Het komt helaas nog al eens voor, MKB bedrijven die gehackt zijn.
Ruim 60% van de bedrijven in het MKB werden slachtoffer van enige vorm van cybercriminaliteit, maar wat kun je doen?
Iedereen kan slachtoffer worden van een cyberaanval, maar toch is een groot gedeelte van de aanvallen te wijten aan onvoldoende beveiliging. Dus zorg voor een goede meerlaagse beveiliging en kweek awareness onder je collega's.
Maar wat kun je doen als je gehackt bent?
Heel belangrijk is dat je op zo'n moment rustig blijft en adequaat handelt. Het is zeker niet altijd meteen duidelijk dat je gehackt bent. Een aanval met ransomware is vrij duidelijk, echter als een hacker er op uit is om gegevens te stelen, dan zal hij dat zo onopvallend mogelijk proberen te doen.
Het is belangrijk om je computer in de gaten te blijven houden en te controleren op ongewone activiteit, bijvoorbeeld via taskmanager. Als je computer plotsklaps heel traag wordt dan is er iets aan de hand, vaak is het een programma dat niet correct functioneert, maar het kan ook een teken zijn van een hack. Als er plotseling extra bestanden of programma's op je PC staan, dan kan dat een aanwijzing zijn, maar ook als er van uit het niets extra accounts op je PC of in Active Directory staan. Heb je op een link geklikt of een bijlage geopend en er gebeurt niets, kijk dan aub je PC na.
Als je gehackt bent dan kun je kunt de volgende stappen gebruiken als leidraad:
1) Blijf kalm
Paniek help niet, zeker niet in dit geval. Neem de tijd om goed na te denken wat je volgende stappen zullen zijn. Het kwaad is al geschiet dus die extra paar minuten zullen in de meeste gevallen niet bepalend zijn. Probeer in te schatten wat er is gebeurd en wat het bereik van de hack kan zijn, is het jouw PC of gaat het veel verder? Registreer alles wat je doet, dit helpt enorm als je een datalek moet melden. Maar houdt vooral het hoofd koel!
2) Verbreek de verbinding
Zet je computer niet uit, hiermee kun je ongewild sporen en bewijs verwijderen, maar verbreek de verbinding van je computer met het netwerk. Hackers hebben vaak toegang tot je PC of netwerk via het Internet, door de verbinding te verbreken, ontzeg je de hacker toegang. Je kunt de netwerkkabel uit je computer halen, maar denk ook aan het verbreken van de verbinding met het wifi-netwerk. Als de hack verder gaat dan jouw PC dan is het te overwegen om de koppeling van het netwerk met het Internet te verbreken, bijvoorbeeld door je firewall uit te schakelen. Dit laatste is helaas niet altijd mogelijk, veel bedrijven zijn afhankelijk van de internettoegang. Een van onze specialisten zou kunnen nagaan vanuit welk ip-adres de hacker opereert en dat specifiek ip-adres kunnen uitsluiten. Houd er wel rekening mee dat hackers vaak meerdere ip-adressen achter de hand hebben.
3) Verander je wachtwoorden
Als je PC gehackt is, dan is de kans zeker aanwezig dat de hacker toegang heeft (gehad) tot je wachtwoorden. Verander dus je wachtwoorden, maar niet vanaf de gehackte PC, want de hacker kijkt mee. Gebruik het liefst langere wachtwoorden of zelfs wachtzinnen en stop er ook wat cijfers en leestekens in. Een langer wachtwoord kost meer tijd om te kraken, met elk teken dat je toevoegt stijgt de benodigde tijd om te kraken tijd exponentieel. Overweeg ook de inzet van multi-factor authenticatie, voor veel websites en diensten is dit trouwens al een must.
4) Wat is er gebeurd en wat zijn de vervolgacties
Probeer te achterhalen wat er gebeurd is, dus hoe de hack heeft plaats kunnen vinden en wat er gehackt is. In veel gevallen is het raadzaam om een specialist in te schakelen, die kan je verder helpen, zoals het onderzoeken van de PC die in stap 2 van het netwerk gehaald is. De beste manier om van malware op een computer af te komen is het apparaat compleet opnieuw installeren, dan ben je zeker dat de malware verwijderd is. Er zijn legio voorbeelden dat bijvoorbeeld virusscanners inderdaad de malware verwijderen, maar het hulpprogramma dat door de hacker geplaatst is, laten staan. Hackers maken ook gebruik van standaard Windows tools om malware op een PC te krijgen, zoals de taakplanner of WMI. Je kunt overwegen om een volledige backup terug te zetten, ben er wel van overtuigd dat het een backup is van voor de hack. Soms zit er niets anders op dat een computer volledig na te zien op ongewenste werking of malware, houd er rekening mee dat dit een tijdsintensieve taak is. Monitor vervolgens de aankomende tijd het internetverkeer op verdachte verbindingen, als er iets van malware is blijven staan, dan zal deze malware zich melden bij de hacker via de internetverbinding.
Als er persoonsgegevens gestolen zijn, dan dien je dit als datalek te melden bij de Autoriteit Persoonsgegevens en vaak ook bij de betrokkenen.
Het kan zijn dat er een hack heeft plaatsgevonden om ransomware op de systemen te plaatsen. Je kunt dan pas bij je gegevens als je betaald hebt. Betaal niet! Er is geen enkele garantie dat je je data weer terugkrijgt en je houdt het verdienmodel van de hackers in stand. Het kan zijn dat je decryptietools kunt vinden op het Internet, bijvoorbeeld via het 'No More Ransom Project' (link: https://www.nomoreransom.org/nl/index.html) een initiatief van o.a. de Nederlandse politie. Het makkelijkste is het terugzetten van een backup, als deze niet versleuteld is.
5) Voorkomen is beter dan genezen
Je kunt beter investeren in het voorkomen van hacks, dan in het oplossen ervan. Een belangrijk punt daarbij is het trainen van je collega's, zorg er voor dat ze alert zijn op afwijkingen en laat ze aan de bel trekken. Naast trainingen bestaan er ook technische hulpmiddelen om hacks te voorkomen. Hedendaagse geavanceerde firewalls kunnen malware in het internetverkeer vinden en blokkeren en ze herkennen aanvalspatronen. Een goede virusscanner spreekt voor zich, maar ook een goede backupstrategie.
#StaySafe
