Incident respons en digitaal forensisch onderzoek voor Nederland

‘Het NCSC biedt 24 uur per dag, 7 dagen per week, een meldpunt voor cyberincidenten. Wij vormen het Computer Emergency Response Team (CERT) voor Nederland.’ (ncsc.nl, 2020) Dit staat op de website van het Nationaal Cyber Security Centrum (NCSC). Maar wat betekent het? Wat houdt een cyberincident in en wanneer start je een digitaal forensisch onderzoek? Welke taken, tools, infrastructuur en verantwoordelijkheden horen hierbij?

Deze vragen stelde ik mijzelf aan het begin van mijn carrière en kunnen ook relevant zijn voor andere organisaties. In een serie expertblogs probeer ik deze vragen zo goed mogelijk te beantwoorden. Mijn naam is Wim van Ruijven, securityspecialist bij het Nationaal Cyber Security Centrum (NCSC) en dit is de eerste blog van mijn serie expertblogs over Digital Forensics and Incident Response (DFIR).

Wat betekent DFIR?

DFIR is de afkorting voor Digital Forensics and Incident Response. Het is een verzameling van vaardigheden die je toepast bij het identificeren, analyseren en verhelpen van cyberincidenten. Allereerst bepaalt een organisatie of het echt gaat om een cyberincident en niet om een willekeurige gebeurtenis. Ter verduidelijking; we spreken van een willekeurige gebeurtenis als het gaat om afwijkend en onverwacht gedrag van een systeem, maar waar het nog onduidelijk is of het met malafide intenties is veroorzaakt. Bij een cyberincident zijn er meerdere bronnen/systemen die, met behulp van indicatoren van malafide acties, afwijkend en verdacht gedrag detecteren.

Want to read the entire blog? Click on the ''read more'' button.