Het eerste uur na een hack: wat je wel en vooral niet moet doen

Ransomware op het scherm of een gekaapte mailbox — de eerste beslissingen bepalen hoe groot de schade wordt. Een nuchter stappenplan voor bedrijven zonder eigen securityteam.

Het is maandagochtend, de bestanden op de server openen niet meer en op het scherm staat een betaaleis. Of subtieler: klanten bellen dat ze vreemde facturen ontvangen vanaf jullie mailadres. Wat je in het eerste uur doet — en laat — bepaalt in hoge mate hoeveel schade het incident uiteindelijk aanricht.

De grootste fouten worden gemaakt uit paniek. Dit stappenplan is geschreven voor bedrijven zonder eigen securityteam, om uit te printen en in de kast te leggen.

Doe dit wel

1. Isoleer, maar zet niets uit. Koppel getroffen apparaten los van het netwerk: trek de netwerkkabel eruit of schakel wifi uit. Maar laat de apparaten zelf áán staan. In het werkgeheugen zit bewijsmateriaal — sporen van de aanvaller, soms zelfs encryptiesleutels — dat bij uitschakelen definitief verdwijnt.

2. Bescherm je back-ups als eerste. Als er nog een back-up draait of bereikbaar is, koppel die dan direct los. Ransomwaregroepen zoeken actief naar back-ups; een overlevende back-up is straks je redding.

3. Bel om hulp. Zonder eigen IT’er: bel je IT-leverancier en meld dat het om een beveiligingsincident gaat, niet om een gewone storing. Heb je een cyberverzekering, bel dan óók meteen de verzekeraar — de meeste hebben een 24-uurs incidentlijn en betalen alleen als je ze vroeg betrekt.

4. Schakel over op een ander kanaal. Ga ervan uit dat de aanvaller kan meelezen in je e-mail. Coördineer via telefoon of een privé-appgroep totdat duidelijk is wat er aan de hand is.

5. Begin een logboek. Noteer vanaf minuut één wat je ziet en wat je doet, met tijdstippen. Voor de verzekeraar, voor het forensisch onderzoek en — bij persoonsgegevens — voor de melding bij de Autoriteit Persoonsgegevens, die binnen 72 uur moet.

Doe dit niet

Betaal niet meteen. Wat de druk op het scherm ook zegt: een losgeldbeslissing hoeft nooit in het eerste uur. Betalen garandeert niets, en in veel gevallen blijkt herstel via back-ups mogelijk.

Ga niet zelf opruimen. Malware verwijderen, systemen herinstalleren, wachtwoorden massaal resetten vóórdat iemand heeft vastgesteld hoe de aanvaller binnenkwam — het voelt daadkrachtig, maar je vernietigt bewijs en de aanvaller komt via dezelfde weg terug.

Communiceer niet met de aanvaller zonder plan. Elke reactie geeft informatie prijs. Laat contact met afpersers over aan de professionals die je bij stap 3 hebt gebeld.

Houd het niet stil. Een incident verzwijgen voor personeel, klanten of toezichthouders maakt de schade vrijwel altijd groter. Eerlijke, tijdige communicatie wordt bovendien gewoon van je verwacht onder de AVG.

Regel het vandaag, niet tijdens de brand

Print dit stappenplan, vul de telefoonnummers in (IT-leverancier, verzekeraar, directie) en leg het op een vindbare plek — niet alleen digitaal, want juist die systemen liggen er straks uit. Wil je een stap verder gaan, oefen het scenario dan één keer per jaar aan de vergadertafel: een uurtje “wat doen we als…” leert je meer over je eigen organisatie dan tien beleidsdocumenten.

Redactie CybersecurityNieuws.nl

Blijf op de hoogte

Volg CybersecurityNieuws.nl via RSS en mis geen enkel beveiligingsnieuws. Zelf iets gezien dat wij moeten weten? Tip de redactie.