Wanneer elke minuut telt, heb je een rustig hoofd en een strak plan nodig. Hieronder vind je een praktische, nuchtere aanpak gebaseerd op richtlijnen van het Nationaal Cyber Security Centrum (NCSC).
1) Snel herkennen & alarmeren
Signalen van een hack
- Onverklaarbare inlogpogingen, nieuwe doorstuurregels of wijziging van hersteladressen in e-mail.
- Instellingen of applicaties die “vanzelf” veranderen; onbekende beheerdersaccounts.
- Ransomware-melding of plots versleutelde bestanden.
- Uitschieters in netwerkverkeer of cloud-logs.
Direct doen (eerste 30–60 min.)
- Isoleer het getroffen systeem of segment van het netwerk.
- Start je Incident Response Plan (IRP) en stel je team/leverancier op de hoogte.
- Veiligstellen: maak snapshots, stel eventueel volledige images veilig en verzamel relevante logs (niet wissen!).
- Controleer en bescherm je back-ups (offline/immutabel).
Is er sprake van ransomware? Lees dan dit inhoudelijke artikel van het NCSC. Handvatten: NCSC Incident Response Plan Ransomware
2) Beheersen, beoordelen, beslissen
Omvang & impact bepalen
- Systemen: welke servers, endpoints, cloud-diensten en accounts zijn geraakt?
- Data: is er mogelijk onrechtmatige toegang of exfiltratie geweest (persoonsgegevens, IP, klantdata)?
- Processen: welke primaire processen liggen stil en wat is de bedrijfsimpact?
Melden & opschalen
- Strafbaar feit: doe aangifte bij de politie (0900-8844). DTC: Aangifte of melding doen
- Datalek? Onderzoek meldplicht aan Autoriteit Persoonsgegevens (AP) en informeer betrokkenen waar nodig.
- Vitale/essentiële entiteiten (NIS2): volg de sectorale meldplichten en informeer bevoegde CSIRT/NCSC conform wetgeving.
Herstel & hardening
- Reset en heruitgifte van wachtwoorden; MFA aan op alle kritieke diensten.
- Patchen en config-herstel; segmentatie doorvoeren om laterale beweging te beperken.
- Herstellen vanaf schone back-ups; overweeg schone installaties bij twijfel.
3) To-Do checklist voor je team
| Stap | Actie | Doel |
|---|---|---|
| 1 | Netwerksegment of systeem isoleren | Verspreiding stoppen |
| 2 | Logs, artefacten en snapshots (forensisch) veiligstellen | Bewijs & root cause achterhalen |
| 3 | Incident Respons team activeren, management informeren | Besluitvorming versnellen |
| 4 | Mogelijk datalek? Beoordeel en meld tijdig | Voldoen aan wet- en regelgeving |
| 5 | Wachtwoorden reset, sessies intrekken, MFA aan | Eventuele ingangen sluiten |
| 6 | Patchen, config-hygiëne, EDR tuning | Kwetsbaarheden dichten |
| 7 | Herstel vanaf schone back-ups / herinstallatie | Schone operatie herstellen |
| 8 | Stakeholders communicatie (klanten/leveranciers) | Transparantie & vertrouwen borgen |
| 9 | Incident review en verbeterplan | Weerbaarheid verhogen |
Aanvullende handvatten: NCSC: Incidentresponse – waar begin ik?
4) Wat je niet moet doen
- Geen paniek: systemen blijven gebruiken terwijl je vermoedt dat ze gecompromitteerd zijn. Trial & Error: Laat specialisten kijken naar veiligstelling, onderzoek/analyse en RCA.
- Geen losgeld betalen zonder zwaarwegend gespecialiseerd advies en risico-afweging; het biedt geen garantie en kan herhaling uitlokken.
- Geen logbestanden opschonen “omdat het sneller is” — je verliest cruciale sporen.
- Geen stilzwijgen richting stakeholders als er reële impact is; communiceer feitelijk en tijdig. Open en eerlijke communicatie helpt je uit de crisis.
Lees meer over het betalen van ransom: DTC over losgeldbetaling
5) Vooruitkijken: van herstel naar weerbaarheid
Basis op orde
- Back-ups (off-site, offline/immutabel) en hersteltests.
- Patch- en vulnerability-management, applicatie-whitelisting, EDR.
- Netwerksegmentatie en least-privilege inrichten van toegangsrechten.
- MFA en wachtwoordhygiëne (password manager), password less toegang wanneer mogelijk en opportuun.
Mensen & processen
- Bewustzijn en training (open meldcultuur, verbeteringen aandragen).
- Incident Response Plan onderhouden en oefenen (table-tops).
- Leveranciers- en ketenrisico’s adresseren (contractueel & technisch).
Hulp van Kynexis: liefst preventief, ad-hoc als het écht moet
We helpen je het liefst preventief, bijvoorbeeld met een Incident Responseplan en een security audit om verbeteringen te kunnen aandragen. Ook bieden we boardroom sessies en table-top oefeningen zodat je organisatie voorbereid is op een incident.
Een incident 100% voorkomen is een utopie. Je reactie voorbereiden en zorgen dat de kans verkleinen dat je organisatie gehackt wordt kan wél!
Plan een boardroom sessie.