Incident Response
Onesurance beschikt over een 24/7 incident response proces om beveiligingsincidenten snel te detecteren, in te dammen en op te lossen. Ons Incident Response Team staat onder leiding van de Functionaris Gegevensbescherming en volgt een gestructureerd 6-staps proces.
Incident Response op een oogopslag
- 24/7 beschikbaar — Continue monitoring en respons, dag en nacht
- <1 uur responstijd P1 — Kritieke incidenten binnen 1 uur opgepakt
- 6-staps proces — Van detectie tot afsluiting, volledig gedocumenteerd
- IRT onder leiding FG — Incident Response Team aangestuurd door de Functionaris Gegevensbescherming
Incident Response Proces
Ons incident response proces is opgebouwd uit zes duidelijk gedefinieerde fasen. Elk beveiligingsincident doorloopt deze fasen om een snelle, effectieve en gedocumenteerde afhandeling te garanderen. Het Incident Response Team (IRT) wordt geactiveerd bij elk bevestigd incident en staat onder leiding van de Functionaris Gegevensbescherming.
6-staps Incident Response Proces
Incidenten worden gedetecteerd via meerdere kanalen en onmiddellijk geescaleerd.
- 24/7 geautomatiseerde monitoring — Azure Security Center, SIEM en anomaliedetectie draaien continu
- Contactpunten — Medewerkers, klanten en externe partijen kunnen incidenten melden via telefoon, e-mail of intern ticketsysteem
- BIJ P1 EERST BELLEN — Bij vermoeden van een kritiek incident (P1) altijd eerst telefonisch contact opnemen met de FG, daarna pas schriftelijk melden
Elk gemeld incident wordt beoordeeld op ernst en impact door de aangewezen coordinator.
- Incident coordinator — De FG of aangewezen plaatsvervanger neemt de coordinatie op zich
- Ernst classificatie — Incident wordt geclassificeerd als P1 (Kritiek), P2 (Hoog), P3 (Gemiddeld) of P4 (Laag)
- IRT activering — Bij P1 en P2 wordt het volledige Incident Response Team geactiveerd
Directe maatregelen om de schade te beperken en verdere verspreiding te voorkomen.
- Firewall rules — Blokkeren van verdacht verkeer en aanvalsvectoren via firewall aanpassingen
- Isolatie — Getroffen systemen worden geisoleerd van het netwerk om verspreiding te voorkomen
- Bewaar logs — Alle relevante logs en bewijsmateriaal worden veiliggesteld voor forensisch onderzoek
Diepgaand onderzoek naar de oorzaak, omvang en impact van het incident.
- Root cause analyse — Vaststellen van de onderliggende oorzaak van het incident
- Aanvalsmethode — Identificatie van de gebruikte aanvalstechniek en -vector
- Tijdlijn — Reconstructie van de volledige tijdlijn van het incident, van eerste compromittering tot detectie
Systemen worden hersteld naar een veilige, operationele staat.
- Patching — Kwetsbaarheden worden gepatcht en beveiligingsupdates toegepast
- Malware removal — Verwijdering van kwaadaardige software en achterdeuren
- Clean backups — Herstel vanuit geverifieerde, schone back-ups
- Reset credentials — Alle mogelijk gecompromitteerde wachtwoorden en sleutels worden gereset
- 48 uur monitoring — Na herstel worden systemen minimaal 48 uur intensief gemonitord op herhaalde activiteit
Het incident wordt formeel afgesloten en alle lessen worden vastgelegd.
- Incidentrapport — Volledig rapport met tijdlijn, impact, oorzaak en genomen maatregelen
- Lessons learned — Evaluatiesessie met het IRT om verbeterpunten te identificeren
- Procedure updates — Aanpassing van procedures, beleid en technische maatregelen op basis van bevindingen
Ernstniveaus & Responstijden
Elk incident wordt geclassificeerd op basis van ernst en impact. De classificatie bepaalt de responstijd, het escalatieniveau en de beschikbare middelen.
| Niveau | Responstijd | Oplostijd | Voorbeelden | Escalatie |
|---|---|---|---|---|
| Kritiek P1 | <1 uur | <48 uur | Actieve datalek, ransomware-aanval, volledige systeemcompromittering | Telefonisch onmiddellijk — FG + directie |
| Hoog P2 | <4 uur | <72 uur | Potentiele datalek, ongeautoriseerde toegang tot productiesystemen | Telefonisch + e-mail — FG |
| Gemiddeld P3 | <1 werkdag | <20 werkdagen | Verdachte activiteit, phishing-poging met klik, kwetsbaarheid in productie | E-mail — FG |
| Laag P4 | Gepland | <3 maanden | Mislukte inlogpogingen, geblokkeerde malware, informatieve beveiligingsmeldingen | Ticketsysteem |
Contactpersonen Incident Response
Bij een beveiligingsincident neemt u contact op met onderstaande personen. Bij een P1-incident altijd eerst telefonisch contact opnemen.
Functionaris Gegevensbescherming
Menno Kooistra
E-mail: dpo@onesurance.ai
E-mail DPO: dpo@onesurance.ai
Primair contactpersoon
Backup Contactpersoon
Dennie van den Biggelaar
Telefoon: +31 6 12 23 66 37
Backup bij afwezigheid FG
Testing & Oefeningen
Het incident response plan wordt regelmatig getest om de effectiviteit te waarborgen en het team geoefend te houden.
Jaarlijkse Tabletop Exercises
Minimaal eenmaal per jaar voert het IRT een tabletop exercise uit. Hierbij wordt een realistisch incidentscenario doorlopen zonder daadwerkelijke systeemimpact, om de besluitvorming en communicatie te toetsen.
Scenariotesting
Specifieke scenario's zoals ransomware, datalek en insider threat worden doorgespeeld. Na elke oefening worden bevindingen gedocumenteerd en het incident response plan bijgewerkt.
NOOD BEVEILIGINGSINCIDENT?
Bij een actief beveiligingsincident, neem onmiddellijk telefonisch contact op:
E-mail: dpo@onesurance.aiFunctionaris Gegevensbescherming — Menno Kooistra
Vragen over Incident Response?
Onze Functionaris Gegevensbescherming helpt u graag met vragen over ons incident response proces, beveiligingsmeldingen of escalatieprocedures.