# Incident Response Draaiboek

## Overzicht

Dit draaiboek beschrijft de stappen voor het detecteren, beheersen en herstellen van security incidenten op het Noveu platform.

## Incident Taxonomie

### Categorieën

| Categorie | Voorbeelden | Typische Severity |
|-----------|-------------|-------------------|
| **Malware** | Ransomware, trojans, virussen | Sev1-2 |
| **Unauthorized Access** | Credential theft, privilege escalation | Sev1-2 |
| **Data Breach** | Exfiltratie, ongeautoriseerde disclosure | Sev1 |
| **DDoS** | Volumetric, application layer | Sev2-3 |
| **Phishing** | Credential harvesting, BEC | Sev2-3 |
| **Insider Threat** | Data theft, sabotage | Sev1-2 |
| **Misconfiguration** | Exposed data, weak controls | Sev2-3 |

### Severity Bepaling

```
                        ┌─────────────────────────────┐
                        │     IMPACT ASSESSMENT       │
                        └─────────────────────────────┘
                                     │
            ┌────────────────────────┼────────────────────────┐
            ▼                        ▼                        ▼
     ┌───────────┐            ┌───────────┐            ┌───────────┐
     │ Hoeveel   │            │ Welke     │            │ Reputatie │
     │ systemen? │            │ data?     │            │ schade?   │
     └───────────┘            └───────────┘            └───────────┘
            │                        │                        │
            ▼                        ▼                        ▼
     Alle: Sev1              Gevoelig: Sev1           Publiek: Sev1
     Meerdere: Sev2          Intern: Sev2             Beperkt: Sev2
     Enkel: Sev3             Publiek: Sev3            Geen: Sev3
```

## Response Fasen

### Fase 1: Detectie en Analyse (0-30 min)

**Doel**: Incident valideren en scope bepalen

#### Stappen

1. **Alert triage**
   - [ ] Alert ontvangen van monitoring/SIEM
   - [ ] False positive uitsluiten
   - [ ] Severity bepalen

2. **Initiële analyse**
   - [ ] Getroffen systemen identificeren
   - [ ] Attack vector bepalen
   - [ ] Timeline reconstrueren
   - [ ] IOCs verzamelen

3. **Communicatie**
   - [ ] Incident Commander aanwijzen
   - [ ] War room openen (virtueel/fysiek)
   - [ ] Stakeholders notificeren

#### Documentatie

```markdown
## Incident Report - [INCIDENT-ID]

**Gedetecteerd**: [timestamp]
**Gerapporteerd door**: [naam/systeem]
**Severity**: [1-4]
**Status**: [Open/In Progress/Resolved]

### Beschrijving
[Korte beschrijving van het incident]

### Getroffen Systemen
- [System 1]
- [System 2]

### Initiele IOCs
- IP: [...]
- Hash: [...]
- Domain: [...]
```

### Fase 2: Inperking (30 min - 2 uur)

**Doel**: Verdere schade voorkomen

#### Korte termijn inperking

| Actie | Wanneer | Risico |
|-------|---------|--------|
| Account lockout | Compromised credentials | Gebruiker impact |
| Network isolation | Active breach | Service impact |
| Process kill | Malware actief | Data verlies |
| Block IOCs | Ongoing attack | False positives |

#### Lange termijn inperking

| Actie | Beschrijving |
|-------|--------------|
| Segment network | Isoleer getroffen segment |
| Revoke credentials | Alle potentieel gecompromitteerde |
| Increase logging | Meer detail op verdachte systemen |
| Enable additional controls | MFA, DLP, etc. |

#### Beslissingsboom

```
Is de aanval nog actief?
├── JA → Onmiddellijke isolatie
│        ├── Kritiek systeem? → Failover eerst
│        └── Niet-kritiek? → Direct isoleren
└── NEE → Gecontroleerde inperking
          ├── Identificeer alle entry points
          └── Sluit één voor één
```

### Fase 3: Uitroeiing (2-24 uur)

**Doel**: Dreiging volledig verwijderen

#### Cleanup Stappen

1. **Systeem remediatie**
   - [ ] Malware verwijderen
   - [ ] Backdoors sluiten
   - [ ] Vulnerabilities patchen
   - [ ] Configuratie herstellen

2. **Credential hygiene**
   - [ ] Wachtwoord resets afdwingen
   - [ ] API keys roteren
   - [ ] Certificaten heruitgeven
   - [ ] MFA re-enrollen

3. **Evidence preservation**
   - [ ] Forensic images maken
   - [ ] Logs exporteren
   - [ ] Chain of custody documenteren

### Fase 4: Herstel (24 uur - 1 week)

**Doel**: Veilige terugkeer naar normale operatie

#### Herstelplan

| Stap | Actie | Verificatie |
|------|-------|-------------|
| 1 | Systeem rebuild/restore | Integrity check |
| 2 | Security controls valideren | Config review |
| 3 | Monitoring verhogen | Alert thresholds |
| 4 | Gefaseerde reactivatie | Smoke tests |
| 5 | Gebruikerstoegang herstellen | Access audit |

#### Go-Live Checklist

- [ ] Alle IOCs geblokkeerd
- [ ] Vulnerabilities gepatched
- [ ] Credentials geroteerd
- [ ] Monitoring actief
- [ ] Backup gevalideerd
- [ ] Stakeholders geïnformeerd

### Fase 5: Post-Incident (1-4 weken)

**Doel**: Leren en verbeteren

#### Post-Mortem

```markdown
## Post-Incident Review

**Incident**: [ID]
**Datum review**: [...]
**Deelnemers**: [...]

### Timeline
[Chronologische reconstructie]

### Root Cause
[Technische en procesoorzaak]

### What Went Well
- [...]

### What Could Improve
- [...]

### Action Items
| Item | Owner | Deadline | Status |
|------|-------|----------|--------|
| [...] | [...] | [...] | [...] |
```

## Meldplicht

### Interne Melding

| Ernst | Wie | Wanneer |
|-------|-----|---------|
| Sev1 | Management + Security + Legal | Onmiddellijk |
| Sev2 | Security + Account team | < 2 uur |
| Sev3 | Security | < 4 uur |
| Sev4 | Ticket systeem | < 1 werkdag |

### Externe Melding

#### Autoriteiten (indien datalek)

| Autoriteit | Termijn | Criterium |
|------------|---------|-----------|
| Autoriteit Persoonsgegevens | 72 uur | Persoonsgegevens gelekt |
| NIS2 autoriteit | 24 uur | Significant incident |
| Politie | Z.s.m. | Bij criminaliteit |

#### Klanten

| Ernst | Notificatie |
|-------|-------------|
| Sev1 met klant impact | Onmiddellijk |
| Sev2 met klant data | < 24 uur |
| Sev3 relevant | Post-incident rapport |

### Template Klantnotificatie

```
Onderwerp: Security Incident Notificatie - [Korte beschrijving]

Geachte [Klant],

Op [datum] hebben wij een security incident gedetecteerd dat [impact beschrijving].

Wat is er gebeurd:
[Beschrijving]

Welke maatregelen zijn genomen:
[Acties]

Wat betekent dit voor u:
[Impact en aanbevelingen]

Volgende stappen:
[Wat we gaan doen]

Voor vragen kunt u contact opnemen met [contact].

Met vriendelijke groet,
Noveu Security Team
```

## Contacten

### Intern

| Rol | Contact | Bereikbaarheid |
|-----|---------|----------------|
| Security Lead | [naam] | 24x7 |
| CTO | [naam] | Escalatie |
| Legal | [naam] | Werkdagen |

### Extern

| Partij | Type | Contact |
|--------|------|---------|
| Autoriteit Persoonsgegevens | Toezichthouder | meldplicht@autoriteitpersoonsgegevens.nl |
| NCSC | Security | cert@ncsc.nl |
| Forensic Partner | Onderzoek | [partner] |
| Legal Counsel | Juridisch | [advocaat] |

---

*Laatste update: Januari 2026*  
*Review: Jaarlijks of na major incident*