Cyberaanvallen: wat kan ik doen?

Cybercriminelen bereiden een cyberaanval grondig voor om ervoor te zorgen dat hun plan slaagt. Zo georganiseerd als een cyberaanval is, zo methodisch moet ook de oplossing zijn om deze te verhelpen. Het beheer van zo'n crisis moet op het hoogste niveau van de organisatie plaatsvinden, waarbij de IT-verantwoordelijke, zijn team en, indien de organisatie er een heeft, het beveiligingsteam, betrokken zijn. De onmiddellijke doelstellingen zijn de impact van de aanval beperken, zorgen dat de activiteiten zo snel mogelijk kunnen hervatten en bijkomende veiligheidsmaatregelen opstellen die moeten voorkomen dat het incident opnieuw gebeurt.

Het beheer van cyberbeveiligingsincidenten is geen lineair proces; het is een cyclus die voorbereiding, detectie, inperking van het incident, mitigatie en herstel omvat. Tot slot moeten lessen worden getrokken uit het incident om het proces te verbeteren en zich voor te bereiden op toekomstige crisissen. Communicatie met interne en externe stakeholders is in dit onderdeel van de cyclus van cruciaal belang.

Dit artikel heeft als doel organisaties die het slachtoffer zijn van een cyberaanval of die zich er zo goed mogelijk op willen voorbereiden, te helpen bij het herkennen van de belangrijkste acties om het incident te kunnen afhandelen.

Er kunnen specifieke acties worden ondernomen om een lopende cyberaanval te verhinderen en de risico's ervan te beperken:

1.    Licht je IT-verantwoordelijke onmiddellijk in

De IT-verantwoordelijke zal best weten hoe hij het incident kan afhandelen en het zo snel mogelijk kan oplossen. Als je organisatie geen IT-verantwoordelijke heeft, neem dan contact op met een directielid en volg de instructies op.

2.    Isoleer geïnfecteerde bronnen

Door alle verbindingen van geïnfecteerde bronnen met het internet en het lokale bedrijfsnetwerk te verbreken, blokkeer je de toegang voor cybercriminelen, die niet van het ene systeem naar het andere kunnen gaan om de aanval te verspreiden. Schakel de beschadigde computers NIET uit, anders verwijder je de sporen die de daders van de cyberaanval achterlieten.

3.    Wijs een crisisbeheerteam aan

Het beheer van de acties op de verschillende betrokken gebieden (technisch, HR, financieel, communicatie, juridisch etc.) is een sleutelelement in het beheer van een cybercrisis. Het crisisbeheerteam moet toezien op de specifieke acties die moeten worden ondernomen op elk gebied tijdens de crisis. Gevoelige communicatie over de evolutie van het incident dient via een afzonderlijk en beveiligd kanaal te gebeuren.

4.    Hou een register bij van alle gebeurtenissen en uitgevoerde acties

Hou een register bij van alle gebeurtenissen en uitgevoerde acties om deze aan de onderzoekende autoriteit te kunnen voorleggen en om de IT-verantwoordelijke te helpen vast te stellen welke lessen uit het incident kunnen worden getrokken.

5.    Bewaar al het bewijs van de aanval

IT-specialisten voeren deze taak uit. Ze zullen de beschadigde computer onderzoeken en proberen te achterhalen wie de infectie heeft veroorzaakt aan de hand van bijvoorbeeld wijzigingen in het systeem, configuratiebestanden of bedrijfsgegevens. Ze zullen ook vaststellen of de daders van de infectie kwaadaardige software hebben geïnstalleerd. Tot slot is het belangrijk om alle logbestanden op het systeem grondig te onderzoeken.
Bewaar alle ontvangen berichten, getroffen toestellen, verbindingslogs etc. als bewijs. Deze elementen zullen van belang zijn voor het verdere onderzoek, net als de registratie van de gebeurtenissen en acties.

1.    Werk noodoplossingen uit

Bepaal welke andere bronnen kunnen worden gebruikt ter vervanging van geïnfecteerde bronnen om de continuïteit van kritieke activiteiten te waarborgen. Als de organisatie een bedrijfscontinuïteitsplan of noodherstelplan heeft, kunnen die worden gebruikt om te bepalen welke maatregelen nodig zijn om de crisis te beheren.

2.    Meld het incident aan de bevoegde autoriteiten

De melding van een incident kan niet alleen bijdragen tot de analyse van de situatie, maar kan ook andere organisaties helpen om niet het slachtoffer te worden van dezelfde aanval. In sommige gevallen kan een melding ook wettelijk verplicht zijn.

•    Politie
In geval van geldverlies of -afpersing word je aangeraden het incident te melden aan de politie. Je kan een klacht indienen bij de lokale politie. Wanneer je klacht indient, is het belangrijk om zoveel mogelijk informatie (relevante bankafschriften, screenshots, afdrukken etc.) te verstrekken.

•    Bank en Card Stop
Neem contact op met je bank en Card Stop op 078 170 170 als je je bankrekeninggegevens hebt doorgegeven, als er geld van je bankrekening is verdwenen of je geld aan een oplichter hebt overgemaakt. Frauduleuze transacties kunnen dan worden geblokkeerd. Als je wil dat de oplichting wordt gemeld, kun je je bank telefonisch contacteren via het nummer op https://beschermjezelfonline.be/

•    Safeonweb
Als je een verdachte e-mail of een verdacht bericht hebt ontvangen, stuur het dan naar verdacht@safeonweb.be en verwijder het.

•    Meldingsplicht voor NIS-incidenten
Je moet je meldingen doen via het NIS-meldingsplatform (https://nis-incident.be/nl). Je kan naar het platform surfen via een beveiligde verbinding en met een unieke identificatiesleutel voor elke DDV en AED (login/gebruikersnaam en wachtwoord). Indien het platform niet beschikbaar is, moet het incident worden gemeld via de CCB-website. Het platform zorgt ervoor dat het verslag bij het CCB, het Nationaal Crisiscentrum en de betrokken autoriteiten wordt ingediend.
Voor meer informatie, zie [https://ccb.belgium.be/nl/wettelijk-kader-voor-aanbieders-van-essenti%C3%ABle-diensten-aed] en [https://ccb.belgium.be/nl/wettelijk-kader-voor-digitaledienstverleners-ddv].

3.    Bepaal de oorsprong en de omvang van de aanval

Door het beginpunt van de aanval en het aantal geïnfecteerde bronnen te identificeren, kunnen er geschikte maatregelen worden genomen om bestaande veiligheidsproblemen te verhelpen en te vermijden dat de situatie opnieuw voorkomt.

4.    Beheer de crisiscommunicatie

Bepaal de mate van detail en transparantie die nodig is om informatie te delen met alle betrokkenen (bijvoorbeeld medewerkers, klanten, leveranciers, stakeholders, media etc.)

Communiceer snel en vaak en hou je interne medewerkers, leveranciers, dienstverleners en klanten op de hoogte. Meestal is het geen goed idee om een aanval te verbergen, omdat het de reputatie van je organisatie kan schaden. Wees zo transparant mogelijk over de aanval tegenover je medewerkers, stakeholders, klanten of gebruikers en de pers. Zelfs als je niet alle antwoorden hebt, is het van essentieel belang om de stakeholders te informeren.

5.    Vergeet je wettelijke verplichtingen niet

Er bestaan wettelijke verplichtingen om autoriteiten zoals DPA/GBA/APD in kennis te stellen van een vermoedelijk datalek (doorgaans binnen de 72 uur). https://www.gegevensbeschermingsautoriteit.be/burger/acties/contact (internetsite beschikbaar in NL en FR). Contacteer je Data Protection Officer (DPO). Het juridisch team en/of de DPO kunnen eveneens een klacht indienen bij de lokale politie.

Wat moet je doen na de crisis?

6.    Hervat de werkzaamheden geleidelijk

Controleer of de aanvallers de veiligheid en integriteit van je back-upsysteem niet hebben gecompromitteerd.
Herstel je authenticatiesysteem, werk het bij, start het opnieuw op en stel de multifactorauthenticatie in. Herstel een systeem niet met back-ups die meteen voor of na de aanval werden gemaakt. Pas de vorige richtlijnen eerst toe en begin pas daarna met de heropbouw van je systeem op basis van back-ups. Zorg ervoor dat je geen gezonde systemen opnieuw infecteert tijdens het herstelproces. Nadat het systeem is hersteld, moet je ervoor zorgen dat er geen sporen van de aanval op het systeem achterblijven voordat je het systeem opnieuw in je netwerk opneemt. Herstel je systemen volgens de prioriteiten van de kritieke diensten. Herstel eerst de servers en daarna de eindpunten. Verwijder of isoleer oude systemen en protocollen volledig.

7.    Trek lessen uit de aanval

Geen enkele organisatie wil dezelfde aanval opnieuw meemaken. Daarom is het belangrijk om zoveel mogelijk lessen te trekken uit de incidenten en om een actieplan op te stellen om te bepalen welke veiligheidsmaatregelen en investeringen (bijvoorbeeld financieel, menselijk, contractueel etc.) moeten worden door gevoerd om de bescherming van de middelen te verbeteren.

8.    Voorkom een nieuwe aanval

Je antivirussoftware moet absoluut up-to-date zijn, evenals alle applicaties die op je werkstation zijn geïnstalleerd. Installeer een firewall en een inbraakdetectiesysteem. Implementeer een beleid voor veilig wachtwoordbeheer en installeer multifactorauthenticatie waarbij een gebruiker twee of meer verschillende methoden moet hanteren (bijvoorbeeld een wachtwoord en een pincode, een pincode en een sms-code) om zijn identiteit te verifiëren en toegang te krijgen tot de bron die hij wil raadplegen.