IBD DIENSTENPORTFOLIO Uitgebreide beschrijving van de diensten van de IBD
Auteur
IBD
Datum
september 2013
2
Inhoud 1
2
3
4
5
Inleiding
4
1.1 1.1
4 6
Kernactiviteiten en diensten Officieel aansluiten bij de IBD
Incidentpreventie
7
2.1 2.2 2.3 2.4 2.5 2.6 2.7
7 7 7 8 8 9 9
Inleiding Doel van de dienst Dienstbeschrijving Waarom is het belangrijk om incidenten te melden bij de IBD Gebruik maken van deze dienst Een vertrouwde contactpersoon Bereikbaarheid IBD
Kwetsbaarheidswaarschuwingen
10
3.1 3.2 3.3 3.4 3.5 3.6
10 10 10 10 11 12
Inleiding Doel van de dienst Dienstbeschrijving IBD Kwetsbaarheidswaarschuwingen Gebruik maken van deze dienst Bereikbaarheid IBD
Incidentdetectie
13
4.1 4.2 4.3 4.4 4.5 4.6
13 13 13 14 15 15
Inleiding Doel van de dienst Dienstbeschrijving Gebruik maken van deze dienst Een vertrouwde contactpersoon Bereikbaarheid IBD
Incidentcoördinatie
16
5.1 5.2 5.3 5.4 5.5 5.6
16 16 16 18 18 18
Inleiding Doel van de dienst Dienstbeschrijving Gebruik maken van deze dienst Een vertrouwde contactpersoon Bereikbaarheid IBD
6
Privacy
19
7
Definities
20
3
1
Inleiding 1.1 Kernactiviteiten en diensten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de collectieve keuze van gemeenten voor coördinatie en ondersteuning op het gebied van informatiebeveiliging via de IBD. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen. Bij deze drie doelen staat kennisontwikkeling, kennisdeling en kennisvermeerdering op het vlak van informatiebeveiliging, bij, door en tussen gemeenten voor de IBD centraal. De doelen van de IBD zijn: 1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-beveilgingsassessment DigiD is een voorbeeld van zo’n project. Om het eerste doel te bereiken, werkt de IBD nauw samen met de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID). De Taskforce BID is in februari 2013 opgericht voor een periode van twee jaar door minister Plasterk van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Met als doel om het thema informatiebeveiliging bij bestuurders en topmanagers naar een hoger plan te tillen. De IBD ontwikkelt samen met de Taskforce BID concrete producten die gemeenten ondersteunen zich verder te ontwikkelen op informatiebeveiligingsvlak. Bovendien ontplooit de IBD gezamenlijke initiatieven gericht op bewustzijn en
4
sturing, zowel met de Taskforce BID als met bestaande gemeentelijke gremia op informatiebeveiligingsvlak. Met als perspectief een vorm van Verplichtende Zelfregulering per overheidslaag. Ook binnen de gemeentelijke overheidslaag. Doel twee vertaalt zich in de uitwerking naar een drietal verantwoordelijkheden richting gemeenten: 1. Incidentpreventie 2. Incidentdetectie 3. Incidentcoördinatie Om invulling te geven aan deze verantwoordelijkheden heeft de IBD een dienstenportfolio ontwikkeld. Een deel van dit dienstenportfolio kunt u altijd afnemen. Voor een ander deel, wat zich richt op uw specifieke gemeentelijke situatie, moet u officieel aangesloten zijn bij de IBD. De IBD werkt hierbij nauw samen met het Nationaal Cyber Security Centrum (NCSC). 1. Incidentpreventie Het doel van Incidentpreventie voor gemeenten is het voorkomen van incidenten. Dit door gemeenten zo snel als mogelijk te informeren over algemene dreigingen, door informatie te verzamelen over gemeentelijke incidenten en hierover periodiek te rapporteren.
Kwetsbaarheidswaarschuwingen Het doel van de dienstverlening ‘Kwetsbaarheidswaarschuwingen’ voor gemeenten is het voorkomen van incidenten. Dit door gemeenten zo snel als mogelijk te informeren over bij de IBD bekende aankomende of acute ICTgerelateerde beveiligingsrisico’s, zoals kwetsbaarheden in soft- en/of hardware.
2. Incidentdetectie Het doel van Incidentdetectie voor gemeenten is het tegengaan van verdere verspreiding van mogelijke virussen, wormen, botnetten en aanvallen van buitenaf. De IBD waarschuwt die gemeenten waarvan bekend is dat deze gemeenten geïnfecteerde systemen hebben. 3. Incidentcoördinatie Het doel van Incidentcoördinatie voor gemeenten is, in het geval van incidenten, het beperken van de technische-, financiële- en imagoschade voor gemeenten. Het doel is tevens het voorkomen van verspreiding van deze incidenten. Een specifieke dienstverlening op dit vlak is: 5
Crisiswoordvoering Het doel van crisiswoordvoering is om de impact van een incident of crisis zo gering als mogelijk te houden voor gemeenten. De IBD ondersteunt in geval van incidenten of crisis bij gemeenten middels concrete tips aan de woordvoerder van gemeenten.
Deze drie verantwoordelijkheden worden concreet vormgegeven middels een reeds ontwikkeld en nog verder uit te ontwikkelen producten- en dienstenportfolio.
1.1 Officieel aansluiten bij de IBD Om u als gemeente concreet te kunnen ondersteunen als IBD, is een ‘officiële’ aansluiting van uw gemeente bij de IBD noodzakelijk. Zo’n ‘officiële’ aansluiting betekent enerzijds dat u als gemeente een aantal zaken dient in te richten om de IBD-dienstverlening af te nemen en anderzijds dat de IBD van u concrete informatie nodig heeft om gericht te kunnen handelen. In de volgende hoofdstukken staat beschreven wat wordt opgeleverd door de IBD en welke gegevens gemeenten aan de IBD moeten leveren om optimaal van de betreffende diensten gebruik te kunnen maken. Tevens is in dit document opgenomen wat de gemeenten intern moeten regelen voor ze bij de IBD aan kunnen sluiten. Daarnaast is er een document ‘Stappenplan aansluiten bij de IBD’ (PFD-bestand, 384 kB). Om het aansluitproces voor u als gemeente zo overzichtelijk
als mogelijk te maken is in dit document een stappenplan beschreven voor het aansluiten bij de IBD. Hierin is per stap beschreven wat u als gemeenten moet doen, wie u dit binnen uw gemeente het beste kunt laten doen, wat u van de IBD kunt verwachten als u het hebt gedaan en hoe iedere stap wordt afgerond. Los van de in dit document beschreven diensten kunt u als gemeente nu al de IBD bellen om hulp te krijgen bij ICT-beveiligingsincidenten. De IBD is voor gemeenten 24-uur per dag, zeven dagen per week, bereikbaar op telefoonnummer 070-373 8011.
6
2
Incidentpreventie
2.1 Inleiding De IBD heeft een centrale en onafhankelijke positie binnen de gemeentelijke overheid op het vlak van informatiebeveiliging. Dat is de reden dat de IBD regelmatig informatie over mogelijke virusuitbraken of (malware-)besmettingen ontvangt. Deze informatie wordt gedeeld met de Algemene Contactpersoon Informatiebeveiliging (ACIB) van een gemeente, die gebruik maakt van de dienstverlening aangaande Incidentpreventie. Een tweede onderdeel van deze dienstverlening is dat de IBD door contacten met bijvoorbeeld gemeenten, leveranciers, hosting partijen en internet service providers beschikt over veel informatie aangaande incidenten en ‘bijna-ongelukken’ bij gemeenten. Deze informatie gebruikt de IBD geanonimiseerd om periodieke trendrapporten, nieuwsbrieven en whitepapers op te stellen en te verspreiden aan haar gemeentelijke contactpersonen en andere betrokkenen bij de gemeentelijke dienstverlening. Dit hoofdstuk beschrijft de dienstverlening behorend bij de IBDverantwoordelijkheid ‘Incidentpreventie’.
2.2 Doel van de dienst Het doel van Incidentpreventie voor gemeenten is het voorkomen van incidenten. Dit door gemeenten zo snel als mogelijk te informeren over algemene dreigingen, door informatie te verzamelen over gemeentelijke incidenten en hierover periodiek te rapporteren.
2.3 Dienstbeschrijving Deze dienst bestaat uit een twee aspecten. Het eerste (acute) aspect is dat de IBD vanuit haar contacten regelmatig informatie krijgt over mogelijke virusuitbraken of (malware-)besmettingen, die bijvoorbeeld worden verspreid door populaire (nieuws-)websites. Deze informatie wordt gedeeld met de
Algemene Contactpersoon Informatiebeveiliging (ACIB) van een gemeente, die gebruik maakt van de dienstverlening aangaande Incidentpreventie.
7
Het tweede (minder acute) aspect van deze dienstverlening is dat de IBD regelmatig gegevens ontvangt over beveiligingsincidenten die zich voordoen bij verschillende gemeenten. Soms bevatten deze gegevens waardevolle informatie voor andere gemeenten. De IBD kan deze informatie gebruiken om andere gemeenten te waarschuwen voor bedreigingen. Uiteraard worden de verstrekte gegevens geanonimiseerd, zodat de herkomst niet te herleiden is naar een bepaalde gemeente. Het verspreiden van deze informatie geschiedt uitsluitend via de Vertrouwde Contactpersoon Informatiebeveiliging (VCIB). Ook kan de IBD deze geanonimiseerde informatie gebruiken voor trendrapportage of andere bewustwordings doeleinden. De IBD verzoekt gemeenten dan ook zoveel mogelijk gegevens over beveiligingsincidenten met hen te delen. Het gaat hierbij om informatiebeveiligingsincidenten, bijvoorbeeld om malwarebesmetting, grootschalige verstoringen van interne of bedrijfsnetwerken, aanvallen door hackers, (D)Dos aanvallen of virusbesmettingen. De vertrouwde contactpersoon informatiebeveiliging (VCIB) van uw gemeenten krijgt toegang tot de kennisbank van de IBD. Dit is een digitaal archief waar de IBD bijvoorbeeld factsheets, incidentrapportages en whitepapers beschikbaar stelt.
2.4 Waarom is het belangrijk om incidenten te melden bij de IBD De IBD fungeert als een centraal meldpunt voor gemeenten, maar ook voor derde partijen namens gemeenten. Zo kunnen internet service providers, hosting partijen en leveranciers bij de IBD beveiligingsincidenten melden die van belang zijn voor gemeenten. De IBD stelt de bij haar aangesloten gemeenten op de hoogte van de voor hen relevante meldingen. Ook als geen ondersteuning nodig is bij het afhandelen van een incident, is het van belang het incident wel te melden bij de IBD. Hiermee kan de IBD namelijk andere gemeenten helpen door ze tijdig op de hoogte stellen van nieuwe dreigingen om zo verdere verspreiding tegen te gaan. De meldingen worden geanonimiseerd gebruikt voor de dienstverlening aangaande Incidentpreventie.
2.5 Gebruik maken van deze dienst Om er voor te zorgen dat gemeenten optimaal gebruik kunnen maken van de dienstverlening op het gebied van Incidentpreventie, is het van belang dat de IBD in ieder geval beschikt over actuele contactgegevens van:
8
de Algemene Contactpersoon Informatiebeveiliging (ACIB) en de Vertrouwde Contactpersoon Informatiebeveiliging (VCIB) van de gemeente. Bij sommige incidenten is het mogelijk dat bij de uitvoering van de dienstverlening vertrouwelijke gegevens worden uitgewisseld. Dit doet de IBD alleen met een VCIB. Daarnaast is het zeer aan te raden dat gemeenten, die van deze dienstverlening gebruik maken hun interne Incident Management Proces ingericht en operationeel hebben. De VCIB van gemeenten krijgt toegang tot de kennisbank van de IBD. Dit is een digitaal archief waar de IBD bijvoorbeeld factsheets, incidentrapportages en whitepapers beschikbaar stelt.
2.6 Een vertrouwde contactpersoon De informatie die bij het uitvoeren van deze dienstverlening wordt uitgewisseld is soms gevoelig en/of vertrouwelijk van aard. Het NCSC en de IBD behandelen de door gemeenten aangeleverde informatie vertrouwelijk en verwachten dat ook van gemeenten. Om van deze dienstverlening gebruik te maken, moet een gemeente een VCIB aanstellen. Dit kan gebeuren door een daartoe bevoegd vertegenwoordiger van de gemeente. Dit kan de burgemeester of de gemeentesecretaris zijn.
2.7 Bereikbaarheid IBD De Helpdesk van de IBD is te bereiken tijdens kantooruren van 9:00 tot 17:00 uur. Tijdens deze kantooruren reageert de IBD binnen 30 minuten op een incidentmelding. Buiten kantooruren is de IBD bereikbaar voor spoedeisende meldingen en zal de IBD binnen 60 minuten reageren op een telefonische oproep.
9
3
Kwetsbaarheidswaarschuwingen
3.1 Inleiding De IBD waarschuwt haar gemeenten zo snel mogelijk en proactief over aankomende of acute ICT gerelateerde beveiligingsrisico’s, zoals kwetsbaarheden in soft- en/of hardware. Dit doet de IBD in nauwe samenwerking met het NCSC, die continu het internet monitoort en in (inter)nationaal verband met andere bronnen samenwerkt om incident kennis uit te wisselen en waarschuwingen te geven. Ook gebruikt de IBD geanonimiseerde gegevens van gemeenten om andere gemeenten te waarschuwen over mogelijke dreigingen.
Dit hoofdstuk beschrijft de dienstverlening ‘Kwetsbaarheidswaarschuwingen’ behorend bij de IBD-verantwoordelijkheid Incidentpreventie.
3.2 Doel van de dienst Het doel van de dienstverlening Kwetsbaarheidswaarschuwingen is het voorkomen van incidenten. Dit door gemeenten zo snel als mogelijk te informeren over bij de IBD bekende aankomende of acute ICT-gerelateerde beveiligingsrisico’s, zoals kwetsbaarheden in soften/of hardware.
3.3 Dienstbeschrijving De IBD waarschuwt gemeenten tijdig en proactief over de acute ICT-gerelateerde beveiligingsrisico’s, zoals softwarekwetsbaarheden. Hierbij stemt de IBD de waarschuwingen specifiek af op de ICT-omgeving van de gemeenten, die aangesloten zijn bij de IBD en de daar gebruikte ICT-producten. Indien mogelijk koppelt de IBD aan de waarschuwingen een concreet advies over hoe de gesignaleerde risico’s kunnen worden afgedekt of beperkt.
3.4 IBD Kwetsbaarheidswaarschuwingen Het NCSC stelt regelmatig beveiligingsadviezen op naar aanleiding van kwetsbaarheden of geconstateerde dreigingen. Beveiligingsadviezen bevatten specifieke informatie over problemen in software en hoe, door preventief stappen te ondernemen, deze op te lossen. De adviezen worden zo geschreven dat zij ook gebruikt kunnen worden op andere niveaus binnen de organisatie, bijvoorbeeld door systeembeheerders.
10
De IBD ontvangt al deze adviezen van het NCSC en stuurt ze door aan de door een gemeente aangestelde Algemene Contactpersoon Informatiebeveiliging (ACIB) waarvoor een specifiek advies relevant is. Gemeenten kunnen dus pas van dit product gebruik maken als ze aan de IBD een overzicht hebben verstrekt van de hard- en software die ze gebruiken, de zogenaamde gemeentelijke ‘ICT-foto’. Uitleg over het aanleveren van een gemeentelijke foto wordt gegeven in het document ‘Aansluiten bij de IBD’ (PFD-bestand, 384 kB). De waarschuwingen komen in de vorm van een kwetsbaarheidswaarschuwing per e-mail en bevatten een schatting van de kans dat een bepaalde kwetsbaarheid
misbruikt wordt en de schade die bij misbruik kan ontstaan (impact). De hierbij gehanteerde indeling is Laag/Midden/Hoog. Een gemeente, die gebruik maakt van deze
dienstverlening, kan er op termijn voor kiezen om bij een advies met een hoge inschatting van zowel kans als impact (een zgn. [H/H]-advies) behalve een e-mail ook een SMS-bericht te krijgen (ook buiten kantoortijden). De Kwetsbaarheidswaarschuwingen worden verstuurd naar het mailadres van de gemeentelijke ACIB. Gemeenten kunnen er voor kiezen om de waarschuwingen ook aan een gemeentelijke servicedesk te sturen voor registratie en verdere distributie naar de juiste oplos groep binnen een gemeente. Kwetsbaarheidswaarschuwingen zijn opgesteld in het Nederlands en bevatten een beschrijving van het probleem, informatie over oplossingen of work-arounds en een risicoanalyse. De Kwetsbaarheidswaarschuwingen worden aan de gemeente toegestuurd aan de hand van een ‘gemeentelijke foto’ van de ICT omgevingen van de gemeente. De IBD fungeert als filter op de grote stroom informatie over beveiligingsproblemen die in omloop is, zodat de gemeente zich kan concentreren op dat wat werkelijk voor hen relevant is. De IBD verspreidt Kwetsbaarheidswaarschuwingen waarvan zowel de kans als impact ‘Hoog’ zijn via e-mail. Tevens waarschuwt de IBD de door de gemeente aangestelde ACIB per SMS. Dit doet de IBD, 24 uur per dag, 7 dagen per week, tenzij de gemeente anders beslist heeft. De IBD verspreidt de Kwetsbaarheidswaarschuwingen waarvan of de kans of de impact niet beide ‘Hoog’ zijn uitsluitend via de e-mail en alleen binnen kantoortijden.
3.5 Gebruik maken van deze dienst Om er voor te zorgen dat gemeenten optimaal gebruik kunnen maken van de dienstverlening Kwetsbaarheidswaarschuwingen, is het van belang dat de IBD in ieder geval beschikt over actuele contactgegevens van:
11
de Algemene Contactpersoon Informatiebeveiliging (ACIB) en de Vertrouwde Contactpersoon Informatiebeveiliging (VCIB) van de gemeente. Om gebruik te maken van deze dienstverlening, is het nodig dat de IBD actuele contactgegevens heeft van de gemeentelijke ACIB en de VCIB. Deze kunnen op de IBDaansluitformulieren ACIB en VCIB worden ingevuld.
Bij sommige incidenten is het mogelijk dat bij de uitvoering van de dienstverlening vertrouwelijke gegevens worden uitgewisseld. Dit doet de IBD alleen met een VCIB. Daarnaast is het noodzakelijk dat gemeenten, die van deze dienstverlening gebruik maken, aandacht hebben voor de inrichting en operationalisering van hun interne Incident Management Proces. Om de dienstverlening Kwetsbaarheidswaarschuwingen op maat te kunnen verstrekken heeft de IBD gegevens nodig over de hard- en software die gemeenten gebruiken. Deze informatie kan de gemeente delen met de IBD in een bepaald formaat genoemd de gemeentelijke ICT-foto. Met behulp van deze foto is de IBD in staat het aantal uit te sturen Kwetsbaarheidswaarschuwingen sterk te reduceren, zodat een gemeente niet wordt overspoeld met informatie. In het document ‘Aansluiten bij de IBD’ staat beschreven hoe een gemeentelijke ICT-foto aangeleverd kan worden. Bij wijzigingen in contactgegevens en ICT-componenten is de gemeente zelf verantwoordelijk deze door te geven aan de IBD. Dit kan door de IBD een nieuwe versie van de IBD aansluitformulieren ACIB/VCIB/Kwetsbaarheidswaarschuwingen of de gemeentelijke ICT-foto te sturen.
3.6 Bereikbaarheid IBD De Helpdesk van de IBD is te bereiken tijdens kantooruren van 9:00 tot 17:00 uur. Tijdens deze kantooruren reageert de IBD binnen 30 minuten op een incidentmelding. Buiten kantooruren is de IBD bereikbaar voor spoedeisende meldingen en zal de IBD binnen 60 minuten reageren op een telefonische oproep.
12
4
Incidentdetectie
4.1 Inleiding De IBD waarschuwt gemeenten wanneer bekend is dat deze gemeenten mogelijk geïnfecteerde systemen hebben. Informatie over besmettingen is afkomstig van het NCSC of derde partijen. Het NCSC maakt gebruik van open en gesloten bronnen waarin veelal IPadressen en URL’s van systemen zijn opgenomen. Het NCSC kan aan de hand van deze informatie automatisch vaststellen of gemeenten zijn getroffen en informeert de IBD hierover.
Dit hoofdstuk beschrijft de dienstverlening behorend bij de IBDverantwoordelijkheid ‘Incidentdetectie’. Gemeenten kunnen pas van deze dienstverlening gebruik maken als ze aan de IBD een overzicht hebben verstrekt van hun IP-adressen en URL’s.
4.2 Doel van de dienst Het doel van Incidentdetectie voor gemeenten is het tegengaan van verdere verspreiding van mogelijke virussen, wormen, botnetten en aanvallen van buitenaf. De IBD waarschuwt die gemeenten waarvan bekend is dat ze geïnfecteerde systemen hebben.
4.3 Dienstbeschrijving De IBD waarschuwt gemeenten wanneer bij de IBD of bij het NCSC bekend is dat deze gemeenten geïnfecteerde systemen hebben. Informatie over besmettingen, afkomstig van open en gesloten bronnen, kan bestaan uit IP-adressen en URL’s van systemen. De IBD en het NCSC kunnen aan de hand van deze informatie automatisch vaststellen of organisaties zijn getroffen. Een voorwaarde hiervoor is dat de IBD beschikt over de door de gemeente gebruikte IP-adressen en URL’s. Na het invoeren van de aangeleverde gegevens wordt de organisatie van mogelijke besmettingen op de hoogte gesteld. Deze dienst wordt uitgevoerd in samenwerking met het NCSC. Het NCSC gebruikt geautomatiseerde systemen om door open en gesloten bronnen aangeleverde databestanden te doorzoeken op bekende IP-adressen, domeinnamen en URL’s van organisaties uit de doelgroep van het NCSC. Een voorbeeld van een databestand is een lijst met IP-adressen van geïnfecteerde systemen. Het NCSC controleert automatisch of door
13
organisaties doorgegeven IP-adressen voorkomen in het ingevoerde databestand. Als er een ‘match’ wordt gevonden met een gemeente, draagt het NCSC zorg voor een notificatie aan de IBD. De IBD waarschuwt op haar beurt de door een gemeente aangestelde vertrouwde contactpersoon (VCIB). De gemeente is zelf verantwoordelijk voor de impactanalyse en verdere afhandeling van de notificatie. Het NCSC en de IBD controleren informatie met IP-adressen op incidentele basis en behandelen de door gemeenten aangeleverde informatie vertrouwelijk.
4.4 Gebruik maken van deze dienst Om er voor te zorgen dat gemeenten optimaal gebruik kunnen maken van de dienstverlening op het gebied van Incidentdetectie, is het van belang dat de IBD in ieder geval beschikt over actuele contactgegevens van: de Algemene Contactpersoon Informatiebeveiliging (ACIB) en de Vertrouwde Contactpersoon Informatiebeveiliging (VCIB) van de gemeente. De vertrouwde contactpersoon wordt geïnformeerd wanneer de IBD informatie heeft over geïnfecteerde systemen binnen uw gemeente. Uitleg over de invulling van de rol van de ACIB en de VCIB wordt gegeven in het document ‘Aansluiten bij de IBD’. Zijn de ACIB en de VCIB aangesteld dan kan de gemeente een lijst met gemeentelijke IPadressen en URL’s opstellen. Deze worden door de gemeente verstrekt middels het
‘Overzicht van gemeentelijke IP-adressen en URL’s’, dat versleuteld per e-mail verstuurd wordt naar de IBD. U ontvangt een bevestiging zodra u bent opgenomen in het systeem. Gemeenten dienen zelf bij te houden wat de gebruikte domeinnamen, URL’s en IP-adressen zijn en wijzigingen hierin door te geven aan de IBD.
De IBD waarschuwt in geval van besmetting de VCIB van de gemeente. De gemeente is zelf verantwoordelijk voor de impactanalyse en verdere afhandeling van de waarschuwing.
14
4.5 Een vertrouwde contactpersoon De informatie die bij het uitvoeren van deze dienstverlening wordt uitgewisseld is soms gevoelig en/of vertrouwelijk van aard. Het NCSC en de IBD behandelen de door gemeenten aangeleverde informatie vertrouwelijk en verwachten dat ook van gemeenten. Om van deze dienstverlening gebruik te maken, moet een gemeente een VCIB aanstellen. Dit kan gebeuren door een daartoe bevoegd vertegenwoordiger van de gemeente. Dit kan de burgemeester of de gemeentesecretaris zijn.
4.6 Bereikbaarheid IBD De Helpdesk van de IBD is te bereiken tijdens kantooruren van 9:00 tot 17:00 uur. Tijdens deze kantooruren reageert de IBD binnen 30 minuten op een incidentmelding. Buiten kantooruren is de IBD bereikbaar voor spoedeisende meldingen en zal de IBD binnen 60 minuten reageren op een telefonische oproep.
15
5
Incidentcoördinatie
5.1 Inleiding Een incident kan op verschillende manieren bekend worden bij de IBD. Gemeenten kunnen zelf incidenten melden, maar de IBD kan ook uit andere bronnen te weten komen dat zich een incident bij één of meer gemeenten voordoet. De IBD adviseert de betreffende gemeenten over de technische en organisatorische afhandeling van incidenten. Zo nodig ondersteunt de IBD gemeenten, in samenwerking met het NCSC, met nadere technische analyses van bijvoorbeeld netwerkverkeer of kwaadaardige software. Om van deze dienst gebruik te maken heeft de IBD verschillende contactpersonen nodig. Dit hoofdstuk beschrijft de dienstverlening behorend bij de IBD-verantwoordelijkheid ‘Incidentcoördinatie’.
5.2 Doel van de dienst Het doel van de dienst Incidentcoördinatie voor gemeenten is het beperken van de technische-, financiële- en imagoschade bij gemeenten en in het geval incidenten zich voordoen en het voorkomen van verspreiding van incidenten.
5.3 Dienstbeschrijving De IBD is 24-uur per dag, zeven dagen per week bereikbaar om hulp te bieden bij ICTbeveiligingsincidenten bij de bij haar aangesloten gemeenten. Wanneer een incident wordt gemeld, adviseert de IBD gemeenten over de technische en organisatorische afhandeling.
Het gaat bij deze dienstverlening om de coördinatie van informatiebeveiligingsincidenten. Bijvoorbeeld om grootschalige verstoringen van bedrijfsnetwerken, aanvallen door hackers, DDoSaanvallen of virusbesmettingen. Bij melding van een incident door een gemeente geeft de IBD zo nodig direct een telefonisch advies. Aanvullend ondersteunt de IBD de getroffen gemeente met nadere technische analyses van bijvoorbeeld netwerkverkeer of kwaadaardige software. Bij ernstige en/of complexe incidenten kan de IBD de hulp inroepen van het NCSC en/of de gemeente adviseren om een marktpartij in te schakelen.
16
Daarnaast fungeert de IBD als centraal meldpunt voor gemeenten, maar ook voor derde partijen namens de gemeenten, zoals andere Computer Emergency Response Teams (CERTs), Internet Service Providers (ISPs) en leveranciers. Zij kunnen bij de IBD beveiligingsincidenten melden die een of meer gemeenten treffen, een gemeente als doel c.q. bron hebben of anderszins aan hen gerelateerd zijn. De IBD assisteert door middel van advies, technisch onderzoek of het op een andere manier inzetten van technische expertise en werkt hiermee samen met het NCSC of andere ketenpartners. Dit betekent dat de IBD meldingen filtert en deze als het nodig is doorgeeft aan gemeenten, maar ook van gemeenten richting het NCSC. De vervolgcommunicatie zal afhankelijk van afspraken verlopen via de IBD of direct tussen de betrokken partijen, waarbij de IBD te allen tijde op de hoogte blijft van de voortgang, om een compleet beeld van het incident te houden. De IBD assisteert gemeenten in geval van grote ICT-beveiligingsincidenten. Hierbij gaat het bijvoorbeeld om grootschalige verstoringen van interne of bedrijfsnetwerken, aanvallen door hackers, (D)DOS aanvallen of virusbesmettingen. De IBD beschikt over kennis en gekwalificeerd personeel om gemeenten te assisteren met: Concreet advies over de afhandeling van incidenten Telefonische ondersteuning van de gemeentelijke technische medewerkers Ondersteuning van het gemeentelijk management door ervaren Incident Response Handlers Nadere technische analyse van netwerkverkeer of kwaadaardige software in samenwerking met het NCSC Advies over crisiswoordvoering
De IBD levert deze dienst conform het algemeen ‘best effort’ model dat geldt binnen de CERT gemeenschap. Tijdens kantooruren zal de IBD binnen 30 minuten reageren op een incidentmelding. Buiten kantooruren zal de IBD binnen 60 minuten reageren op een telefonische oproep. Een apart onderdeel van deze dienst is een reguliere nieuwsbrief met daarin een overzicht van de verstrekte adviezen en ander nieuws en wetenswaardigheden op het gebied van de gemeentelijke informatiebeveiliging.
17
5.4 Gebruik maken van deze dienst De IBD is voor gemeenten 24 uur per dag, 7 dagen per week, bereikbaar voor het melden van incidenten op telefoonnummer 070-373 8011.
Om er voor te zorgen dat gemeenten optimaal gebruik kunnen maken van de dienstverlening op het gebied van Incidentcoördinatie, is het van belang dat de IBD in ieder geval beschikt over actuele contactgegevens van: de Algemene Contactpersoon Informatiebeveiliging (ACIB) en de Vertrouwde Contactpersoon Informatiebeveiliging (VCIB) van de gemeente. Bij sommige incidenten is het mogelijk dat bij de uitvoering van de dienstverlening vertrouwelijke gegevens worden uitgewisseld. Dit doet de IBD alleen met een VCIB. Het is van groot belang dat gemeenten het interne Incident Management Proces ingericht en operationeel hebben, omdat incidentmeldingen vaak een spoedeisend karakter hebben waarbij gestructureerde opvolging noodzakelijk is.
5.5 Een vertrouwde contactpersoon De informatie die bij het uitvoeren van deze dienstverlening wordt uitgewisseld is soms gevoelig en/of vertrouwelijk van aard. Het NCSC en de IBD behandelen de door gemeenten aangeleverde informatie vertrouwelijk en verwachten dat ook van gemeenten. Om van deze dienstverlening gebruik te maken, moet een gemeente een VCIB aanstellen. Dit kan gebeuren door een daartoe bevoegd vertegenwoordiger van de gemeente. Dit kan de burgemeester of de gemeentesecretaris zijn.
5.6 Bereikbaarheid IBD De Helpdesk van de IBD is te bereiken tijdens kantooruren van 9:00 tot 17:00 uur. Tijdens deze kantooruren reageert de IBD binnen 30 minuten op een incidentmelding. Buiten kantooruren is de IBD bereikbaar voor spoedeisende meldingen en zal de IBD binnen 60 minuten reageren op een telefonische oproep.
18
6
Privacy
De IBD behandelt door gemeenten aangeleverde gegevens vertrouwelijk en conform de nationale wetgeving. Geleverde persoonsgegevens zullen uitsluitend voor de uitvoering van de diensten van de IBD en NCSC worden gebruikt. Bij gebruikmaking van de hierin beschreven dienstverlening gaan organisaties er mee akkoord dat de IBD en het NCSC de aangeleverde informatie bewaren en gebruiken voor de uitvoering van de betreffende producten en diensten.
19
7
Definities ACIB (Algemeen Contactpersoon Informatiebeveiliging): Dit is iemand in de gemeentelijke ICT-operatie die Kwetsbaarheidswaarschuwingen en algemene waarschuwingen inhoudelijk beoordeelt en bepaalt of, en zo ja welke actie er moet worden ondernomen naar aanleiding van een Kwetsbaarheidswaarschuwing. Chief Information Security Officer (CISO): Dit is de persoon die binnen de gemeente verantwoordelijk is voor de ontwikkeling van strategie en beleid van informatiebeveiliging. Configuratiemanagement: Het proces dat alle componenten en daaraan gerelateerde documentatie van de ICT-infrastructuur onder controle brengt. Contactpersoon van hostingpartij: Als er sprake is van hosting van (een deel van) uw website door een andere partij wil de IBD graag de contactgegevens van deze partij. Bij incidenten waar meerdere gemeenten bij betrokken zijn kan de IBD besluiten om behalve met de getroffen gemeenten ook rechtstreeks contact opnemen met de hostingpartij. (Distributed) Denial of Service aanval: Poging om een computer, computernetwerk of dienst onbruikbaar te maken voor de bedoelde gebruiker. Gemeentelijke ICT-foto: Een door een gemeente ingevulde ICT-foto. Zie document ‘Aansluiten bij de IBD’. Hacking aanval: Het vinden van toepassingen die niet door de maker van het middel bedoeld zijn, speciaal met betrekking tot computers. Hostingpartij: Een aanbieder van webruimte, webdiensten en het onderhoud van bestanden voor websites van bedrijven of individuen die zelf geen eigen webserver hebben. IBD-foto: Het totaaloverzicht van alle hardware, software en operating systemen die door gemeenten aan de IBD zijn geleverd.
20
ICT-beveiligingsincidenten: Een ICT gerelateerd beveiligingsvoorval dat is gemeld of ontdekt waarbij zich een acuut gevaar voor schade aan ICTsystemen of elektronische informatie voordeed, betrekking hebben op een of meer gemeenten die aangesloten zijn bij de IBD. ICT-beveiligingsincidenten voorbeelden: o
(D)DoS aanval
o
Gecompromitteerde informatie: wijziging of vernietiging van informatie
o
Gecompromitteerd systeem: open relay, open Proxy, cross site scripting
o
Hacking / Cracking (intern / extern, portscan, sniffing, password guessing)
o
Malware uitbraak: Virus / Worm uitbraak
o
Gecompromitteerd systeem: defacing
o
Malware: Virus, worm, Trojaans paard, bot, spyware etc.
o
E-mail misbruik: SPAM, Spoofing
IP-adres: Elke computer die is aangesloten op het internet heeft een nummer waarmee deze zichtbaar is voor alle andere computers op het internet, het zogenaamde IP-adres. Dit nummer is nodig zodat computers elkaar kunnen vinden en identificeren. Incident Management Proces: Procesbeschrijving waarbij incidenten (storingen, verzoeken en vragen) gestructureerd worden afgehandeld. King softwarecatalogus: Een online informatiesysteem waarin het (verwachte) softwareaanbod voor gemeenten van ruim 90 ICT-leveranciers is opgenomen. Per softwareproduct is aangegeven wat de globale functionaliteit is, wat de productplanning is en welke standaarden worden ondersteund. Kwetsbaarheid: Een zwakheid die een aanvaller de mogelijkheid geeft om de beveiliging van een systeem te corrumperen. Lege foto: Het overzicht van de meest gebruikte hardware, software en operating systemen dat aan gemeenten wordt verstrekt tijdens het aansluitproces. NCSC: Het Nationaal Cyber Security Centrum te Den Haag.
21
Patchmanagement: Een omgeving van management systemen die zorgt voor het verwerven, testen en installeren van patches. Een patch is een computerbestand waarmee een bestaand bestand op een computersysteem geupdate wordt. Persvoorlichter/Woordvoerder: De persoon die de gemeentelijke woordvoering doet kan bij incidenten worden gebeld door de IBD met concrete informatie en tips over (crisis)-communicatie. URL: Een gestructureerde naam die verwijst naar een stuk data. In deze naam is alle informatie opgenomen over de benodigde techniek om de betreffende gegevens te bereiken. VCIB (Vertrouwde Contactpersoon Informatiebeveiliging): Dit is iemand die door een bevoegd vertegenwoordiger van de gemeente is aangesteld om vertrouwelijke gegevens op het gebied van informatiebeveiliging te mogen behandelen in de contacten tussen de gemeente en de IBD. Virusbesmetting: Een besmetting door schadelijke software (malware) van een machine.
22
INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD) NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG HELPDESK 070 373 80 11 ALGEMEEN 070 373 80 08 FAX 070 363 56 82
[email protected] WWW.KINGGEMEENTEN.NL
23
