DISASTER RECOVERY &

CONTINGENCY PLAN

KAPELLEROND 14/12 - 1651 LOTCHAUSSÉE DE LA HULPE / TERHULPSESTEENWEG 166 - 1170 BRUXELLES / BRUSSEL+32 (0) 476 95 18 66

WWW.KEYTECH.BE

Revisiepagina

Datum Samenvatting van aanpassingen Aangepast door (naam)

09/12/2013 Creatie van DRP Nicolas Paradis16/12/2013 Aanpassingen back-up policy Niels Goossens17/12/2013 Uitwerking calamiteiten Nicolas Paradis26/12/2013 Bijwerken calamiteiten Niels Goossens28/12/2013 Recovery stappenplannen aanmaken Nicolas Paradis05/01/2014 Details bijwerken N. Goossens & N. Paradis

Huidige versie: 0.4

2

InhoudsopgaveAlgemeen...............................................................................................................................................4

Scope..................................................................................................................................................4

Instructies voor het gebruik van het plan...........................................................................................4

Plan review en onderhoud.................................................................................................................5

Algemene gegevens...........................................................................................................................5

Back-up policy........................................................................................................................................6

Beheer van incidenten...........................................................................................................................7

In geval van calamiteiten....................................................................................................................7

In geval van storingen ........................................................................................................................9

In geval van inbraak..........................................................................................................................10

Recovery...............................................................................................................................................11

Netwerkplan.....................................................................................................................................11

Inventaris..........................................................................................................................................11

Stappenplan.....................................................................................................................................12

Bijlagen.................................................................................................................................................14

3

AlgemeenHet doel van dit Disaster recovery plan (DRP) is om Keytech te helpen in het geval van storingen die gevolg hebben op de lokale netwerken (LAN), internettoegang, servers, … Deze storingen kunnen optreden ten gevolge van noodsituaties zoals overstromingen, vandalisme, explosies, hardware- of softwarefouten en zo verder. Dit plan begeleidt tevens bij de reparatie van het netwerk en de servers en dat binnen een minimaal tijdsbestek. Alle locaties waar Keytech-infrastructuur staat, moeten voorbereid zijn om mogelijke incidenten te verhelpen.

ScopeDit plan is enkel te gebruiken in geval van incidenten die een impact hebben op de bedrijfswerking. Ze mag in geen geval gebruikt worden om kleine dagdagelijkse problemen op te lossen.

PLANOBJECTIEVEN

Dit plan

- dient als gids voor het recovery team- bevat procedures en resources die nodig zijn voor recovery- identificeert de nodige personen die gewaarschuwd moeten worden bij een incident

AANNAMES (ASSUMPTIONS)

- De netwerkmensen (beheerder, technici, …) zijn beschikbaar na een ramp- Dit plan en de nodige documentatie worden opgeslagen in een beveiligde off-site locatie en

moet te allen tijde beschikbaar zijn- Andere afdelingen, los van het netwerk, zullen over hun eigen Data Recovery Plan

beschikken

Instructies voor het gebruik van het planGEBRUIKWanneer een storing zorgt voor een langdurige uitval (bijvoorbeeld langer dan acht uur), wordt dit plan van kracht, tot zolang de gebruikelijke bedrijfswerking weer hersteld is.

KENNISGEVINGOngeacht de omstandigheden van de storing, of de identiteit van de persoon die melding heeft gemaakt van de storing moet de recovery, beschreven in dit plan, worden uitgevoerd in volgende gevallen:

- Minstens 2 systemen die tegelijk offline zijn gedurende drie of meer uren- Elk probleem met internet/data die voor een impact kan zorgen en kan leiden tot

bovenstaand geval

COMMUNICATIEEen persoon moet instaan als woordvoerder voor het bedrijf. Hij/zij zal moeten communiceren met de media, de overheid en andere externe organisaties in geval van een groot incident (calamiteit).

Deze persoon zal ook contact moeten opnemen met de klanten van KeyTech, wanneer het incident een ruime impact heeft op hun werking.

4

Plan review en onderhoudDit plan moet jaarlijks worden beoordeeld en beoefend. Dit uitoefenen kan in de vorm van een walk-through, het simuleren van een ramp of het testen van onderdelen. Houd de lijst met personeelsleden en hun telefoonnummer up-to-date.

Houd de papieren versie ter beschikking bij de locatie. Elektronische versies moeten voor iedereen toegankelijk zijn, op bijvoorbeeld het platform KeyOffice.

Algemene gegevensLOCATIESKeytech heeft op twee plaatsen infrastructuur (netwerk en servers) staan:

Locatie Hostbasket (Telenet)Antwerpse Steenweg 19B-9080 LochristiAanwezigheid van 4 virtuele servers: Mail, CMS, websites en Sharepoint

Telenet staat in voor de veiligheid van de opgeslagen informatie en herstart bij incidenten

Locatie B. ClabotsKaalheide 35 B-3040 HuldenbergAanwezigheid van 2 fysieke servers, met verschillende virtuele servers.

Dit DRP staat in voor de veiligheid van de opgeslagen informatie en herstart bij incidenten

CONTACTPERSONENWanneer een noodgeval zich voordoet, gelieve volgende contactpersonen te waarschuwen.

Naam Adres TelefoonErik Steenhouwer Kapellerond 14/12 - 1651 Lot +32 (0) 476 95 18 66Bart Clabots Kaalheide 35 - 3040 Huldenberg +32 (0) 475 28 95 41Domenico Amatulli Onbekend +32 (0) 478 48 83 59

5

Back-up policyVolledige en incrementele back-ups dienen op reguliere basis te worden gemaakt. Vooral systemlogs en technische documenten moeten veilig gesteld worden, gezien ze niet gemakkelijk te vervangen zijn en dus als kritisch worden bestempeld. Back-up media moeten in een veilige en geografisch verschillend van de originele, omgeving liggen. Netwerkcomponenten, kabels, connectoren, … die instaan als back-up zouden in een ander veilig lokaal, zowel on-site als off-site bewaard moeten worden. De netwerkbeheerder is verantwoordelijk voor deze back-upactiviteiten.

SERVERS

Telenet-servers

Telenet maakt gebruik van het Veeam back-up systeem om de virtuele servers van KeyTech (Mail, CMS, websites en Sharepoint) te back-uppen. Deze back-ups worden dagelijks gemaakt en worden 7 dagen bewaard.

Een overzicht van de back-uptaken staan op de Dynamic Cloud omgeving. Per server kunt u de status raadplegen van de laatst genomen back-ups. Volg hiervoor onderstaande stappen:

Log in bij Hostbasket (MyAccount) Klik in het menu op ‘Servers & Cloud’ Klik in het overzicht op ‘27192-keytech’ In het menu verschijnt een submenu. Klik door op ‘Overzicht Veeam back-upstatus’

Het overzicht verschijnt van de beschikbare back-ups per server (zie afbeelding).

Eigen servers

De twee fysieke servers, waarop er verschillende virtuele servers draaien, worden geback-upt. Deze back-ups dienen dagelijks te gebeuren op een veilige locatie.

De virtuele server KeyBackup met IP 10.10.0.43 staat in voor de back-ups. Via het programma Symantec Backup Exec 2010 kan men instellen hoe een back-up verloopt: hoeveel keer per week, welke servers, naar welke locatie.

Alle images die genomen zijn van de servers worden naar een NAS verplaatst. Deze NAS, met IP 10.10.0.81, staat momenteel op dezelfde fysieke locatie.

6

Beheer van incidentenHieronder staan er normen en standaarden beschreven, die belangrijk zijn in geval van onverwachte (nood)situaties.

In geval van calamiteitenEen calamiteit is de algemeen gebruikte aanduiding voor een (natuur)ramp of een niet-verwachte gebeurtenis die ernstige schade kan veroorzaken. Doet een calamiteit zich voor en heeft deze impact op de infrastructuur? Contacteer dan onmiddellijk Bart Clabots.

AANKOMENDE NATUURRAMP

Deze procedure helpt u een dreigende, aankomende natuurramp voor te bereiden. Stormen en aardbevingen behoren tot deze categorie.

Deze stappen dienen slechts in de meest uitzonderlijke omstandigheden te worden genomen.

Stap Actie1 Contacteer het team dat verantwoordelijk is voor recovery 2 Wanneer de natuurramp precies kan gevolgd worden, lanceert men liefst binnen de 48

uur voor de ramp het volgende:- Inzetten van draagbare generatoren (stand-by)- Inzetten van technische en administratieve medewerkers (stand-by) - Inzetten van vervangende ruimtes (containers) met stroom, computers,

netwerk en telefoon- Basisbehoeften voorzien

o Cash geld voor een weeko Drank en voeding voor een weeko Brandstoffeno Batterijen, lichten, medicatie, touw, …

3 24 uur voor de ramp:- Maak een netwerkimage en kopieer systeemdatabanken en andere nuttige

bestanden- Controleer de back-up generatoren- Maak back-ups van PBXs, routers, VOIP systemen, …- Waarschuw de netwerkverantwoordelijke

4 Ga naar het hoofdstuk Recovery om apparatuur en data te herstellen.

7

OVERSTROMING OF WATERINFILTRATIE

Deze procedure helpt u in geval van overstroming of waterinfiltratie.

Opgelet! Water kan gevaren met zich meebrengen zoals elektrocutie of brand. Wees altijd voorzichtig in deze situaties.

Stap Actie1 Bepaal of de situatie externe hulp vereist.

- Brandweer: bel 112- Watermaatschappij De Watergroep: bel 02 238 96 99

2 Waarschuw de andere werknemers van de situatie. Leg uit dat bepaalde diensten kunnen of zullen uitvallen.

3 De aanwezigheid van water kan verschillende oorzaken hebben: defecten, lekken of hevige regenval. Wanneer er veel water binnenstroomt, bij bijvoorbeeld een leidinglek, gelieve dan power-down procedures te implementeren. Deze procedures staan in voor het gecontroleerd afsluiten van servers.

4 Ga naar het hoofdstuk Recovery om apparatuur en data te herstellen.

BRAND

Als er rook of vuur zichtbaar is in het lokaal waar de IT-infrastructuur zich bevindt, evalueer de situatie en bepaal de ernst. Is dit een klein of een ernstig incident? Bel 112 zo snel mogelijk wanneer de omstandigheden dit vereist.

Personen moeten in staat zijn om kleine brandjes te blussen door gebruik te maken van brandblussers. Een voorbeeld hiervan is wanneer papier of een hardware-onderdeel smeult. Andere gevallen moeten behandeld worden door ervaren mensen tot de brandweer aanwezig is.

Veiligheid gaat voor op alles. Evacueer bij een grote brand onmiddellijk het gebouw en contacteer de brandweer. Alle aanwezige personeel moet samenkomen bij een verzamelpunt.

Ga naar het hoofdstuk Recovery om apparatuur en data te herstellen.

8

In geval van storingen Er zijn geen calamiteiten, maar de connectie tot (bepaalde) servers is moeilijk of onmogelijk? Er is waarschijnlijk een storing aan de hand. Deze kunnen heel wat verschillende oorzaken hebben. Gebruik in dit geval de volgende procedure.

Stap Actie1 Bepaal welke toestellen en diensten niet correct functioneren. Kijk na of er toestellen

uitgevallen zijn. 2 Waarschuw de verantwoordelijke van het netwerk. 3 Ga na wat de oorzaak is van de onbereikbaarheid van de servers.

- Geen internetconnectieNeem contact op met de betrokken serviceprovider (ISP). Deze kan u mogelijks meer informatie verschaffen over de panne.Wanneer de uitval langer dan een uur duurt, probeer alternatieven te zoeken.Maak gebruik van een provider met een alternatief medium (kabel, telefoon, satelliet, 4G) om de continuïteit van de bedrijfswerking te garanderen.

- Overvloed aan connectiesMogelijk zijn er servers betrokken in een (d)DOS-aanval. Kwaadwilligen willen diensten onbereikbaar maken door een plotse toevloed aan connecties. Ga na op de firewall welke IP’s de oorzaak zijn hiervan en blokkeer ze. Zijn er te veel verschillende IP’s? Neem andere maatregelen zoals bijvoorbeeld het blokkeren van alle buitenlandse IP’s of beperkt toegang tot de servers enkel tot werknemers van KeyTech.

- Defecte apparatuuro Bij apparatuur die niet uitgevallen is, maar toch niet naar behoren

werkt is het aangeraden eerst de handleiding/stappenoplosser te raadplegen om mogelijke problemen op te lossen. Werkt dit niet? Probeer dan onderstaande uitleg.

o Start de apparatuur opnieuw op door deze even zonder stroom te zetten (30 seconden) en nadien de stand-by-toets in te drukken. Ga na of de getroffen diensten opnieuw werken naar behoren.

Indien deze stap succesvol voltooid is, is het onnodig stap 4 te volgen.4 Ga naar het hoofdstuk Recovery om apparatuur en data te herstellen.

9

In geval van inbraak Is er sprake van een cyberinbraak (hacken) of een fysieke inbraak op het netwerk? Volg dan onderstaande procedure.

Stap Actie1 Waarschuw de verantwoordelijke van het netwerk en de bedrijfsleider. 2 Verbreek de connectie met het netwerk. Vanaf dit moment kun met het systeem niet

meer vertrouwen. 3 Ga naar hoe en wanneer de inbraak gebeurd is. Dit onderzoeken kan ofwel via

camerabeelden (in geval van fysieke inbraak) of via logs (in geval van cyberinbraak).Probeer een antwoord te vinden op volgende vragen:

- Hoe ernstig is de situatie?- Is dit een interne (via werknemer) of externe (via buitenstaander) inbraak?- Welke gegevens zijn er (mogelijks) gestolen of corrupt?

3 Probeer zo snel mogelijk een oplossing te vinden voor de kwetsbaarheden. Een aantal mogelijkheden zijn:

- Installeer alle beschikbare updates- Stel regels in op de firewall- Verwijder ongebruikte useraccounts- Beperk de toegang van gebruikers slechts tot de zaken die ze nodig hebben- …

Documenteer alle getroffen handelingen en alle gebeurtenissen.4 Hoewel de kwetsbaarheden opgelost zijn, kan een systeem nog sporen bevatten van

een inbraak (in geval van fysieke inbraak).Ga naar het hoofdstuk Recovery om data te herstellen.

10

RecoveryIn dit onderdeel staan de stappen die moeten worden ondernomen bij beschadigde of uitgevallen apparatuur.

NetwerkplanDit plan omvat de volledige netwerkinfrastructuur van KeyTech. Men vindt er zowel de Telenet-servers als de eigen servers op (locatie B. Clabots). Deze zijn verbonden met het internet (wolkje).

In dit plan worden alle fysieke en virtuele servers aangegeven (met naam), net als externe opslagschijven. Geconfigureerde IP-adressen worden ook vermeld.

Plan op 15 januari 2013

InventarisDe volgende apparaten maken deel uit van het netwerk:

SERVERS

Telenet-servers

Deze servers staan gehost bij Hostbasket (Telenet). Zij staan in voor fysiek onderhoud en fysiek herstel.

Eigen servers

Deze fysieke servers staan gehost bij Bart Clabots.

11

Fujitsu Primergy RX300 S5o 10.10.0.2o Processor: 8 x Intel Xeon CPU x5570 @ 2.93GHzo RAM: 73718,84 MB

Dell PowerEdge R300o 10.10.0.3o Processor: 4 x Intel Xeon CPU L5410 @ 2.33GHzo RAM: 8183,61 MB

SWITCHES & ROUTERS

Deze switches en routers zijn unmanaged toestellen. Dat betekent dat ze niet geconfigureerd kunnen worden op netwerkniveau. (Back-up van) configuratie-instellingen is bijgevolg hier dus niet van toepassing.

FIREWALL

Snapgear SG580

10.10.0.254

EXTERNE OPSLAG

Buffalo NAS

10.10.0.81

StappenplanSERVERS

Telenet-servers

Telenet beheert in dit geval de hosting. Daarom is het niet duidelijk op welke fysieke server(s) de virtuele draaien. Een uitval kan dus impact hebben om slechts enkele virtuele machines.

Stap Actie1 Bepaal welke virtuele servers uitgevallen zijn of extern niet bereikbaar zijn.2 Neem contact op met Telenet voor technische bijstand.

Telefoon: 09 326 90 94 Email: support@hostbasket.comOpgelet, deze diensten zijn enkel bereikbaar tussen 8 uur en 19 uur.Uitgebreidere dienstverlening is beschikbaar tegen betaling.

Leg uit welke servers een restore nodig hebben. Preciseer welke back-up (tijdstip), maar ook welk type back-up (full of slechts enkele bestanden).

3 Uw probleem wordt verwerkt via een ticket bij de Telenet-support. Op basis van de beschikbare back-ups zal het nodige gedaan worden om weer aan de slag te kunnen gaan. Een restore kan, afhankelijk van de hoeveelheid gegevens, enkele uren tot 24 uur duren.

12

Eigen servers

Deze servers staan volledig onder eigen beheer. Een herstel van data en services dient dus volledig zelfstandig te gebeuren.

Stap Actie1 Bepaal welke (virtuele) servers uitgevallen zijn of extern niet bereikbaar zijn.2 Probeer toegang te krijgen tot deze (virtuele) servers.

Toegang is mogelijkKijk na welke programma’s er niet of vreemd reageren. Installeer alle updates. Herstart de server en kijk of het probleem opgelost is.Indien een programma of service vreemd blijft reageren, zonder enige gekende reden (zoals virus of verouderde drivers) is een herinstallatie van deze software aangewezen. Indien de problemen zijn opgelost, moeten de overige stappen niet meer worden gevolgd.

Toegang is niet mogelijkEr bestaan verschillende manieren om toegang tot een Windows server of Linux server te forceren. Helaas brengt dit risico’s mee, voor zowel de installatie als voor de data. Bovendien neemt zoiets veel tijd in beslag.

De eenvoudigste en snelste oplossing is het terugplaatsen van een actuele back-up. 3 Log in op de virtuele server KeyBack-up.

Open het programma Symantec Backup Exec 2010. Log in. Kies in het menu bovenaan voor “Restore”

De “Restore Wizard” opent zich. Klik op Next >. Een overzicht wordt weergegeven van de beschikbare back-ups.

Vink de servers/mappen/bestanden aan die een terugplaatsing van een back-up vereisen. En klik op Next >

Blijf de stappen volgen tot de job restore wordt uitgevoerd.4 Na een restore is het belangrijk om na te gaan of dit ook effectief geslaagd is.

Log in op de herstelde server. Kijk of de services / data die eerder problemen vertoonde, terug actief en bereikbaar is.Indien dit niet het geval is, is de restore mogelijk niet geslaagd. Voer stap 3 opnieuw uit.

5 In deze finale stap moet men nagaan of de herstelde server/data/diensten opnieuw werkzaam zijn zoals voorheen op het netwerk en eventueel buitenaf.Test de bereikbaarheid d.m.v. pings of tracert; Controleer de services op via normaal gebruik.Indien alles correct werkt, is het herstel geslaagd.

13

BijlagenIncidentenformulier

Na een storing is het belangrijk om volgend formulier volledig in te vullen. Dit document moet worden bijgehouden en zal nadien gebruikt kunnen worden voor onderzoek. Het hoofdzakelijke doel is om te leren uit wat er gebeurd is en eventueel verbeteringen aan te brengen aan de infrastructuur of/en aan het DRP.

TIJD EN DATUM

_____ U _____ op ______ /______ / 20 ______________________________________________

LOCATIE

__________________________________________________________________________________

TYPE EVENT

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

PROBLEMEN

__________________________________________________________________________________

__________________________________________________________________________________

IMPACT OP BEDRIJF

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

14

Formulier voor kritieke infrastructuurGebruik dit formulier om na een ramp een inventaris te maken van de infrastructuur.

RECOVERY TEAM: _________________________________________________________

[----------STATUS---------]

Uitrusting Conditie Commentaar

1. ___________________ ______________ _______________________________

2. ___________________ ______________ _______________________________

3. ___________________ ______________ _______________________________

4. ___________________ ______________ _______________________________

5. ___________________ ______________ _______________________________

6. ___________________ ______________ _______________________________

7. ___________________ ______________ _______________________________

8. ___________________ ______________ _______________________________

9. ___________________ ______________ _______________________________

10. ___________________ ______________ _______________________________

11. ___________________ ______________ _______________________________

12. ___________________ ______________ _______________________________

13. ___________________ ______________ _______________________________

14. ___________________ ______________ _______________________________

15. ___________________ ______________ _______________________________

Kies voor conditie uit de volgende legendes:

OK Niet beschadigd BOK Beschadigd, maar nog steeds bruikbaar ZB Zwaar beschadigd, vereist salvage (gespecialiseerde berging) NOK Volledig vernield

Bijvoorbeeld

X. Switch 2-OB BOK Front-cover is verdwenen

15

16