Stap 1: Blijf kalm
Als u geconfronteerd wordt met een hack is het zaak om geen overhaaste of ondoordachte dingen te doen. Op het moment dat u vaststelt dat u het slachtoffer bent van een hack of ransomware aanval, overheersen waarschijnlijk eerst boosheid en machteloosheid, maar de ratio zal snel de overhand moeten krijgen, wilt u de schade kunnen beperken en zo snel mogelijk weer aan het herstel kunnen beginnen. Zo kan het een reflex zijn om de besmette computers uit te zetten, maar het is juist beter om deze aan te laten staan, omdat door het uitschakelen belangrijk forensisch bewijsmateriaal verloren kan gaan die nodig is om het herstel te bespoedigen.
Stap 2: Verbreek alle netwerkverbindingen
De volgende stap is om zo snel mogelijk de aangetaste machine(s) te isoleren van de rest van het netwerk om verdere verspreiding te voorkomen. Dat betekent het zo snel mogelijk verbreken van alle fysieke en draadloze netwerkverbindingen.
Zoals in stap 1 beschreven: laat de computers absoluut aanstaan om te voorkomen dat belangrijke sporen verloren gaan.
Stap 3: Bel uw IT-partner of beheerder en FG
De kans is niet heel groot dat u dit zelf kunt oplossen, dus zorg ervoor dat u, als volgende stap, uw IT-partner of - als u deze heeft - uw eigen IT-afdeling op de hoogte brengt van wat er is gebeurd. Zij kunnen u snel advies geven over wat nu te doen, helpen de schade te beperken en te herstellen. Ook dient u uw interne Functionaris Gegevensbescherming (FG) op de hoogte te brengen.
Stap 4: Verzekerd? Bel uw verzekeraar
Als u bent verzekerd tegen cybercrime is dit een goed moment om uw verzekeraar te informeren. Deze kan u - afhankelijk van de polis of geboden dienstverlening - verder helpen met de afhandeling van de hack en zorgt ervoor dat u de opgelopen schade kunt claimen/verhalen.
Stap 5: Bel een cybersecurity expert
Het herstellen van een hack is zelfs voor de meeste systeembeheerders of Managed Service Providers geen dagelijkse kost. Het is een specialistisch vak op het snijvlak van systeembeheer en forensisch onderzoek. Een cybersecurity expert heeft dagelijks te maken met hacks en kan in het beste geval, als u bent getroffen door een bekende vorm van ransomware, de zaak weer snel op de rit krijgen. Deze expert kan u ook helpen met advies over bijvoorbeeld communicatie en de verder te volgen stappen. Indien u verzekerd bent tegen cybercrime, dan heeft uw verzekeraar mogelijk een partij in de arm genomen die u verder dient te helpen.
Stap 6: Doe aangifte bij de politie
Een hack of andere vorm van cybercrime is een crimineel delict waarvan u aangifte dient te doen. De politie kan u vervolgens bijstaan in de opsporing en arrestatie van de cybercriminelen in kwestie.
Stap 7: Maak een melding bij de Autoriteit Persoonsgegevens
Indien noodzakelijk dient u binnen uiterlijk 72 uur een melding omtrent de hack bij de Autoriteit Persoonsgegevens (AP) te doen. Niet elke hack hoeft gemeld te worden, maar het komt eigenlijk maar zelden voor dat een hack volgens de guidelines van de AP niet meldenswaardig is.
De AP zegt hierover: “Of u een datalek moet melden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. U hoeft een datalek niet te melden als het niet waarschijnlijk is dat het datalek leidt tot een risico voor de rechten en vrijheden van betrokkenen. Kijk voor meer informatie hierover op de site van de AP.
Betalen of niet betalen?
Een laatste dilemma om mee af te sluiten, is de vraag of u een eventueel gevraagd losgeld wel of niet betaald. Door verdere professionalisering van de aanpak van cybercrime van overheidsinstanties lukt het steeds vaker om de zogenaamde decryptiesleutels te verkrijgen, waardoor u zonder betalen weer kunt herstellen. Maar dit lukt nog lang niet altijd. Dat maakt betalen, zeker naarmate uw situatie nijpender wordt, een aantrekkelijke optie.
Het is natuurlijk nog maar de vraag of u na betaling ook werkelijk al uw gegevens terugkrijgt. Daarom is er geen universeel antwoord of advies. Betaling geeft geen 100% garantie op een volledig herstel, maar uiteindelijk hebben de cybercriminelen ook een verdienmodel in stand te houden. Een goede service (lees, het weer vrijgeven van uw data) betekent dat betalen blijft lonen, voor de crimineel en slachtoffer. Maar daarnaast zijn er natuurlijk ook instanties die even terecht zeggen dat door te betalen cybercriminelen “in leven” worden gehouden. Maar als het leven van uw eigen organisatie afhangt van herstel, kan dit een verduiveld ingewikkeld dilemma opleveren. Laat u hierin dus adviseren door uw cybersecurity expert en de politie.
Incident Response Plan
Bovenstaand plan is slechts een schets van wat er allemaal moet gebeuren in het geval van een hack. Het is een complexe overval op uw organisatie, waarop het beste antwoord een goede voorbereiding is als het dan toch mis is gegaan. ICT Concept denkt graag met u mee over hoe uw Incident Response Plan eruit moet zien, toegespitst op de processen en personen die voor uw organisatie belangrijk zijn.
Ik hoop voor u dat het in de praktijk nooit toegepast zal hoeven te worden, maar hoop is een slechte strategie. Neem daarom contact met ons op voor een passend advies.
Dit artikel staat ook in Legal&Tech 6, het volledige magazine kunt u hier downloaden.
De meeste mensen in de juridische wereld kennen mij als een adviseur in de ICT, wat ook mijn passie is. Dagelijks ben ik op mijn werk, thuis en onderweg met ICT en de ontwikkelingen op dat gebied bezig. Met ICT ben ik in staat om op veel vraagstukken een antwoord te geven. Ik ben een trendsetter, loop rond met de nieuwste gadgets. Niet om indruk te maken, maar om te beleven. Bespaart het tijd, maakt het mijn leven eenvoudiger en is het veilig? Zo ja, dan help ik ook mijn cliënten hiermee en met de uitdagingen die ze ervaren. Zo probeer ik hen te ondersteunen bij hun passie!