1.5 Effectief alarm

Het analyseproces zal nog een stuk langer in beslag nemen met het oog op forensisch onderzoek, maar gedurende het proces van bewijsvergaring zal al snel een van de volgende twee conclusies naar boven komen:

1. Het gaat over een technische of operationele storing die verholpen kan worden binnen een redelijke termijn om daarna terug over te gaan naar de normale werking. Opstart van de crisiswerking is niet noodzakelijk.

2. Er is een indicatie van cybercriminaliteit of een achterliggend kwaadwillig oogmerk kan niet uitgesloten worden. De werking van het lokaal bestuur loopt risico, omdat het oplossen van het probleem van lange duur zal zijn of omdat de duur niet ingeschat kan worden tijdens deze fase. Opstart van de crisiswerking is noodzakelijk.  

Wanneer bijna onweerlegbaar vastgesteld wordt dat het lokaal bestuur te maken heeft met een cyberaanval, is het zaak om deze conclusie zo snel als mogelijk intern te communiceren, zodat de nodige rollen gealarmeerd kunnen worden. 

Naast nabije diensthoofden en management is het ook aanbevolen om volgende rollen in te lichten, volgens de regels die vastgelegd werden in interne meldingsprocedures: 

• Burgemeester

• Algemeen directeur en andere leidende ambtenaren

• ICT-dienst

• DPO en/of CISO

• Communicatiedienst

• Diensthoofden

• Contactpersonen van andere betrokken of getroffen instellingen en organisaties, zoals leveranciers en woonzorgcentra

• Provinciegouverneur, zeker bij incidenten met een vergaande grootorde of grensoverschrijdende impact  

• Hosting providers en externe leveranciers, ingeval je extern gehoste website, systemen of toepassingen werden gehackt