Resource Center

Dit document bevat adviezen voor algemene, pragmatische en generieke technische criteria en een aantal relevante referenties voor antivirus-, EDR- en XDR-beveiligingsoplossingen. Gezien de huidige context is een "defence in depth"-strategie belangrijk en moeten organisaties zich adequaat voorbereiden. Dit omvat vele aspecten zoals geschikt beleid en procedures, training (bewustwording) van eindgebruikers, processen voor het beheer van kwetsbaarheden, goed configuratiebeheer, (lokale) firewalls, bescherming van webtoepassingen, SIEM-systemen (Security Information and Event Management), IDS-systemen (Intrusion Detection Systems), goede netwerksegmentatie, beheer van mobiele apparaten, ... Dit alles moet worden afgestemd op uw organisatie en rekening houden met de architecturale opzet, zoals cloudgebruik, "Bring your own device"-strategie, enzovoort. De inzet en het beheer van antivirus, EDR (endpoint detect and respond) en zelfs XDR (extended end-point detection and response) maken deel uit van de oplossing die nodig is om dit doel te bereiken. Dit document bevat adviezen voor algemene, pragmatische en generieke technische criteria en een aantal relevante referenties voor antivirus-, EDR- en XDR-beveiligingsoplossingen. Download Guidelines (.PDF)

De vraag is niet ‘of’  je ooit het slachtoffer wordt van een cyberaanval, maar ‘wanneer’. Je kan dus maar beter voorbereid zijn. Hierbij de aanbevelingen voor een efficiënte communicatie bij een cyberaanval. Voor het incident Stap 1: Risicoanalyse Breng in kaart en beschrijf van welke cyberaanvallen je bedrijf of organisatie het slachtoffer kan zijn en wat dat zou betekenen voor de continuïteit van de dienstverlening of productie. De meest voorkomende aanvallen zijn: Een ransomware aanval Ransomware is een virus dat wordt geïnstalleerd op een toestel zonder dat de eigenaar daarvoor toestemming gaf. Het gijzelvirus houdt het toestel en de bestanden gegijzeld (geëncypteerd) en vraagt losgeld. Een DDOS aanval Met een DDoS-aanval of een Distributed-Denial-Of-Service-aanval proberen criminelen een webserver onderuit te halen door hem te overladen met een zeer groot aantal paginaverzoeken. Een DDOS-aanval op zich is geen gevaar en gaat vanzelf weer voorbij,  maar vaak wordt een dergelijke aanval gebruikt om een andere te verbergen of als extra drukkingsmiddel bv. bij een ransomware aanval. Een virus op het netwerk Oplichting, bv. door CEO-fraud Een data breach, inbreuk op GDPR wetgeving… Image Stap 2: Documenteer en organiseer Bekijk het crisisplan of het cybersecurity incident management plan van je bedrijf of organisatie. Controleer of crisiscommunicatie hier in is opgenomen op welke manier. Bevat het minimaal de volgende elementen? Een contactenlijst ondersteuning (op papier): op wie kunnen we beroep doen tijdens een incident? Een contactenlijst medewerkers, stakeholders, partners en pers (op papier): wie moeten we informeren over het incident? Een overzicht van de communicatiekanalen die gebruikt kunnen worden tijdens een cyberaanval (dus ook offline kanalen). Een overzicht van kernboodschappen: voor een aantal veel voorkomende cyberaanvallen, kan vooraf een korte boodschap voorbereid worden. Een taakverdeling, opsomming van de verschillende rollen bij een cyberincident en de taken die bij elke rol horen. Management /crisisteam Communicatiedienst / Woordvoerder Legal/ Noodplan Coördinator/ Veiligheidsofficier/ DPO Evaluatie van de cyberaanval Crisis beheren Continuïteit van de organisatie waarborgen Feedback geven aan communicatiedienst Validatie van boodschappen voor communicatie De afspraken rond woordvoerderschap worden bij elk incident bepaald, in functie van omvang/dreiging/gevoeligheid/thema Informatie verzamelen Crisisteam adviseren Redactie (boodschap aanpassen aan de verschillende doelgroepen en kanalen) Beheer communicatiekanalen: verzending e-mails/publicatie web/Twitter… De pers opvangen, informeren, doorverwijzen of te woord staan Begeleiding bij het opvolgen van het noodplan en de  Permanente evaluatie van de acties t.o.v. het wettelijke kader en de wettelijke opdrachten Adviezen op juridisch vlak geven aan de coördinatiecel Opvolging en de coördinatie van communicatie van geclassificeerde informatie en persoonsgebonden gegevens Contacten met de gegevensbeschermingsautoriteit   Stap 3 : Oefen Elk bedrijf of elke organisatie zou minstens een keer een cyberincident moeten oefenen.  Zorg er zeker voor dat de communicatiedienst of de communicatiemedewerker betrokken wordt bij deze oefening. Image Tijdens het incident Een goede communicatie tijdens een incident is cruciaal om geen tijd verloren te laten gaan en om de reputatieschade te beperken. Respecteer deze volgorde van communicatie. Informeer achtereenvolgens: Medewerkers Stakeholders Partners Klanten Pers Zodra je naar medewerkers communiceert, moet je ook zo snel mogelijk de andere partijen informeren.  Het is immers een illusie te denken dat medewerkers vertrouwelijk zullen omspringen met de informatie. De informatie zal met andere woorden snel naar de buitenwereld lekken. Als er mogelijks persoonsgegevens gestolen of gelekt zijn moet de gegevensbeschermingsautoriteit gecontacteerd worden. Bepaal de boodschappen: Overweeg om proactief te communiceren.  Nog voor het incident ‘uitlekt’ kan je er in principe al over communiceren. Dit principe heet ‘stealing thunder’.  Je brengt het (slechte) nieuws zelf voordat de pers er op af vliegt en haar eigen verhaal construeert. Door proactief te communiceren is de kans het grootst dat je de regie kan houden over de communicatie. Maak onmiddellijk een wachtboodschap. Communiceer de volgende elementen: We know: we weten wat er gebeurd is. We do: we zijn nu bezig met de volgende zaken, we werken aan een oplossing. We care: we nemen dit zeer ernstig, we zijn empathisch. We are sorry: we betreuren het voorval, we excuseren ons. We’ll be back: we spreken af wanneer we met meer info komen. Bepaal de kernboodschappen Wat is er gebeurd? Hoe is dit kunnen gebeuren? Wie was hiervoor verantwoordelijk? Wat zijn de gevolgen? Voor de medewerkers, de klanten, de partners… Wat doen we om de schade te herstellen? Welke oplossing hebben we achter de hand? Wat doen we om dit in de toekomst te voorkomen? Bepaal de toon: Toon medeleven als er slachtoffers zijn. Bied excuses aan als er een fout begaan is. Ga niet in de verdediging, maar toon wel aan wat je organisatie gedaan heeft om dit te vermijden of om dit snel op te lossen. Je moet je niet schamen, je bent het slachtoffer van criminelen en dit kan iedereen overkomen. Reageer niet agressief op beschuldigende vragen, wijs liever op ‘geleerde lessen’. No comment: niet reageren op vragen, is een boodschap op zich die vaak wordt geïnterpreteerd als ‘ze zullen wel een fout gemaakt hebben’ of ‘ze hebben zeker wat te verbergen’. Kies een woordvoerder. Advies voor woordvoerders: Toon empathie. Lieg niet. Wees transparant. Anticipeer op moeilijke vragen en oefen ze in. Gebruik bruggetjes om steeds terug te keren naar de kernboodschap. Wees duidelijk en beknopt. Kijk uit met vakjargon / cyberjargon. Addertjes onder het gras Bij een cyberaanval kan het zijn dat de belangrijkste kanalen van de communicatie onbeschikbaar zijn: intranet, e-mail, website.  Denk vooraf na over alternatieve kanalen om de verschillende doelgroepen te bereiken. Als er een gerechtelijk onderzoek gestart is naar de cyberaanval, moet je mogelijks zeer voorzichtig omspringen met informatie.  Maar laat dit geen uitvlucht zijn om niet of niet transparant te communiceren. Attributie van een cyberaanval: wees altijd voorzichtig met het aanwijzen van een mogelijke dader van de aanval.  Bij een cyberaanval is dit altijd zeer moeilijk te bepalen. Na het incident Het getuigt van een hoge maturiteit wanneer een organisatie na het incident de geleerde lessen wil delen met anderen in een publicatie, een blog, een lezing of een studiedag. Image Meer infoLeidraad crisiscommunicatie nationaal Crisiscentrum: https://crisiscentrum.be/sites/default/files/documents/files/2021-03/leidraad_nl.pdfCOMM Collection 7: Klaar voor de crisis - Handleiding bij crisiscommunicatie: https://bosa.belgium.be/sites/default/files/publications/documents/COMM7_NL_WEB_feb_2017.pdfCyberveiligheid gids voor incidentbeheer: https://ccb.belgium.be/sites/default/files/cybersecurity-incident-management-guide-NL.pdfOntdek onze Webinars

Cyberaanvallen voor 100% voorkomen is niet mogelijk, maar machteloos zijn we zeker niet. Cyberexperts en beveiligingsfirma’s blijven er op hameren dat basisbeveiligingsacties een groot verschil kunnen maken, niet alleen voor de individuele internetgebruiker maar ook voor bedrijven en organisaties: phishing herkennen en ervoor waarschuwen, sterke wachtwoorden en tweestapsverificatie (2FA) gebruiken en systemen tijdig patchen en updaten. De basisbeveiliging Cyberaanvallen voor 100% voorkomen is niet mogelijk, maar machteloos zijn we zeker niet. Cyberexperts en beveiligingsfirma’s blijven er op hameren dat basisbeveiligingsacties een groot verschil kunnen maken, niet alleen voor de individuele internetgebruiker maar ook voor bedrijven en organisaties: phishing herkennen en ervoor waarschuwen, sterke wachtwoorden en tweestapsverificatie (2FA) gebruiken en systemen tijdig patchen en updaten. Wij raden bedrijven en organisaties aan een (cyber)noodplan uit te werken, te actualiseren en op regelmatige basis te testen. Het is belangrijk dat elke medewerker weet wat zijn of haar taak is bij een cyberincident. (Webinar cyberincidenten: https://www.youtube.com/watch?v=-cHcTidmT1Y) Hou contactlijsten up-to-date en bewaar ze ook op papier. Voorzie zo nodig hulp van een externe partner/firma. Maak hierover vooraf afspraken. Gebruik waar mogelijk tweestapsverificatie (2FA), zowel op indivuele accounts, als op de social media accounts van het bedrijf of de organisatie.  Zorg dat je systemen up-to-date zijn en zorg er steeds voor om relevante en noodzakelijke back-ups offline te bewaren. Voor een volledig overzicht van beveiligingsmaatregelen, consulteer de Cyberfundamentals: https://ccb.belgium.be/nl/cyberfundamentals-framework Checklist voor een snelle sterkere beveiliging Ransomware of wiperware voorkomen Maak werk van het invoeren van 2FA of MFA voor de belangrijkste bedrijfstoegangen. Het is belangrijk dat je toestellen beschermd zijn met een antivirussoftware, maar daarnaast is ook specifieke bescherming tegen ransomware een must. Installeer anti-ransomware. Daarnaast blijft het belangrijk om valse berichten op tijd te herkennen, en medewerkers hierover te informeren. Voer  regelmatig updates uit op al je systemen. Maak ten slotte regelmatig back-ups voor het geval je toch slachtoffer wordt. Zorg voor een business continuity and recovery plan met een getest backup-systeem Laat je IT security  architecture & policy nakijken door een specialist. (inclusief het beleid rond patching, user training, network segmentatie, etc.) Lees ons volledig advies: https://www.cert.be/sites/default/files/ransomware_2019_nl.pdf DDoS-aanvallen mitigeren Wees voorbereid op een DDoS-aanval. Controleer of je internet-facing systemen voldoende beschermd zijn tegen een DDoS-aanval. Wees aandachtig voor andere aanvallen die zich ‘verbergen’ achter de DDOS-aanval. Er bestaan diensten en producten die helpen een DDoS-aanval te mitigeren. Inventariseer of het gebruik van zulke diensten voor je organisatie relevant is. Lees ons volledig advies: https://www.cert.be/nl/paper/ddos-bescherming-en-preventie Phishing tijdig herkennen Wees extra alert op mogelijke phishing aanvallen. Maak medewerkers ervan bewust dat ongebruikelijke communicatie van professionele contacten ook verdacht is. Vraag medewerkers om verdachte e-mails te melden aan de IT-afdeling. Stuur verdachte berichten steeds door naar verdacht@safeonweb.be Desinformatiecampagnes snel opmerken De verspreiding van desinformatie via gehackte kanalen is een dreiging. Wees alert op mogelijk misbruik van de publieke communicatiekanalen van je organisatie (websites en social media) Monitor de activiteiten op de social media-accounts van je organisatie. Wees alert voor verdachte en afwijkende inlogpogingen. Gebruik tweestapsverificatie. Wijs medewerkers erop om voorzichtig te zijn met het delen van informatie op sociale media. Afwijkende handelingen in professionele netwerken detecteren Investeer in logging en monitoring. Wees extra alert op afwijkend verkeer op de systemen en in het netwerk. Controleer of de anti-virus oplossingen up-to-date zijn. Link naar webinar: logging en monitoring: https://www.youtube.com/watch?v=SQEyC_wJEF0&feature=youtu.be Kwetsbare systemen opzoeken en updaten Volg onze adviezen en waarschuwingen op cert.be Controleer de belangrijkste systemen en de internet-facing systemen op bekende kwetsbaarheden. Besteed ook extra aandacht aan veel gebruikte kwetsbaarheden, bv. Log4j. https://www.cert.be/nl/warning-active-exploitation-0-day-rce-log4j In sommige gevallen is een update voor een kwetsbaarheid nog niet beschikbaar. Tref in zulke gevallen mitigerende maatregelen, zoals het beperken van toegang tot een kwetsbaar systeem. Wat na een cyberaanval? Eerste hulp hij een cyberaanval: https://www.cert.be/nl/eerste-hulp-bij-een-cyberaanval Bekijk het webinar: https://www.youtube.com/watch?v=qcIk1bwXPuk Ben je slachtoffer van een cyberaanval of heb je een zeer ongebruikelijke handeling op je netwerken opgemerkt, doe dan een melding via: https://www.cert.be/nl/een-incident-melden-form Download Boosting your Organisation's Cyber Resilience - Joint Publication, ENISA and CE…