De waarde van goede incident response: voorkom erger met snelle detectie en snel handelen

14 april 2021
Intermax redactie

Snelle detectie - en daarna snel handelen - bij een security-incident is in de zorg van levensbelang. Goede incident response kan vaak erger voorkomen. Maar hoe zorgt u ervoor dat u op de juiste manier kunt reageren bij een incident? En wat kunt u doen om te voorkomen dat u gebruik moet maken van incident response?

Latoya Vermaas, security analist bij Intermax: “Voorkomen is natuurlijk altijd beter dan genezen. Je wilt als organisatie de juiste maatregelen hebben ingericht en zo min mogelijk beroep hoeven te doen op een incident response-plan. En wanneer er toch iets gebeurt, dan is het belangrijk het gat tussen detectie en response zo klein mogelijk te houden. Dit helpt de impact van een incident te minimaliseren. Het goede nieuws: u kunt veel zelf doen."

Zorg voor een incident response-plan
Een goed incident response-plan bevat zowel technische als procesmatige maatregelen voor wanneer er onverhoopt een security-incident plaatsvindt:

  1. Zorg dat de primaire processen en het bijbehorende IT-landschap van uw zorginstelling voor dit plan goed zijn omschreven. Denk in het geval van een ziekenhuis bijvoorbeeld aan dat wat leidend is om operaties goed uit te voeren. Zodra dit duidelijk is, weet u op welke zaken u het beste kunt monitoren. Is er vervolgens sprake van afwijkend gedrag, dan kunnen direct de juiste response-activiteiten toegepast worden.
  2. Breng alle potentiële dreigingen in kaart. Met deze informatie kan per scenario de juiste manier van handelen worden geformuleerd.
  3. Bepaal ook wie er beslissingen mag nemen over de acties die nodig zijn om het incident op te lossen. “Als dergelijke zaken niet duidelijk zijn, wordt niet alleen het oplossen van een incident lastiger, ook de impact en schade zullen groter zijn”, weet Vermaas. "Oefen ook de risico's die ontstaan bij het oplossen van een incident. Mensen reageren in de praktijk vaak toch anders dan gedacht. Vergeet ook niet de ‘lessons learned’ in uw incident response-plan bij te werken met eventuele verbeterpunten uit deze testen."

Het belang van goede basishygiëne
Vermaas: "Helaas bestaat er altijd een kans op een incident, hoe goed zaken ook zijn ingeregeld. En als het dan fout gaat, is het vervelend te constateren dat de oorzaak ligt in slechte basishygiëne op het gebied van informatiebeveiliging - denk aan een zwak wachtwoord of doordat iemand op een verkeerde link in een email heeft geklikt.” Met dat laatste bedoelt Vermaas dat zij nog regelmatig constateert dat organisaties hun informatiebeveiliging niet heel goed op orde hebben, waardoor onvoldoende beveiligde apparaten als springplank worden gebruikt.

Kies voor een CERT
Het is bij een security incident altijd belangrijk snel professionele hulp in te roepen van een IT-bedrijf dat bij voorkeur in het bezit is van het gerenommeerde keurmerk CERT (Computer Emergency Response Team). Dit keurmerk wordt door Carnagie Mellon University uitsluitend toegekend aan bedrijven en teams die in staat zijn snel te handelen in het geval van een security incident. Zij helpen schade te reduceren en het herstel van de dienstverlening zo veel mogelijk te bespoedigen. Het CERT zal vervolgens op locatie de oorzaak en de oplossing van het incident in kaart brengen. Des te meer inzicht in uw processen en systemen u kunt verschaffen, des te sneller zal dit gaan. Onze tips:

  • Zorg dat loginformatie over gebeurtenissen in het verleden voldoende lang wordt bewaard. Deze informatie is essentieel om snel de oorzaak te kunnen achterhalen en impact van het incident zoveel mogelijk te verkleinen. Hoe lang gegevens het beste bewaard kunnen worden, hangt af van de soort gegevens en uw privacy beleid. Het is te adviseren sowieso enkele weken aan logs te bewaren, maar het liefst meer; een security analist heeft over het algemeen graag drie tot zes maanden aan loginformatie beschikbaar om zijn werk goed te kunnen doen.
  • Laat het CERT op een forensisch correcte manier bewijs verzamelen, zodat u makkelijk aangifte kunt doen wanneer dat nodig is.
  • Zorg ervoor dat u van tevoren weet welke IT-organisatie u gaat bellen in geval van nood.

Hoe kan Intermax u helpen?
Intermax kan u ondersteuning bieden bij het oplossen en afhandelen van incidenten, maar ook bijvoorbeeld bij het verzorgen van security awareness trainingen. Onze preventieve en reactieve diensten bieden we zowel gestandaardiseerd als op maat aan. Kunt u advies gebruiken bij het kiezen van de beste CERT-partij voor uw bedrijf? Onze collega’s staan voor u klaar om u hierover te adviseren.

Meer weten? Neem contact op met Dennis de Hoog (service manager) via d.dehoog@intermax.nl