Document toolboxDocument toolbox


Cyber Response Team


3.6 Herstel de benodigde systemen

Voor de heropstart van de kritieke processen is het niet onwaarschijnlijk dat je beroep zal moeten doen op systemen en toepassingen die getroffen werden door het cyberveiligheidsincident. Het wordt dan ook zaak om de systemen te herstellen, zodat teruggekeerd kan worden naar de gebruikelijke werking. Mogelijks houdt dit proces ook het oplossen van kwetsbaarheden in, om nieuwe incidenten uit te sluiten.  

Voor het herstel van systemen bestaan verschillende methodes, belangrijk hierbij is dat elk van deze methoden voordelen, maar ook nadelen heeft. Hieronder schetsen we de drie meest courante hersteltypes: 

  1. Kwaadaardige artefacten schoonmaken en de aangetaste bestanden vervangen door schone versies

  2. Herstellen vanaf een back-up

  3. Systemen of omgeving vanaf nul heropbouwen 

 

Voor- en nadelen per hersteltype?

Kwaadaardige artefacten schoonmaken

  • Snelle hersteltijd

  • Rendabel

  • Minimale kans op gegevensverlies 

  • Opgelet: De kans bestaat dat onontdekte artefacten achterblijven, wat tot nieuwe problemen kan leiden. 

Herstellen vanaf een back-up

  • Middellange hersteltijd

  • Rendabel

  • Minimale kans op gegevensverlies 

  • Opgelet: Dit hersteltype kan enkel gebruikt worden indien je lokaal bestuur over een betrouwbare back-up beschikt voor het getroffen systeem. De kans bestaat ook dat de exacte tijd van het cyberveiligheidsincident moeilijk in te schatten is, of dat het incident al langer ligt te sluimeren. In dergelijke situaties is de kans groot dat er geen (veilige) back-up is van de periode voor het incident zich voordeed. 

Systemen of omgeving vanaf nul heropbouwen

  • Lange hersteltijd en minst efficiënte hersteltype

  • Heel duur

  • Kans op gegevensverlies

  • Opgelet: Dit is de enige manier om 100% zeker te zijn dat je van de aanvaller verlost bent. Deze zekerheid gaat wel gepaard met een duur kostenplaatje en lange hersteltijd. 

 

Welk type herstel je best kiest voor het cyberveiligheidsincident waarmee je lokaal bestuur geconfronteerd wordt, zal sterk afhangen van de beschikbare tijd en financiële middelen. Ook de schade van het incident aan je infrastructuur is een belangrijke randvoorwaarde om rekening mee te maken: zo zou het kunnen dat je geen onbesmette back-up hebt voor een aantal belangrijke systemen, omdat de oudste back-up pas gemaakt werd nadat cybercriminelen zijn binnengedrongen.

Dit is een document voor publiek gebruik.