Help! Mijn organisatie is gehackt

Author info

01/12/2019


Help! Mijn organisatie is gehackt	Uw dienstverlener wordt getroffen. Wat nu?	Wat zijn mijn juridische verplichtingen?	Hoe kunnen wij helpen uw cybersecurity te verbeteren?

Netwerk- en informatiesystemen spelen tegenwoordig een essentiële rol in veel organisaties. Het hoeft dan ook niet te verbazen dat dergelijke systemen meer dan ooit het doelwit zijn van cyberaanvallen door hackers en criminelen van over de hele wereld. Hoe kunt u zich als organisatie voorbereiden en wat moet u doen als er een cyberaanval plaatsvindt?

A. Identificeer het type aanval

In de eerste plaats is het van cruciaal belang uit te zoeken wat voor aanval er is uitgevoerd op het netwerk en het informatiesysteem van de organisatie.

In de onderstaande tabel staan enkele veel voorkomende cyberaanvallen, maar vaak bestaat één incident uit een combinatie van verschillende soorten aanvallen:

Type aanval	Wat betekent het?
Ransomware	Ransomware-aanvallen zoals WannaCry, CryptoLocker en (Not)Petya bestaan uit het versleutelen van alle computerbestanden van de organisatie via een zwakke plek in het systeem. De bedoeling is dat de hacker de ontsleutelingssleutel pas geeft nadat een bepaald bedrag aan losgeld is betaald. De slachtoffers zijn meestal (beursgenoteerde) multinationals die, volgens de hackers, over voldoende middelen beschikken om het losgeld te betalen. Het wordt in ieder geval sterk afgeraden om losgeld te betalen. Het betalen van het losgeld garandeert niet dat de criminelen de decryptiesleutel zullen geven of dat ze niet meer losgeld zullen vragen.
Malware	Malware-aanvallen bestaan meestal uit het installeren van kwaadaardige software op de systemen van de organisatie, vaak per ongeluk door een werknemer zonder dat de werknemer dit zelfs maar beseft. Dergelijke aanvallen zijn er in verschillende vormen: ransomware, maar bijvoorbeeld ook spyware die de bedrijfsgeheimen van de organisatie steelt en/of openbaar maakt.
(D)DoS	Bij (gedistribueerde) Denial-of-Service (DoS)-aanvallen overbelasten hackers de systemen van de organisatie op zodanige wijze dat deze vastlopen. Hierdoor komen de activiteiten van de organisatie gedurende een bepaalde periode stil te liggen. Hoe lang de downtime duurt, hangt meestal af van het type aanval. Bij een gedistribueerde DoS-aanval kan het voor de organisatie moeilijk zijn om de bronnen van de aanval op te sporen.
Phishing	Phishing-aanvallen bestaan erin dat een werknemer wordt benaderd door een schijnbaar betrouwbaar persoon die op verschillende manieren gevoelige informatie probeert te stelen. De criminelen weten meestal van tevoren hoe de organisatie werkt. Een veelvoorkomend voorbeeld is CEO/CFO-fraude, waarbij criminelen zich voordoen als een directeur die schijnbaar vraagt om een zeer dringende betaling te doen.
Brute force	Bij brute force aanvallen probeert de hacker het systeem van de organisatie binnen te dringen door herhaaldelijk de gebruikersnaam en het wachtwoord te raden. Dit gebeurt op een geautomatiseerde manier. Dergelijke aanvallen blijken regelmatig succesvol te zijn door het gebruik van zwakke of gecompromitteerde wachtwoorden (credential stuffing). Een wachtwoordmanager kan uw wachtwoorden zowel complexer als langer maken, waardoor u een beschermingslaag tegen hackers krijgt.

In ieder geval wordt het sterk afgeraden om losgeld te betalen.

Het behoeft geen betoog dat hackers en criminelen hun aanvalsmethoden, -middelen en -technologie voortdurend verbeteren, aanpassen en verfijnen, zodat aanvallen relatief hoge succespercentages (blijven) halen. Dit heeft geleid tot een zeer divers en dynamisch dreigingslandschap, met veel andere soorten cyberaanvallen dan de hierboven genoemde. Andere mogelijke cyberaanvallen zijn:

Hoewel sommige aanvallen slechts een kleine zwakte in het netwerk of informatiesysteem vereisen, zijn menselijke fouten of gebrekkige beveiligingspraktijken, -processen en -procedures vaak al voldoende om de aanval te doen slagen. De dreiging hoeft niet altijd afkomstig te zijn van een externe bron, maar kan ook van binnen de organisatie zelf komen, bijvoorbeeld van een tijdelijke werknemer of een (voormalige) medewerker.

1. Interne escalatie

Elke organisatie krijgt op een bepaald moment te maken met een aanval. Wanneer zich een aanval voordoet, is het van belang dat

de aanvalsindicatoren zo snel mogelijk worden opgespoord en als zodanig worden geïdentificeerd, en
de juiste personen worden geïnformeerd.

Dit betekent dat de juiste procedures voor detectie, melding en escalatie moeten worden ontwikkeld en toegepast.

2. Business continuity plan

In sommige gevallen zal het onmiddellijk duidelijk zijn dat uw organisatie door een cyberaanval is getroffen. In dat geval moet een geïmplementeerd incident response programma, inclusief een getest bedrijfscontinuïteitsplan of "business continuity plan" (BCP), uw organisatie in staat stellen essentiële activiteiten voort te zetten tijdens downtime van het netwerk of informatiesysteem. Het is de bedoeling de schade en de impact tot een minimum te beperken en zo snel mogelijk terug te keren naar business-as-usual.

3. Disaster recovery plan

Een belangrijk onderdeel van het bedrijfscontinuïteitsplan is het rampherstelplan of "disaster recovery plan" (DRP). Dit plan bepaalt hoe het netwerk en het informatiesysteem kunnen worden hersteld na een cyberaanval. Een belangrijk onderdeel van een dergelijk plan is niet alleen het opstellen van de vereiste plannen en beleidslijnen, maar ook het vooraf testen van deze plannen en beleidslijnen en de bijbehorende processen en procedures.

B. Zet een taskforce op

Uw organisatie moet niet alleen technische en organisatorische maatregelen treffen om een cyberaanval te detecteren, maar ook snel en correct handelen als zich een cyberaanval voordoet. Een onmisbaar onderdeel van het cyberincidentbestrijdingsprogramma van uw organisatie is dan ook het aanstellen van een cyberincidentent taskforce bestaande uit de juiste mensen.

Hoewel de concrete samenstelling van de cyberincidentent taskforce van organisatie tot organisatie kan verschillen, bestaat deze doorgaans uit mensen van het hoger management en vertegenwoordigers van de IT-afdeling, de juridische afdeling, compliance (inclusief de DPO) en de marketingafdeling.

De cyberincident taskforce van de organisatie moet op zeer korte termijn kunnen (e-)vergaderen om besluiten te nemen overeenkomstig het cyber incident response plan. De taskforce van de organisatie zal een belangrijke rol spelen in de wijze waarop de cyberaanval wordt afgehandeld en gecommuniceerd binnen de organisatie en naar het grote publiek. Zeker voor beursgenoteerde organisaties is communicatie van cruciaal belang.

C. Volgende stappen

1. Wat moet je onmiddellijk doen als je het nog niet hebt gedaan?

Beoordeel het huidige niveau van uw organisatie op het gebied van cyberbeveiliging.
Implementeer de vereiste technische en organisatorische maatregelen om cyberaanvallen zo snel mogelijk te detecteren en adequaat te reageren.
Ontwikkel, implementeer en test een adequaat responsprogramma voor cyberincidenten, dat onder meer de implementatie van een BCP en DRP omvat.
Stel een cyberaanval taskforce in bestaande uit de juiste mensen.
Zorg voor bewustwording binnen de gehele organisatie met betrekking tot indicatoren van mogelijke cyberaanvallen.
Monitor het cyberrisicolandschap voortdurend.
Evalueer periodiek de stappen die zijn genomen in het kader van het cyberincidentbestrijdingsprogramma, rekening houdend met nieuwe cyberdreigingen, maar ook met ervaringen uit het verleden en de lessen die zijn geleerd.

2. Wat moet je doen bij een cyberaanval?

Roep onmiddellijk de taskforce bij elkaar. Schakel indien nodig externe hulp in.
Volg de reactieplannen en -procedures voor cyberincidenten van de organisatie.
Beperk de gevolgen voor de organisatie tot een minimum door de juiste maatregelen te nemen om de gevolgen te beperken.
Voldoe aan de toepasselijke wettelijke verplichtingen (melding nodig?).
Implementeer aanvullende maatregelen om soortgelijke cyberaanvallen in de toekomst te voorkomen.

Onmiddellijke hulp nodig? Bel onze cybersecurity hotline.