Incident Response Draaiboek

Overzicht

Dit draaiboek beschrijft de stappen voor het detecteren, beheersen en herstellen van security incidenten op het Noveu platform.

Incident Taxonomie

Categorieën

Categorie	Voorbeelden	Typische Severity
Malware	Ransomware, trojans, virussen	Sev1-2
Unauthorized Access	Credential theft, privilege escalation	Sev1-2
Data Breach	Exfiltratie, ongeautoriseerde disclosure	Sev1
DDoS	Volumetric, application layer	Sev2-3
Phishing	Credential harvesting, BEC	Sev2-3
Insider Threat	Data theft, sabotage	Sev1-2
Misconfiguration	Exposed data, weak controls	Sev2-3

Severity Bepaling

                        ┌─────────────────────────────┐
                        │     IMPACT ASSESSMENT       │
                        └─────────────────────────────┘
                                     │
            ┌────────────────────────┼────────────────────────┐
            ▼                        ▼                        ▼
     ┌───────────┐            ┌───────────┐            ┌───────────┐
     │ Hoeveel   │            │ Welke     │            │ Reputatie │
     │ systemen? │            │ data?     │            │ schade?   │
     └───────────┘            └───────────┘            └───────────┘
            │                        │                        │
            ▼                        ▼                        ▼
     Alle: Sev1              Gevoelig: Sev1           Publiek: Sev1
     Meerdere: Sev2          Intern: Sev2             Beperkt: Sev2
     Enkel: Sev3             Publiek: Sev3            Geen: Sev3

Response Fasen

Fase 1: Detectie en Analyse (0-30 min)

Doel: Incident valideren en scope bepalen

Stappen

Alert triage
- Alert ontvangen van monitoring/SIEM
- False positive uitsluiten
- Severity bepalen
Initiële analyse
- Getroffen systemen identificeren
- Attack vector bepalen
- Timeline reconstrueren
- IOCs verzamelen
Communicatie
- Incident Commander aanwijzen
- War room openen (virtueel/fysiek)
- Stakeholders notificeren

Documentatie

## Incident Report - [INCIDENT-ID]

**Gedetecteerd**: [timestamp]
**Gerapporteerd door**: [naam/systeem]
**Severity**: [1-4]
**Status**: [Open/In Progress/Resolved]

### Beschrijving
[Korte beschrijving van het incident]

### Getroffen Systemen
- [System 1]
- [System 2]

### Initiele IOCs
- IP: [...]
- Hash: [...]
- Domain: [...]

Fase 2: Inperking (30 min - 2 uur)

Doel: Verdere schade voorkomen

Korte termijn inperking

Actie	Wanneer	Risico
Account lockout	Compromised credentials	Gebruiker impact
Network isolation	Active breach	Service impact
Process kill	Malware actief	Data verlies
Block IOCs	Ongoing attack	False positives

Lange termijn inperking

Actie	Beschrijving
Segment network	Isoleer getroffen segment
Revoke credentials	Alle potentieel gecompromitteerde
Increase logging	Meer detail op verdachte systemen
Enable additional controls	MFA, DLP, etc.

Beslissingsboom

Is de aanval nog actief?
├── JA → Onmiddellijke isolatie
│        ├── Kritiek systeem? → Failover eerst
│        └── Niet-kritiek? → Direct isoleren
└── NEE → Gecontroleerde inperking
          ├── Identificeer alle entry points
          └── Sluit één voor één

Fase 3: Uitroeiing (2-24 uur)

Doel: Dreiging volledig verwijderen

Cleanup Stappen

Systeem remediatie
- Malware verwijderen
- Backdoors sluiten
- Vulnerabilities patchen
- Configuratie herstellen
Credential hygiene
- Wachtwoord resets afdwingen
- API keys roteren
- Certificaten heruitgeven
- MFA re-enrollen
Evidence preservation
- Forensic images maken
- Logs exporteren
- Chain of custody documenteren

Fase 4: Herstel (24 uur - 1 week)

Doel: Veilige terugkeer naar normale operatie

Herstelplan

Stap	Actie	Verificatie
1	Systeem rebuild/restore	Integrity check
2	Security controls valideren	Config review
3	Monitoring verhogen	Alert thresholds
4	Gefaseerde reactivatie	Smoke tests
5	Gebruikerstoegang herstellen	Access audit

Go-Live Checklist

Fase 5: Post-Incident (1-4 weken)

Doel: Leren en verbeteren

Post-Mortem

## Post-Incident Review

**Incident**: [ID]
**Datum review**: [...]
**Deelnemers**: [...]

### Timeline
[Chronologische reconstructie]

### Root Cause
[Technische en procesoorzaak]

### What Went Well
- [...]

### What Could Improve
- [...]

### Action Items
| Item | Owner | Deadline | Status |
|------|-------|----------|--------|
| [...] | [...] | [...] | [...] |

Meldplicht

Interne Melding

Ernst	Wie	Wanneer
Sev1	Management + Security + Legal	Onmiddellijk
Sev2	Security + Account team	< 2 uur
Sev3	Security	< 4 uur
Sev4	Ticket systeem	< 1 werkdag

Externe Melding

Autoriteiten (indien datalek)

Autoriteit	Termijn	Criterium
Autoriteit Persoonsgegevens	72 uur	Persoonsgegevens gelekt
NIS2 autoriteit	24 uur	Significant incident
Politie	Z.s.m.	Bij criminaliteit

Klanten

Ernst	Notificatie
Sev1 met klant impact	Onmiddellijk
Sev2 met klant data	< 24 uur
Sev3 relevant	Post-incident rapport

Template Klantnotificatie

Onderwerp: Security Incident Notificatie - [Korte beschrijving]

Geachte [Klant],

Op [datum] hebben wij een security incident gedetecteerd dat [impact beschrijving].

Wat is er gebeurd:
[Beschrijving]

Welke maatregelen zijn genomen:
[Acties]

Wat betekent dit voor u:
[Impact en aanbevelingen]

Volgende stappen:
[Wat we gaan doen]

Voor vragen kunt u contact opnemen met [contact].

Met vriendelijke groet,
Noveu Security Team

Contacten

Intern

Rol	Contact	Bereikbaarheid
Security Lead	[naam]	24x7
CTO	[naam]	Escalatie
Legal	[naam]	Werkdagen

Extern

Partij	Type	Contact
Autoriteit Persoonsgegevens	Toezichthouder	[email protected]
NCSC	Security	[email protected]
Forensic Partner	Onderzoek	[partner]
Legal Counsel	Juridisch	[advocaat]

Laatste update: Januari 2026
Review: Jaarlijks of na major incident