Cyber Response Team
3.2 Breng de impact op de werking en dienstverlening in kaart
Aangezien het niet mogelijk is om bij elke werknemer het oor te luisteren te leggen voor de heropstart van processen, is het een goed idee om deze verantwoordelijkheid te leggen bij de afdelingshoofden of proceseigenaars (dit zijn de verantwoordelijke medewerkers voor een specifiek proces). Zij krijgen de vraag om, samen met de medewerkers binnen hun dienst, de impact op hun werking en dienstverlening in te schatten en samen te vatten. Welke processen kunnen zij niet langer uitvoeren op dit moment en wat zijn de noden om deze terug op te kunnen starten?Â
De afdelingshoofden of proceseigenaars kunnen vervolgens samen met het Incident Response Team een globaal overzicht maken van de impact van het cyberveiligheidsincident. Natuurlijk heeft een dergelijk overzicht ook nood aan een werkbare structuur. Het is dan ook aangeraden om de impact te clusteren, zodat specifieke werkcellen opgezet kunnen worden, die zich ontfermen over hun respectievelijke cluster. Deze werkcellen staan in voor de monitoring van de impact op hun specifieke processen, alsook voor het identificeren van noden en benodigdheden voor de heropstart.Â
Indien reeds een uitgewerkt business continuïteitsplan voorhanden is, gebaseerd op een degelijke Business Impact Analyse, wordt deze oefening meteen een stuk eenvoudiger. In dit geval kan prioritair gekeken worden naar de tijdskritieke processen, met procesverantwoordelijken die de impact op deze processen snel kunnen inschatten en zicht hebben op de benodigde middelen voor heropstart en herstel. Indien niet aanwezig kunnen bestaande productencatalogi of andere beschikbare documentatie rond diensten en producten gebruikt worden voor deze oefening.Â
Â
Afweging: Hoe breng je de impact in kaart?
Er is geen gouden oplossing voor het in kaart brengen en structureren van de impact van een mogelijk cyberveiligheidsincident. Dit wil echter niet zeggen dat er geen handvatten zijn om dit efficiënt en procesmatig uit te werken. Â
Een eerste mogelijkheid, is om voor de clustering te vertrekken vanuit de bestaande afdelingsstructuur. Concreet houdt deze optie in dat de impact in kaart wordt gebracht voor de verschillende diensten, rekening houdend met de processen die opgevolgd worden door deze dienst en de wijze waarop deze processen uitgevoerd worden.
Het is echter ook mogelijk om te kiezen voor een alternatieve opzet, indien dit het toewijzen van verantwoordelijkheden en de opvolging binnen het incident response team vergemakkelijkt. Tijdens de cyberaanval in gemeente Willebroek in januari 2020, werd bijvoorbeeld gekozen om de impactclustering tot slechts vier clusters te betrekken:Â
Sociaal: deze cluster omvat het woonzorgcentrum en de OCMW-werking
Diensten: deze cluster omvat de technische en administratieve dienstverlening, zoals de onthaalbalie, burgerzaken en vergunningen
Vrije tijd: deze cluster omvat onder meer de bibliotheek en evenementen
Extern: Deze cluster omvat relevante externe organisaties, zoals de VDAB en het CAWÂ
Dit is een document voor publiek gebruik.