Protocol beveiligingsincidenten en datalekken
Inleiding
Het nemen van passende technische en organisatorische maatregelen om bedrijfs- en persoons-gegevens van onze klanten te beveiligen is naast het creëren van bewustwording en het ervoor zorgen dat personen hun rechten kunnen uitoefenen, één van de belangrijkste aandachtsgebieden die onder het gegevensbeschermingsbeleid van VTM valt. (Overkoepelend beleid Compliance & Security VTM). Het beheer van beveiligingsincidenten en datalekken is één van de maatregelen die moet zorgen voor de beveiliging van bedrijfs- en persoons-gegevens.
Beveiligingsincidenten zijn helaas niet te voorkomen; 100% beveiliging is een utopie. De vraag is dan ook niet zozeer of er een beveiligingsincident met een hoge impact zal plaatsvinden, maar wanneer. Beveiligingsincidenten kunnen leiden tot onderbreking van werkzaamheden, reputatieschade en aanzienlijke financiële schade als gevolg van het bestrijden van een incident en het herstellen naar een normale situatie. Er kan sprake zijn van schadeclaims van klanten en personen ingeval van nalatigheid of van een grote inbreuk op de beveiliging van persoonsgegevens. Indien VTM verzuimd regels te stellen of tekortschiet in de uitvoer hiervan dan loopt VTM ook nog eens kans op een aanzienlijke boete van de toezichthouder.
Als het gaat om inbreuk op de beveiliging van of verlies van persoonsgegevens is vanaf 2016 de Meldplicht datalekken van toepassing als toevoeging op de Wet bescherming persoonsgegevens (Wbp). Hiermee heeft de Nederlandse wetgever een voorsprong genomen op de Europese regels omtrent datalekken, welke zijn opgenomen in de Europese Algemene Verordening Gegevensbescherming (AVG), van kracht mei 2018. De meldplicht vereist dat VTM een ernstig datalek onverwijld meldt bij de Autoriteit Persoonsgegevens (AP) en aan de betrokkenen (lees: persoon) wier persoonsgegevens het betreft.
Reden te meer om het beheer van informatiebeveiligingsincidenten structureel te borgen in de organisatie, rekening houdend met de eisen die gesteld worden aan de meldplicht datalekken. Dit document behandelt de organisatie en activiteiten die nodig zijn voor een goed werkend incidentenbeheer waarbij de nadruk ligt om snel, doeltreffend en efficiënt te reageren op het bestrijden en afhandelen van een beveiligingsincident of datalek.
Doel, afbakening en doelgroep
Incidentenbeheer is het geheel van organisatorische maatregelen dat ervoor moet zorgen dat een incident adequaat gedetecteerd, gemeld en behandeld wordt om daarmee de kans op uitval van de bedrijfsvoering of schade ontstaan als gevolg van het incident te minimaliseren dan wel te voorkomen. Een incident is een gebeurtenis die de bedrijfsvoering negatief kan beïnvloeden.
Incidentenbeheer gaat eveneens over het detecteren van incidenten. Dat vereist dat de organisatie voldoende maatregelen heeft getroffen om zoveel mogelijk incidenten in beeld te kunnen krijgen door onder meer gebruik te maken van logging en controle daarop, antivirussoftware en een actief werkend Intrusion detection systeem (IDS) op het data netwerkverkeer, maar ook meldingen van de NCSC op mogelijke dreigingen zijn aan te merken als een (bijna) beveiligingsincident. Daarnaast; personeel behoort getraind te zijn op het herkennen van beveiligingsincidenten en te weten wat zij vervolgens moeten doen.
Het beheer van informatiebeveiligingsincidenten heeft betrekking op alle medewerkers en inhuurkrachten die werkzaam zijn bij VTM en op ketenpartners en bewerkers van persoonsgegevens waar uitwisseling van informatie plaatsvindt voor zover de verantwoordelijkheid voor het oplossen van een incident en herstel naar een normale situatie bij VTM ligt.
Organisatie incidentbeheer
Incidentenbeheer dient structureel ingebed te worden in de interne organisatie van VTM. Naast het melden en afhandelen van beveiligingsincidenten is periodieke rapportage over incidentenbeheer aan het management en bestuur van groot belang. Zo kunnen de nadelige gevolgen van incidenten en het ontstane inzicht als indicatie over de mate van gegevensbescherming bij VTM in kaart gebracht worden, hoewel niet alle beveiligingsincidenten veroorzaakt worden door nalatigheid of tekortkomingen in de beveiliging. Het helpt de organisatie in ieder geval het beveiligingsniveau waar nodig aan te passen en het biedt concrete voorbeelden voor het verhogen van bewustwording bij het personeel over gegevensbescherming.
De Chief Information Security Officer (CISO) is, namens VTM, verantwoordelijk voor het periodiek verstrekken van informatie over beveiligingsincidenten en gebruikt hiervoor onder meer als input het incidentenregistratiesysteem van de servicedesk (AFAS ERP).
Servicedesk
Alle meldingen van de medewerkers in de organisatie, door bijvoorbeeld een e-mail te zenden, worden automatisch geregistreerd in de servicedesk van het team ICT en dit team handelt deze meldingen in de meeste gevallen ook af. Ook gaan de meldingen die via de NCSC bij de Vertrouwde Contactpersonen Informatiebeveiliging (VCIB) binnenkomen zo nodig het systeem van de servicedesk in.
Beveiligingsincidenten kunnen op diverse manieren worden gemeld. Hoe de toegang ook plaatsvind, de meldingen dienen te worden geregistreerd in de servicedesk. De voortgang kan worden bewaakt en de samenwerking tussen CISO en IT wordt hiermee optimaal ingekleed. CISO en FG hebben toegang tot de melding van het incident en dienen deze onder de eigen verantwoordelijkheid op te pakken en te behandelen. Voor de aanmelding tot en met de afhandeling van een incident maakt het team IT gebruik van een daarop afgestemde ITIL procedure.
De procedure kent de volgende stappen:
1 Meld intern en prioriteer
2 Mobiliseer CSIRT
3 Beperk schade en elimineer oorzaak
4 Herstel oude situatie
5 Informeer doelgroepen/betrokkenen
6 Evalueer, rapporteer en documenteer
