Cyberaanval: stappenplan voor ondernemers

Bescherm jezelf tegen hackers/malware

Stappenplan bij cybercrime

Zes op de tien ondernemers is ooit slachtoffer geworden van een cyberaanval. Daarom is een stappenplan tegen cyberaanvallen geen overbodige luxe. Niet alleen om inzicht te krijgen in de risico’s en kwetsbaarheden, maar ook om snel te kunnen handelen als je slachtoffer bent van cybercriminelen.

Begin bij een preventieplan in geval van cyberaanval

Eenmalig een beleid schrijven voldoet niet meer. Je bedrijf is steeds in beweging: nieuwe mensen, nieuwe systemen, koppelingen van systemen en apparaten of een samenwerkingen met online leveranciers. Hierdoor veranderen ook de risico’s en kwetsbare plekken voor cybercriminaliteit. Zorg dat je risico’s in kaart hebt en dat je verdediging tegen cybercrime op de agenda blijft staan. 

Lees ook: Voorkom cybercrime met voorbereiding en de juiste partners

Maak een stappenplan met alle sleutelpersonen en hoe je ze bereikt. Maak ook een verdeling: wie is waarvoor verantwoordelijk? Denk niet alleen aan de technische kant, maar ook aan het contact met klanten, leveranciers et cetera. Hoe bereik je iedereen die van het incident af moet weten? Welke boodschap of mededeling moeten zij krijgen? Doordat je er van tevoren over nadenkt, verlies je geen cruciale tijd als het te laat is. 

Signalen van een cyberaanval

Hoe sneller je een cyberaanval herkent, hoe sneller je kunt handelen en de schade kunt beperken. Let op deze signalen en onderneem actie

  • Systemen maken verbinding met rare of verdachte internetadressen

  • Je ziet ineens ongewone activiteit - vaak heel veel activiteit - in je systemen

  • In logboeken staat opvallend veel verkeer geregistreerd

  • Je ziet vertrouwelijke gegevens terug op internet

  • Je systemen zijn geblokkeerd en er wordt losgeld (al dan niet in cryptovaluta) geëist om weer toegang te krijgen

  • Je kunt je systemen niet in, ze zijn ontoegankelijk gemaakt

  • Je website is beschadigd

  • Er zijn bestanden en/of databases gewist

  • Je website is niet bereikbaar door grote hoeveelheden inkomend data-verkeer (DDos-aanval)

  • De e-mailserver doet het niet door een grote spamaanval

  • Uit naam van je bedrijf worden onrechtmatig mails verstuurd

  • Er wordt onrechtmatig geld van rekeningen afgeschreven

Cyberaanval: wat nu?

Je herkent signalen en vreest het ergste: je bent slachtoffer van een cyberaanval. Doorloop dan de volgende stappen om de schade te beperken en bewijsmateriaal te verzamelen.

Stap 1: meld en isoleer

Als je website gehackt is, moet je het volgende doen:

  • Blijf rustig en stel je IT-afdeling op de hoogte.

  • Bel de politie op 0900-8844 en vraag naar een digitaal coördinator. Je krijgt dan het snelst een cybercrime specialist aan de telefoon. Je kunt dan direct overleggen met de politie over de te volgen stappen. Aangifte van cybercrime doen kan ook online of op het politiebureau. 

  • Schakel indien nodig een cybercrime expert in

  • Isoleer de geïnfecteerde computers van het netwerk. Zet ze niet uit, want dan kun je bewijsmateriaal verliezen. 

  • Eisen de criminelen losgeld of cryptocurrency? Betaal zeker niet direct het volledige bedrag en probeer eerst te onderhandelen. Eventueel met behulp van een expert. 

  • Controleer of je back-ups hebt van geïnfecteerde bestanden/ systemen en check hoe recent ze zijn.

  • Bel je bank en blokkeer eventueel direct je betaalrekeningen.

Stap 2: voorkom verlies van bewijsmateriaal

  • Gebruik je virtuele machines? Maak een kopie, inclusief het werkgeheugen.

  • Zorg dat je voor herinstallatie van een geïnfecteerde computer of systeem een nieuwe harde schijf gebruikt. Bewaar de oude voor politieonderzoek.

  • Heeft het geraakte systeem een logboek? Bewaar dit op een andere (veilige) plek.

Stap 3: informatie verzamelen

Hoe meer je weet over de cyberaanval, hoe beter je kunt ingrijpen, hoe meer bewijsmateriaal je kunt verzamelen en hoe beter je een aanval in de toekomst kunt voorkomen. Deze stap is technisch en voor een zo compleet mogelijk beeld volg je deze 7 stappen:

  1. Verzamel alle logbestanden die je hebt. In deze bestanden laten criminelen vaak sporen na waar de politie verder mee kan. Verzamel deze logbestanden: tijdstippen, IP- en MAC-adressen, user agents, netwerkpoorten en account- en locatiegegevens.

  2. Hoe communiceren de systemen? Natuurlijk communiceren je systemen naar buiten, maar ook onderling. Daar kunnen ook sporen zitten. Leg daarom de netwerkflow vast.

  3. Netwerksegmenten. Welke netwerksegmenten heb je en hoe zijn die met elkaar verbonden. Waar zitten de firewalls? Het liefst heb je deze voorafgaand aan de aanval al vastgelegd in een Incident Response Plan, dan kun je die zo oproepen.

  4. Infrastructuur. Zorg voor een overzicht van je digitale infrastructuur, zodat de politie een aanvullend beeld heeft van de verbindingen tussen apparaten en machines. Hierdoor heb je ook inzicht in hoe ver een cyberaanval zich uitstrekt.

  5. Systeemlijst. Dit is een aanvulling op het overzicht van de infrastructuur met de systemen binnen je organisatie. Per machine is het handig om het volgende te hebben: contactgegevens van de verantwoordelijke afdeling of persoon, fysieke locatie, welk besturingssysteem draait er (versie & patch), welke software is er geïnstalleerd, asset roles, provisioning dates en netwerkconfiguraties.

  6. Images. Om te weten hoe de criminelen binnen zijn gekomen en met welk doel heb je vaak images van je hardware nodig. Maak een kopie van de getroffen systemen of neem contact op met de specialist van de politie voor het veiligstellen van je gegevensdragers.

  7. Inloggegevens. Gaat de hardware mee in het onderzoek? Dan heeft de politie ook de inloggegevens van deze machines nodig. 

Meer tekst en uitleg voor jouw IT-afdeling vind je in deze brochure van de politie

Stap 4: eliminatie

Als de getroffen computers geïsoleerd zijn en het bewijs veilig is, start de politie met onderzoek. Vaak worden de computers in beslag genomen tijdens het onderzoek. Als dit niet het geval is, moeten de getroffen systemen onderzocht en opnieuw ingesteld worden. Zo weet je zeker dat je ze weer veilig kunt gebruiken. Je kunt nu alles weer opstarten en eventuele back-ups terugzetten.

Stap 5: herstel

Je kunt alles weer opstarten terwijl het onderzoek loopt. Bepaal welke stappen je moet nemen om weer te kunnen draaien en wat je kunt doen om de beveiliging te verhogen. 

  • Zet back-ups niet terug totdat je zeker weet dat het veilig kan.

  • Verbeter je netwerkveiligheid om toekomstige schade te voorkomen. Je bent ook verplicht om aan te kunnen tonen dat je je klantgegevens goed beveiligt. 

  • Verander al je wachtwoorden en stel daarbij multi factor authenticatie (MFA) in als je daar nog niet mee werkte.

  • Breng de betrokken partijen buiten je organisatie op de hoogte.

  • Om echt zeker te zijn dat je computer of apparaat geen malware of andere cybercrime meer bevat, moet je het besturingssysteem opnieuw installeren en alle beveiligingspatches daarbij toepassen. Pas daarna kan het apparaat weer veilig op het netwerk worden aangesloten. 

  • Scan je systeem met een sterk antivirusprogramma om eventuele (andere) schade te beperken.

  • Controleer alle lagen van je systeem en check op eventuele afwijkingen en afwijkend gedrag.

  • Installeer alle beveiligingsupdates of patches die nog open staan.

Stap 6: communicatie

Als je weet (evt. samen met de expert) wat het doel van de cyberaanval was en wat er precies aan gegevens gestolen is, dan is het makkelijker om in te schatten wie je op de hoogte moet stellen. Denk aan interne partijen, maar ook aan externe partijen: klanten, leveranciers en partners.  Was er sprake van een datalek en waren daar persoonsgegevens bij betrokken? Dan moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP).

Stap 7: evaluatie

Hoe zijn de criminelen binnen gekomen en hoe is die opening ontstaan? Wat kun je aanpassen om dit in de toekomst te voorkomen. Bekijk ook hoe het proces verder gegaan is vanaf het moment dat iemand de cyberaanval opmerkte tot het herstel van de schade.

Specifieke cyberaanval: gehackte website

Het is relatief makkelijk te zien of je website gehackt is. Google en veel andere browsers markeren namelijk websites met malware als ‘gevaarlijk'. Hackers kunnen klantgegevens op je website verzamelen en virussen op de computers van je klanten plaatsen. Daarnaast kan de hacker je klant bijvoorbeeld ‘doorsturen' naar een malafide website met nepproducten.

Haal je website terug

Als je website gehackt is, moet je het volgende doen:

  1. Blijf ook in dit geval rustig en schakel een cybercrime expert in.

  2. Onderzoek de schade en bekijk of er gegevens gestolen zijn. Voor persoonsgegevens is een datalek melding verplicht bij de Autoriteit Persoonsgegevens.

  3. Gebruik schone back-ups van je website om de schade zo veel mogelijk te beperken. Soms is het ook mogelijk om alleen de code van de hacker te verwijderen van je website; ook dit kun je beter aan een expert overlaten.

  4. Doe aangifte bij de politie.

Wat vind je van dit artikel?

Lian de Snoo

Auteur

Lian de Snoo

Als Juffrouw Taal help ik ondernemers in het mkb aan en met ijzersterke content. Door lekker leesbare en vindbare teksten voor ze te schrijven of door hen te leren hoe ze dat zelf kunnen doen.