Een goede voorbereiding is het halve werk. Met een duidelijk responsplan weet iedereen wat zijn of haar taak is en welke stappen hieronder vallen. Een (D)DoS-responsplan is meestal onderdeel van het gewone crisisplan, maar kan ook onderdeel of aanvulling zijn op de bijsluiter (D)DoS en heeft de onderstaande onderdelen.
De structuur van het Responsplan kan als onderstaand worden opgestelt:
Vóór (D)DoS-aanvallen:
Bepaal wanneer je iets een incident vindt en zorg voor bijbehorende actieplannen. Denk hierbij aan de volgende vraagstukken:
Hoelang wacht je tot je actie onderneemt (enkele minuten of enkele uren)?
Heb je een incident als het internet traag is of pas als het niet meer werkt?
Heb je een incident als slechts een gedeelte van de site of de gehele website ontoegankelijk is?
Welke type aanvallen vallen onder welke incident categorie?
Stel een team samen (op basis van beschikbaarheid, kennis en vaardigheden). Zorg dat iedereen weet wat zijn rol is, weten wanneer ze in actie moeten komen, zijn ze getraind en klaar om hun rol uit te voeren.
Maak een lijst van interne contacten en externe contacten (internet provider).
Creëer een overzicht van netwerk/infrastructuur, zodat je bij een aanval sneller kan achterhalen waar het probleem zit.
Indien logging en monitoring in eigen beheer is, zorg dan voor een overzicht van je basisgedrag ‘normaal’ verkeer.
Regel je incidentenregistratie (meer informatie hierover is te vinden bij het onderdeel beveiligingsincidenten en datalekken van de Aanpak IBP).
Neem in je beleid/bijsluiter op welke maatregelen je neemt tegen de aanvaller(s).
Maak plannen voor interne en externe communicatie.
Zorg voor een back-up plan/ alternatieven om het onderwijs door te laten gaan. Hiervoor kan bijvoorbeeld gekozen worden voor fysiek/offline leermateriaal, een back-up lijn (apart IP-adres) voor examens, et cetera. Bedenk voor het afnemen van een digitale toets of deze in geval van een (D)DoS-aanval uitgesteld kan worden, of dat dit ook offline of op papier kan.
Bewaar al je noodplannen, -lijstjes, etc. ook in een offline variant zodat je er ook nog bij kan wanneer de internetverbinding plat ligt.
Tijdens een (D)DoS-aanval:
Stel eerst vast wat voor incident het is (is het een wel of geen (D)DoS-aanval?).
Coördineren van mitigatie, oplossing en herstel.
Tijdige communicatie met provider, management, leerlingen (en ouders), medewerkers en politie.
Na een (D)DoS-aanval:
Verzamelen van logs en bewijsmateriaal (indien afgesproken via de provider).
Evaluatie en eventuele verbetering van het responsplan.
Continuïteit:
Monitoren van trends van bedreigingen (indien in eigen beheer).
Monitoren trends in verkeer (indien in eigen beheer).
Test DDoS-responsplan.
Tip
Om je onderwijs door te kunnen laten gaan, zou je voor de korte termijn gebruik kunnen maken van een back-uplijn, bijvoorbeeld voor de digitale examens. Hierbij is het van belang dat deze back-uplijn alleen door afgesloten stations gebruikt wordt (dus niet door andere devices) voor de tijdkritische zaken, opdat het IP van de lijn niet kan uitlekken. Sta in de centrale firewall alleen toegang tot de systemen toe waar bijv. de toetsen gehouden worden.