De IBD is gestart met een pilot om bij een grootschalig incident snel ter plekke ondersteuning te bieden. Naast de bestaande ondersteuning op afstand zal de IBD – onder specifieke condities – met behulp van ervaren incident responders triage op locatie uitvoeren. Met triage kan een inschatting worden gemaakt van de aard en omvang van een incident. Deze informatie helpt om de vervolgstappen te bepalen om schade in te dammen en herstel te bespoedigen.
Eerste fase cruciaal
De aanpak in de beginfase van een incident is cruciaal voor het verdere verloop. Hoe sneller duidelijk is wat er precies aan de hand is, hoe beter de negatieve effecten kunnen worden beperkt. Meld daarom een incident zo snel mogelijk bij de IBD. De pilot is bedoeld voor gemeenten die zelf niet direct de benodigde kennis en capaciteit in huis hebben en overbrugt de tijd die nodig is om de verdere incident response in te richten. De IBD heeft voor de pilot specialistische capaciteit van Northwave Security ingekocht.
Aanpak
Bij een incident voert de IBD-CERT een primaire telefonische triage uit. Blijkt er sprake van een grootschalig incident, waarbij de potentiële schade > € 250.000 bedraagt, dan zorgt de IBD, op verzoek van de gemeente, dat het team van Northwave binnen enkele uren ter plaatse is om daar te bepalen wat er aan de hand is en welke maatregelen nodig zijn. Voor de triage door Northwave zijn per incident 16 uur beschikbaar, gefinancierd door de IBD. De pilot is beperkt tot drie incidenten waarmee de IBD wil beproeven of een dergelijke aanpak meerwaarde heeft voor gemeenten.
Triageteam
Het triageteam bestaat uit een crisismanager en een expert op het gebied van herstel; het team rapporteert aan de gemeente (denk hierbij aan de CISO, hoofd IT en de contactpersoon van het crisismanagement team) en heeft gedurende de inzet nauw contact met de IBD-CERT.
Oplevering
Aan het einde van de triage ligt er een plan van aanpak om het incident op te lossen. Dit plan wordt afgestemd met de IBD, gemeente en andere stakeholders betrokken bij de crisis. Na afloop vindt een evaluatie plaats tussen de gemeente, IBD en Northwave.
GGI Veilig
Heeft een gemeente extra ondersteuning nodig na de triage voor de uitvoering van het plan van aanpak, dan dient zij zelf de gewenste ondersteuning in te schakelen zonder tussenkomst van de IBD. Dit type ondersteuning, in de vorm van Forensics, kunnen gemeenten al afnemen onder de raamovereenkomst GGI-Veilig, eventueel via een abonnementsvorm. Voor het verwerven ervan via GGI-Veilig doorloopt een gemeente een minicompetitie. Meer informatie treft u op VNGRealisatie.nl en SCgemeenten.nl.
Condities voor deelname
Deelname aan de pilot is voorbehouden aan gemeenten en bij de IBD aangesloten samenwerkingsverbanden. De inzet van triage op locatie volgt uit de telefonische uitvraag door de IBD. Het is aan de inschatting van de IBD-CERT in overleg met Northwave of de inzet daadwerkelijk kan worden aangeboden. Het is vervolgens aan de gemeente om het besluit te nemen over de inzet.
De volgende zaken zijn van belang:
- Meld incidenten of vermoedens daarvan zo vroeg als mogelijk bij de IBD, hoe eerder een incident bekend is, hoe beter de schade kan worden ingedamd en hoe eerder de herstelfase kan worden ingezet.
- Houd de ICT-foto en IP-adressen actueel bij de IBD
- Houd de contactpersonen bij de IBD actueel: zorg ervoor dat de contactgegevens van de ACIB’s en VCIB’s kloppen.
- Zorg ervoor dat de interne crisisorganisatie en incidentmanagementprocessen ingericht en voorbereid is. Het is mogelijk om hiervoor de ondersteuningsproducten van de IBD te gebruiken.
- Gemeenten dienen ongeacht de uitkomst van de pilot (ook) zelf voorzieningen te treffen voor incidenten. De pilot van de IBD is bedoeld om snel zicht te hebben op de omvang en aard van een incident. De dienstverlening in deze pilot is in geen geval een vervanging van eigen afspraken met incident response partijen, dienstverleners op het gebied van dataherstel en forensisch onderzoek.
Eigen voorzieningen
Als een gemeente al eigen maatregelen of voorzieningen heeft getroffen om de eerste fase van een incident door te komen, bijvoorbeeld door een contract met een incident response dienstverlener, dan assisteert de IBD u natuurlijk ook. In dit geval kan uw crisisteam en incident response partij rekenen op dezelfde ondersteuning en coördinatie door de IBD.
Meer informatie
Voor meer informatie neemt u contact op met info@ibdgemeenten.nl. Ondertussen is het van belang dat u de eigen crisisorganisatie inricht, incidenten meldt en uw gegevens bij de IBD actueel houdt.