Incident response: wat te doen bij een cyberaanval

De eerste 24 uur zijn kritiek

Paniek is de slechtste raadgever. Bij een cyberaanval, zoals ransomware, telt elke minuut, maar ondoordachte acties kunnen bewijsmateriaal vernietigen of de schade verergeren. Een vooraf opgesteld Incident Response Plan (IRP) is uw reddingsboei.

Stap 1: Identificatie en containment

Bevestig eerst dat er daadwerkelijk een incident is. Is het een storing of een aanval? Zodra bevestigd: isoleer de besmette systemen. Trek netwerkkabels uit of verbreek verbindingen, maar schakel machines NIET zomaar uit. Het geheugen (RAM) kan cruciale sporen bevatten voor forensisch onderzoek.

Stap 2: Analyse en forensisch onderzoek

Probeer te achterhalen wat de 'Patient Zero' was. Hoe zijn ze binnengekomen? Welke data is mogelijk gestolen? Zonder deze kennis kunt u niet veilig herstellen; voor u het weet, activeert u de malware opnieuw via uw back-ups.

Schakel hierbij externe experts in. Uw eigen IT-team is vaak te druk met 'de boel draaiende houden' om diepgaand onderzoek te doen.

Stap 3: Eradicatie en herstel

Verwijder de malware, dicht het lek (bijv. een ongepatchte server of een gecompromitteerd account) en reset alle wachtwoorden. Pas daarna begint u met het terugzetten van data vanuit schone back-ups. Herstel eerst de kritieke bedrijfsprocessen.

Communicatie en juridische verplichtingen

Communiceer transparant maar voorzichtig. Informeer interne teams, maar ook externe stakeholders indien nodig. Vergeet de wettelijke meldplicht niet: datalekken moeten binnen 72 uur gemeld worden aan de Gegevensbeschermingsautoriteit (GBA), en onder NIS2 gelden nog strakkere deadlines voor essentiële entiteiten.