NL 
EN 
FR Beleid en procedure voor beveiligingsincidenten en gegevensinbreukbeheer
Beleid en procedure voor beveiligingsincidenten en gegevensinbreukbeheer
14 april 2025
Incident Management Plan
Inleiding
Dit plan beschrijft de procedures voor het identificeren van, reageren op, beperken van en herstellen van cyberbeveiligingsincidenten die van invloed zijn op monecopote.com. Het doel is om ervoor te zorgen dat het platform goed functioneert in overeenstemming met de geldende wet- en regelgeving en om het te beschermen tegen cyberbedreigingen.
Baticlick zet zich in om de nodige zorg en aandacht te besteden aan (i) het nemen van preventieve maatregelen tegen cyberincidenten, (ii) het adequaat afhandelen ervan wanneer ze zich voordoen, (iii) het zo nodig verstrekken van informatie aan personeel en andere betrokken partijen (gebruikers, verkopers, klanten, partners, aannemers, leveranciers, autoriteiten) en (iv) het zo snel mogelijk herstellen van toegang en activiteiten.
Incident categorieën
Potentiële bedreigingen zijn onder andere :
DDoS-aanvallen - De beschikbaarheid van websites verstoren.
Malware-infecties - Het injecteren van kwaadaardige code in het platform.
Onbevoegde toegang - Inbreuk op gegevens of overname van accounts.
Betalingsfraude - Valse transacties die gevolgen hebben voor gebruikers.
Phishing/Social Engineering - Aanvallen op beheerders of gebruikers.
Preventieve maatregelen die in deze context in aanmerking moeten worden genomen, zijn onder meer :
Regelmatige beveiligingsaudits - Periodieke penetratietests uitvoeren.
Sterke toegangscontrole - Gebruik MFA en rolgebaseerde rechten.
Gegevensversleuteling - gevoelige informatie beveiligen.
Web Application Firewall (WAF) - Beschermen tegen aanvallen.
Back-up en noodherstel - Zorg ervoor dat dagelijkse back-ups veilig worden opgeslagen.
Detectie en rapportage van incidenten gebeurt als volgt :
Monitoring van het verkeer en de logbestanden door een externe serviceprovider
Rapportage door gebruikers via een contactformulier om verdachte activiteiten te melden
Geautomatiseerde waarschuwingen voor abnormaal verkeer of aanmeldpogingen
Stappen voor respons bij incidenten
Wanneer een incident wordt gedetecteerd, is het cruciaal om een gestructureerde aanpak te volgen om de dreiging effectief in te dammen en te beperken. Het volgende reactieproces van vijf fasen wordt geïmplementeerd:
- Identificatie en classificatie (om te bepalen of er een incident heeft plaatsgevonden en de ernst ervan te beoordelen).
Initiële detectie door systeemcontrole en beoordeling van gebruikersrapporten over verdachte activiteiten (bijv. onbevoegd inloggen, frauduleuze transacties)
Loggen en analyseren van gegevens door het verzamelen van logbestanden van betrokken systemen, waaronder toegangslogbestanden, foutenlogbestanden en netwerkverkeer, en door aanvalsvectoren te identificeren (bijv. phishing, malware, SQL-injectie).
Classificeer het incident: Lage ernst voor kleine beveiligingskwesties (bijv. mislukte inlogpogingen) ; gemiddelde ernst voor incidenten met potentiële impact (bijv. kleinschalige malware-infectie) ; hoge ernst voor actieve bedreiging die gebruikers of bedrijfsactiviteiten aantast ; kritieke ernst voor grote beveiligingsinbreuken (bijv. gegevenslek, ransomware-aanval)
Respons team activeren door de incident response lead en IT security op de hoogte te stellen
2. Insluiting (naar lde verspreiding en schade van het incident te beperken en tegelijkertijd forensisch bewijs te bewaren.
Acties op korte termijn:
Netwerkcontrole (Blokkeer schadelijke IP's of beperk de toegang indien nodig geografisch; sluit getroffen systemen af van het hoofdnetwerk)
Accountbeheer (gecompromitteerde gebruikers-/beheeraccounts uitschakelen; wachtwoorden van gecompromitteerde gebruikers opnieuw instellen)
Applicatiebeperking (tijdelijk uitschakelen van aangetaste websitefuncties (bijv. betalingsgateway, orderverwerking); bijwerken van firewallregels om kwaadaardig verkeer te blokkeren.
Acties op lange termijn :
Back-ups beveiligen (controleer of recente back-ups ongecompromitteerd zijn; verplaats indien nodig het verkeer naar een back-upserver)
Bewijs bewaren (kopieën maken van de logboeken van het getroffen systeem voor forensische analyse; alle acties tijdens de insluiting documenteren)
3. Uitroeiing en herstel (om de hoofdoorzaak van het incident weg te nemen en de normale werking te herstellen.
Stappen voor uitroeiing:
Identificeer de aanvalsvector (analyseer logbestanden, malwarehandtekeningen en aanvalspatronen; bepaal of een menselijke fout, kwetsbaarheid van het systeem of een aanval van buitenaf de oorzaak was)
Kwetsbaarheden verhelpen (software-updates, beveiligingspatches en configuratiecorrecties toepassen; firewall-, verificatie- en API-beveiliging versterken)
Verwijdering van malware (antivirus/malware scans uitvoeren op aangetaste systemen; geïnfecteerde bestanden verwijderen of in quarantaine plaatsen)
Herstelstappen:
Hersteldiensten (opnieuw installeren van aangetaste toepassingen indien nodig; gegevens herstellen vanaf back-ups, waarbij ervoor wordt gezorgd dat malware niet opnieuw wordt geïnfecteerd)
Controleer op resterende bedreigingen (voer penetratietests na herstel uit. verhoog logboekbewaking voor ongewoon gedrag)
4. Communicatie en kennisgeving (voor tijdige en transparante communicatie met belanghebbenden)
Interne communicatie (informeer het management, de IT- en juridische teams; houd een statusupdatevergadering met het responsteam)
Externe communicatie (getroffen gebruikers op de hoogte stellen; gebruikers adviseren om wachtwoorden opnieuw in te stellen en 2FA in te schakelen; indien wettelijk verplicht, overtredingen melden bij gegevensbeschermingsautoriteiten; externe leveranciers op de hoogte stellen als hun diensten zijn getroffen)
5. Evaluatie na het incident en geleerde lessen (om de beveiliging te verbeteren om toekomstige incidenten te voorkomen)
Acties:
Een incidentbeoordeling uitvoeren (logboeken, aanvalsvectoren en de effectiviteit van reacties analyseren; hiaten in detectie-, insluitings- en herstelprocessen identificeren)
Bevindingen documenteren (een gedetailleerd rapport maken met een analyse van de hoofdoorzaak en de te nemen maatregelen; verbeteringen voor het beveiligingsbeleid aanbevelen)
Beveiligingsmaatregelen verbeteren (firewallregels, IDS/IPS-instellingen en toegangscontroles bijwerken; extra training voor personeel implementeren om cyberbedreigingen te herkennen)
Contact- en reactieteam
Incident response lead: Gaëtan Bio
Contactpersoon voor IT-beveiliging :Gaëtan Bio
Juridisch contact : Gaëtan Bio
Bijlage 2: Instructies voor Incident response voor IT-systemen
DO's
Isoleer het getroffen systeem onmiddellijk om verdere problemen te voorkomen. Gebruik telefoon in plaats van e-mail. Bewaar alle logboeken, zoals firewall- en systeemlogboeken. Maak reservekopieën van beschadigde bestanden en sla deze veilig op. Bepaal waar het getroffen systeem zich in het netwerk bevindt. Maak een lijst van alle systemen die verbonden zijn met het getroffen systeem. Identificeer programma's die op het systeem draaien, de impact van het probleem en de toegestane uitvaltijd. Als het systeem als bewijsmateriaal wordt verzameld, zorg er dan voor dat de services doorgaan door gebruik te maken van back-ups of een redundant systeem.
DON'Ts
Bespreek het probleem met niemand anders dan uw manager of aangewezen contactpersonen. Verwijder of wijzig geen bestanden op het betreffende systeem. Neem geen contact op met de verdachte persoon. Voer geen forensische analyse uit.
Bijlage 3: Overzicht van privacyrisicobeoordelingen
| Factor | RISICORATING | ||
| LAAG | MEDIUM | HOOG | |
| Aard van persoonlijke informatie | Openbaar beschikbare persoonlijke informatie die niet is gekoppeld aan andere informatie | Persoonlijke informatie die uniek is voor de organisatie en die geen medische of financiële informatie is | Medische, psychologische of financiële informatie of unieke identificatie van een overheidsinstantie nummer |
| Relaties | Onopzettelijke bekendmaking aan contractant die schending heeft gemeld en vernietiging of teruggave van de informatie heeft bevestigd | Onopzettelijke bekendmaking aan een vreemdeling die de inbreuk meldde en bevestigde vernietiging of teruggave van de informatie | Openbaarmaking aan een persoon met enige relatie aan of kennis van de getroffen persoon of personen, in het bijzonder onthullingen aan gemotiveerde familieleden, buren of collega's |
| Diefstal | |||
| Oorzaak van de inbreuk | Technische fout die is opgelost | Onopzettelijk verlies of openbaarmaking | Opzettelijke schending. Oorzaak onbekend Technische fout - indien niet opgelost |
| Toepassingsgebied | Zeer weinig getroffen personen | Bepaalde en beperkte groep getroffen individuen | Grote groep of hele groep niet geïdentificeerd (meer dan 100) |
| Inperkingsmaatregelen | Gegevens waren voldoende versleuteld Draagbaar opslagapparaat werd op afstand gewist en er is bewijs dat het apparaat niet werd geopend voordat het werd gewist Hard copy bestanden of apparaat werden vrijwel onmiddellijk hersteld en alle bestanden lijken intact en/of ongelezen | Draagbaar opslagapparaat werd op afstand gewist binnen enkele uren na verlies, maar er is geen bewijs om te bevestigen dat het apparaat niet werd geopend voordat het werd gewist Hard copy bestanden of apparaat zijn hersteld maar er is voldoende tijd verstreken tussen het verlies en herstel dat de gegevens hadden kunnen geraadpleegd | Gegevens waren niet versleuteld Gegevens, bestanden of apparaat zijn niet hersteld Gegevens die het risico lopen verder openbaar te worden gemaakt, met name via de massamedia of online |
| Voorzienbare schade door de schending | Geen voorzienbare schade als gevolg van de schending | Verlies van zakelijke of werkgelegenheidskansen, pijn, vernedering, schade aan reputatie of relaties, sociale/relationele schade Verlies van vertrouwen in My Eco Best Friend Verlies van activa van My Eco Best Friend Verlies van contracten of zaken van My Eco Best Friend Financiële blootstelling |
