Ben je gehackt? Eerste hulp bij data-ongevallen

5 mrt 2020

We springen volop op de digitale sneltrein. Onze data wordt online opgeslagen en verwerkt, en het aantal apparaten dat verbonden is met het internet, neemt sterk toe. Wat helaas ook toeneemt, is het risico om gehackt te worden én de impact van zo’n hack.

Techzine: bedrijfskost van een datalek stijgt met 12 procent
Computable: Aantal cyberaanvallen stijgt naar recordhoogte

Ook al zijn organisaties er meestal heilig van overtuigd dat hun apparaten goed beveiligd zijn, toch duikt in werkelijkheid een hack – vaak gepaard met een gegevenslek – sneller op dan je denkt.  We zoomen kort in op een geanonimiseerd praktijkvoorbeeld. Een franchisehouder van een gerenommeerd retailbedrijf contacteerde ons in paniek. Er waren op enkele weken tijd tienduizenden euro’s van de bankrekening verdwenen zonder dat iemand een actieve betaalopdracht had gegeven. Na een check-up door ons IT team bleek de laptop van een salesmedewerker gehackt te zijn. Deze medewerker stond onder andere in voor de doorbestelling van artikelen binnen een bepaald segment en had een kredietkaart van het bedrijf ter beschikking. Hackers hadden toegang verkregen tot zijn laptop en de financiële gegevens onderschept. Tijd dus om je voorzorgen te nemen!

Heb je een specifieke vraag? Klik gerust door op de inhoudstabel:

  1. Wat is hacking?
  2. Hoe kan je herkennen of je gehackt bent?
  3. 9 stappen om te ondernemen direct nadat je gehackt bent
  4. Conclusie

Wat is hacking?

We omschrijven een hack als “een ongeautoriseerde inbraak in een computer of netwerk”. De persoon die ongevraagd en ongewenst toegang neemt tot het systeem, noemen we de hacker. Deze persoon kan verschillende motieven hebben. Mogelijk wil de hacker kostbare data ontvreemden om bedrijfsgeheimen te onthullen of de gegevens te verkopen. Of wenst de hacker reputatieschade aan te richten, systemen onbruikbaar te maken of ze in te zetten voor verdere hacking van andere netwerken.

Hoe kan je herkennen of je gehackt bent?

Een hack valt helaas niet te detecteren met een eenvoudige, universele test. Toch zijn er een aantal knipperlichtsignalen die je kan aftoetsen. Je herkent een gehackte computer of gehackte laptop doordat:

  • Je antivirussoftware melding maakt van infecties of plots niet meer werkt;
  • Je toestel plots zeer traag wordt en er onbekende processen actief zijn;
  • Er vanzelf programma’s of websites geopend worden;
  • Je data versleuteld is en dus onleesbaar is geworden;
  • Er nieuwe accounts op je toestel staan die je niet zelf hebt aangemaakt;
  • Je e-mailcontacten zeer veel spam ontvangen van jouw afzendadres;
  • Er plots ongevraagd nieuwe programma’s geïnstalleerd worden;
  • Er toestemming gevraagd wordt om het systeem aan te passen terwijl je zelf geen updates of installaties aan het uitvoeren bent.

In principe kunnen al je netwerkapparaten gehackt worden. Naast computers en laptops kunnen dus ook je netwerkprinters, beveiligingscamera’s, toegangscontrole, alarmsystemen, WiFi-routers en netwerkschijven (bijvoorbeeld je back-upschijven) de toegangspoort vormen voor hackers. Een succesvolle hack gebeurt dikwijls door een gebrekkige configuratie, laks update-, en patchbeleid of veroudering van de technologie.

Wist je dat hackers via één onbeveiligd apparaat zoals een router die niet up-to-date is, mogelijk al aan je bedrijfsboekhouding kunnen geraken?

Een WiFi-router die al enkele maanden niet geüpdatet is, dat klinkt misschien onschuldig. Maar niets is minder waar. In onze IT Audits komt vaak aan het licht dat de bedrijfsboekhouding en gedeelde bestanden op netwerkschijven (vaak geconfigureerd als de Z-schijf) simpelweg toegankelijk zijn zonder dat hiervoor een wachtwoord nodig is. Beveiliging is dus op verschillende niveau’s nodig.

Is mijn bedrijf gehackt?

9 stappen om te ondernemen direct nadat je gehackt bent

Wanneer je vermoedt dat je gehackt bent, volg dan dit stappenplan dat je zal helpen om de gevolgen te beperken:

1. Keep calm, don’t panic

De eerste gouden raad: schiet niet meteen in paniek maar laat een verdacht signaal zo snel mogelijk onderzoeken en verifiëren. Je kan de klok helaas niet terugdraaien. En het is best mogelijk dat vreemde signalen te wijten zijn aan een andere oorzaak.

Zijn er in jouw organisatie procedures voorzien omtrent het detecteren van datalekken? Volg deze dan nauwgezet op. Zijn deze niet aanwezig? Volg dan de stappen uit dit artikel verder op.

2. Verbreek de verbinding tussen je toestel en het netwerk

Zorg ervoor dat de hacker niet dieper in het bedrijfsnetwerk binnen raakt door het gehackte toestel los te koppelen van het netwerk waarin het zich bevindt. Schakel de WiFi-verbinding uit en maak de eventuele netwerkkabel los.

3. Documenteer waar het fout liep

Op dit moment is het belangrijk dat je bedenkt of er handelingen zijn die je vlak voor de mogelijke hack hebt uitgevoerd. Wanneer het hack lang geleden heeft plaatsgevonden, probeer je dan te realiseren op welke datum het vermoedelijk is ontstaan. Omschrijf alle informatie die je hebt zo concreet mogelijk in je rapportering van het hack aan de DPO, IT-verantwoordelijke en/of het management.

Probeer in geen enkel geval het hack te verbergen of verzwijgen voor het management. Het is cruciaal om op een doordachte manier in actie te komen en de gevolgen van de hack zo goed mogelijk in te perken.

De volgende vragen kunnen je helpen om te omschrijven wat je aan het doen was op het gehackte toestel, en hoe en wanneer je je realiseerde dat het toestel mogelijk gehackt werd:

  • Welke applicaties (software) stonden er open?
  • Ontving en/of opende je een mysterieuze e-mail?
  • Welke randapparatuur was gekoppeld aan het gehackte toestel?
  • Waren er verwijderbare opslagapparaten zoals usb-sticks of externe harde schijven gekoppeld aan het gehackte toestel?
  • Welke signalen wezen op een hack?
  • Wat heb je gedaan nadien je het hack ontdekt hebt?

Zo help je de IT-experten op weg om de oorzaak zo snel mogelijk uit te klaren.

4. Schakel een expert in

Nu je grondig gedocumenteerd hebt wat zich heeft voorgedaan, is het tijd om de hulp van een specialist in te schakelen. Contacteer de IT-verantwoordelijke van je bedrijf of je externe IT partner. Blijf even van het toestel af om te voorkomen dat de schade uitbreidt en/of het bewijsmateriaal wegsijpelt.

Wist je dat er ook een “ethische hack” bestaat voor je netwerk? Op die manier wordt er een hack gesimuleerd om na te gaan welke gevaren er dreigen en welke datalekken er eventueel aanwezig zijn.

5. Vervang je wachtwoorden

Om ervoor te zorgen dat de hacker niet dieper in het netwerk kan binnen geraken, is het belangrijk om de gebruikerswachtwoorden te veranderen van alle toetellen die toegang hadden tot het gehackte netwerk. Denk aan toegangswachtwoorden van de apparaten, en wachtwoorden voor beheerderspanelen, CMS-systemen, software en mailaccounts.

Tip: lees ook onze blog over veilige wachtwoorden met een handige tool om te testen of je wachtwoord werd buitgemaakt in een bekende hack waarvan de gegevens in een online databank staan.

6. Ga na of er sprake is van een datalek

Heeft de hacker bedrijfsinformatie, gevoelige informatie of persoonsgegevens kunnen buit maken? Dan is er sprake van een datalek. Bij een datalek waarin persoonsgegevens zijn uitgelekt (van bijvoorbeeld prospecten, klanten, medewerkers of andere zakelijke relaties) zijn er wettelijke plichten van toepassing. Registreer het datalek in het incidentenregister en meld hierbij:

  • Wat er is gebeurd
  • Wanneer het is gebeurd
  • Of het datalek gemeld is aan de autoriteit
  • Of het datalek gemeld is aan de betrokkenen
  • Waarom het datalek al dan niet gemeld is
  • Welke maatregelen er zijn genomen om het datalek te stoppen of in te perken
  • Welke maatregelen er zullen worden genomen om datalekken in de toekomst te voorkomen

7. Meld het internetmisbruik

Via een aangifte bij de politie

Met een aangifte kan de politie een onderzoek starten naar de daders en heb je een bewijs voor je verzekeraar. Je kan aangifte doen via het meldpunt of op het politiekantoor.

Doe indien nodig een aangifte bij de Gegevensbeschermingsautoriteit

Ga na of je verplicht bent om het gegevenslek binnen de 72 uur kenbaar te maken bij de Gegevensbeschermingsautoriteit (GBA) en/of aan de betrokkenen. De autoriteit verzamelde op een informatieve pagina in haar website alle informatie over de meldplicht.

Eerste hulp nodig bij het melden van datalekken? Lees verder in deze blog.

8. Herstel je data via back-ups

Is er data verloren gegaan of moet je tijdelijk werken via een ander toestel? Laat dan je gegevens terug plaatsen via een back-up.

Opgelet: staat de back-up van je data op een externe harde schijf of netwerkschijf die in directe verbinding stond met het gehackte toestel? Dan is deze data mogelijk ook onbruikbaar. Daarom adviseren we steeds om back-ups off-site in een afgeschermd netwerk op te slaan.

9. Evalueer het lek en je beveiligingsmaatregelen

Wil je vermijden dat er in de toekomst nog vaker ingebroken wordt in toestellen in je bedrijfsnetwerk, dat pc’s geïnfecteerd worden met ransomware of dat wachtwoorden gehackt worden? Evalueer dan of de beveiligingsmaatregelen nog voldoende sterk zijn.

Pas indien nodig het werkproces en de bijhorende procedures aan om een gelijkaardige hack in de toekomst te vermijden.

Conclusie

Zorg ervoor dat je goede digitale gewoontes ontwikkelt en het oog op scherp houdt zodat je verdachte zaken op je computer snel kan opsporen. Met de bovenstaande negen acties kan je de impact van een hack inperken, maar enkel wanneer de detectie ervan snel plaatsvindt.

In de praktijk merken we echter dat bedrijven vaak zelf niet op de hoogte zijn van de aanwezige datalekken. Het duurt soms jaren vooraleer ze (in bijvoorbeeld een audit) aan het licht komen. Dat komt omdat er onvoldoende kennis en een erg beperkte bewustmakingscultuur heerst rondom de veilige omgang met informatietechnologie.

De vele berichtgeving over ransomware-aanvallen en hackers lijken misschien een ver-van-ons-bedshow, maar in de praktijk is digitale technologie vaak ondermaats beveiligd. Dagelijks verschijnen er persartikelen die wijzen op inbreuken en onderinvesteringen in cybersecurity.

Neem in elk geval deze drie bijkomende voorzorgsmaatregelen die je kunnen helpen om een hack voor te zijn:

  1. Voer een gedetailleerd IT veiligheidsbeleid in waaraan iedere medewerker gehouden is. Zo zorg je enerzijds voor een bewustzijnscultuur en motiveer je anderzijds je team om op een veilige manier om te gaan met je kostbare bedrijfsgegevens.
  2. Bekijk of alle bedrijfstoestellen (computers, laptops, servers maar ook de andere netwerkapparatuur) steeds voorzien worden van de nieuwste (geteste) updates en software-releases.
  3. Onderzoek of de kritieke bedrijfstoestellen proactief gemonitord worden op KPI’s zoals netwerkverkeer, updatebeleid,..

Ben je vermoedelijk het slachtoffer geworden van hacking en wil je dit aftoetsen met een expert? Of wil je proactief de IT infrastructuur van je organisatie laten doorlichten via een IT audit? Maak dan een belafspraak met een van onze IT Security Specialisten.

Direct chatten

Danny Daniëls

Danny Daniëls

Data Protection Officer & Ethical Hacker

De technische stuwkracht achter Datalink is Danny Daniëls. Als Netwerkarchitect bedenkt, bouwt en onderhoudt hij de IT architectuur van kmo's, en ontwikkelt hij cloud infrastructuren. Dankzij zijn specialisatie als Data Protection Officer en Ethical Hacker heeft hij een onwaarschijnlijk kennisniveau op het gebied van databeveiliging.