laterale verspreiding te stoppen zonder bewijs te vernietigen. Wijs iemand aan om alles met tijdstempels te documenteren. Stel juridisch adviseur op de hoogte en, als het incident regelgevende rapportage kan triggeren, stel de aangewezen compliance contact op de hoogte.

Protocol voor bewaring van bewijs

De meest voorkomende en meest destructieve fout in incident response is het wissen of herbouwen van getroffen systemen voordat forensisch bewijs is bewaard. Systeemlogboeken, geheugendumps, netwerkopnames en schijfimages zijn nodig om te begrijpen wat er is gebeurd, welke systemen zijn benaderd en welke gegevens zijn geëxfiltreerd. Uw plan moet specificeren wat te bewaren, in welk formaat en wie de bevoegdheid heeft om te herbouwen versus wie eerst moet bewaren.

Communicatieprotocol

Definieer wie bevoegd is om extern over het incident te communiceren, wat gezegd kan worden en via welke kanalen. Dit geldt voor pers, klanten, toezichthouders en intern. Voortijdige of onjuiste externe communicatie tijdens een actief incident creëert juridisch en reputatie risico. Alle externe verklaringen tijdens een incident moeten door juridisch adviseur worden goedgekeurd.

Sjablonen voor regelgevende melding

Stel het sjabloon voor vroegtijdige waarschuwing voor NIS2 en DORA vooraf op voordat een incident plaatsvindt. U heeft geen tijd om het van scratch te schrijven tijdens een actief incident. Het sjabloon moet de vereiste velden, het juiste regelgevende contact en een checklist bevatten van welke informatie verzameld moet worden om het in te vullen.

De 72-uurtijdlijn in detail

Uur 0 tot 4: Detectie en activering. Bevestig dat het incident echt is. Activeer het responsteam. Begin met bewaring van bewijs. Stel beveiligde communicatie in. Bepaal of regelgevende rapportagedrempelwaarden waarschijnlijk worden bereikt.

Uur 4 tot 24: Inperking en vroegtijdige waarschuwing. Isoleer getroffen systemen. Begin met forensische bewaring. Bepaal de omvang van de impact. Als drempelwaarden worden bereikt, dien de 24-uurswaarschuwing in. Informeer senior leiderschap en juridisch adviseur. Beoordeel of derde partijen of cliënten getroffen zijn.

Uur 24 tot 72: Onderzoek en melding. Begin formeel forensisch onderzoek. Identificeer de aanvalsvector, de omvang van de toegang en de getroffen gegevens. Bereid de 72-uursincidentmelding voor. Als DORA van toepassing is, beoordeel de klanten meldinsverplichting. Begin met plannen voor herstel en remediatie.

Dag 4 tot 30: Herstel en eindrapportage. Voer remediatie uit. Monitor op persistentie of herinfectie. Bereid het eindrapport van één maand voor de toezichthouder voor. Voer een post-incidentreview uit om te identificeren wat er is misgelopen in detectie, respons en inperking.

Uw plan testen voor u het nodig heeft

Een plan dat nooit getest is, is geen plan. Het is een document. Tabletop-oefeningen, waarbij uw incident response team een gesimuleerd aanvalsscenario doorwerkt, onthullen gaten in rollen, communicatie en besluitvorming die op papier onzichtbaar zijn. Red team oefeningen gaan verder door te testen of uw detectie- en responsvermogens een echte aanval in uitvoering daadwerkelijk zouden identificeren.

NIS2 en DORA verwachten beiden bewijs dat uw incident response vermogen operationeel is, niet alleen gedocumenteerd. Een getest, bijgewerkt plan met tabletop-oefeningsdossiers is het meest verdedigbare bewijs van operationele gereedheid.

FAQ

Wat is een incident response plan?

Een incident response plan is een gedocumenteerde, vooraf goedgekeurde set procedures die definieert hoe uw organisatie een cyberbeveiligingsincident detecteert, inperkt, onderzoekt en herstelt. Het specificeert wie wat doet, in welke volgorde en met welke bevoegdheid. Een effectief plan wordt getest voordat het nodig is, niet geschreven tijdens een actief incident.

Wat zijn de NIS2-meldingsvereisten voor incidenten?

NIS2 vereist dat essentiële en belangrijke entiteiten significante incidenten in drie fasen melden aan hun nationale bevoegde autoriteit: een vroegtijdige waarschuwing binnen 24 uur na kennisname, een volledige incidentmelding binnen 72 uur en een eindrapport binnen één maand. De 24-uurswaarschuwing moet aangeven of vermoed wordt dat het incident is veroorzaakt door onrechtmatige of kwaadaardige handelingen en of het mogelijk grensoverschrijdende impact heeft.

Hoe verschilt DORA-incidentrapportage van NIS2?

DORA is van toepassing op financiële entiteiten en introduceert een vergelijkbaar driefasig rapportagekader, maar met sectorspecifieke classificatiecriteria voor wat een ernstig ICT-gerelateerd incident vormt. De initiële melding onder DORA moet ook binnen 24 uur worden gedaan. DORA vereist verder dat financiële entiteiten cliënten en tegenpartijen die door een ernstig incident worden getroffen op de hoogte stellen, wat NIS2 niet expliciet verplicht.

Hoe ziet het eerste uur van een incident response eruit?

Het eerste uur gaat over activering en inperking, niet over onderzoek. Activeer uw incident response team via vooraf overeengekomen communicatiekanalen. Isoleer getroffen systemen om laterale verspreiding te voorkomen zonder bewijs te vernietigen. Stel een beveiligd communicatiekanaal buiten mogelijk gecompromitteerde infrastructuur in. Documenteer alles met tijdstempels vanaf het moment van detectie. Wis of herbouw systemen niet onmiddellijk voor forensische bewaring.

Wat is de meest gemaakte fout door organisaties tijdens een cyberaanval?

De meest destructieve fout is het herbouwen of wissen van getroffen systemen voordat forensisch bewijs is bewaard. Dit vernietigt de mogelijkheid om te begrijpen wat er is gebeurd, welke systemen zijn benaderd en welke gegevens zijn geëxfiltreerd. De op één na meest gemaakte fout is communiceren over het incident via e-mail of samenwerkingstools die zelf gecompromitteerd kunnen zijn, waardoor de aanvaller wordt gewaarschuwd dat hij is ontdekt.

Hoe helpt penetratietesten bij de voorbereiding op incident response?

Penetratietesten verbetert de voorbereiding op incident response op twee manieren. Ten eerste identificeert het kwetsbaarheden voordat aanvallers dat doen, waardoor de kans op een incident kleiner wordt. Ten tweede testen red team oefeningen en purple team oefeningen of uw detectie- en responsvermogens een echte aanval in uitvoering zouden identificeren, waardoor gaten in uw incident response plan worden onthuld onder realistische omstandigheden voordat ze er toe doen.

Gerelateerde diensten en bronnen

Sectricity helpt organisaties hun incident response vermogen te valideren via red team oefeningen die detectie en respons testen onder realistische aanvalsomstandigheden. Onze diensten voor penetratietesten en compliance-mapped security testing helpen NIS2- en DORA-entiteiten de auditklare bewijslijnen op te bouwen die toezichthouders verwachten. Voor een diepere blik op red teaming, zie onze gids over wanneer uw organisatie meer nodig heeft dan een pentest. Weet u niet waar u moet beginnen? Start met een gratis security scan.