Ik denk dat mijn bedrijf via mijn computer gehackt is! Wat nu?
Onlangs vond er een cyberaanval plaats in het Universitaire Sint-Pietersziekenhuis van Brussel. Dit ziekenhuis is lang niet het enige dat de laatste 12 maanden geviseerd werd door hackers. “In 90 procent van de gevallen ligt een menselijke fout aan de basis van een cyberaanval,” zegt Ludovic Bellia, crisis manager van het Computer Security Incident Response Team van spotit. Hij geeft enkele gouden tips.
Vorig jaar vonden er gemiddeld 100 aanvallen per dag plaats, berekende het Verbond van Belgische Ondernemingen (VBO) in december 2022. Dat is maar liefst 37 procent meer dan in 2019. En de gevolgen zijn heel groot. Uit recente cijfers van verzekeraar Vanbreda Risk & Benefits blijkt dat 27 procent van de cyberaanvallen leidde tot een tijdelijke onderbreking van de bedrijfsactiviteiten. In 21 procent van de gevallen liep de schade voor een bedrijf op tot meer dan 100.000 euro.
Omdat hackers steeds meer bedrijven, overheden en andere instellingen aanvallen, richtte cybersecuritybedrijf spotit uit Merelbeke exact een jaar geleden het Computer Security Incident Response Team (CSIRT) op. Getroffen bedrijven kunnen de klok rond een noodnummer bellen. De analisten van het CSIRT doen dan aan de hand van een vragenlijst een triage om zicht te krijgen op het probleem, geven advies waarna een team ter plaatse gaat om de aanval te stoppen en het slachtoffer begeleidt in de daaropvolgende stappen.
Phishing en rondslingerende USB-sticks
In 90 procent van de gevallen ligt een menselijke fout aan de basis van een cyberaanval. “Hackers spelen vooral in op de goede bedoelingen van mensen om toe te kunnen slaan en proberen zo efficiënt mogelijk binnen te geraken”, zegt expert Ludovic Bellia. “De minst arbeidsintensieve manier voor cybercriminelen is en masse phishingmails sturen. Uit onze gegevens blijkt dat drie op de tien personeelsleden op zo’n gecompromitteerde link klikken. Wanneer hackers doelgericht bedrijven viseren, kunnen ze ook USB-sticks laten rondslingeren op het terrein van het bedrijf. Dat kan op de parking of zelfs in het gebouw zijn. Een medewerker zal vaak, onbewust voor het mogelijke gevaar, de USB-stick inpluggen in zijn laptop om te weten van wie deze is. En zo geraken ze zonder dat je het beseft binnen. Hun doel? Financieel gewin door zo veel mogelijk data te verzamelen om het slachtoffer vervolgens te kunnen chanteren.”
Gouden tips bij hacking
Welk advies heeft spotit voor medewerkers van kmo’s of grote bedrijven? Wat mag je zeker niet of net wel doen wanneer jij iets verdachts opmerkt op je werkcomputer? Ben je als medewerker van een kmo kwetsbaarder dan een werknemer bij een multinational met grote budgetten voor cyberbeveiliging?
Vraag en antwoord:
Ik heb per ongeluk op een gecompromitteerde link geklikt. Had ik iets kunnen doen om dit te voorkomen, behalve niet klikken?
Wees steeds op je hoede wanneer er links opgenomen zijn in een mail. Verwacht ik de mail, is deze relevant voor mij, ken ik de afzender en werd de mail verstuurd vanuit een adres dat ik ken?”
Welke acties zijn veilig genoeg om zelf te ondernemen? Is er een verschil met een incident tijdens het telewerken en een binnen het bedrijf? “
In se is er weinig verschil tussen werken op kantoor of van thuis, omdat je ook van thuis via VPN (meestal) verbindt. De belangrijkste regel is: Blijf kalm en meld het meteen. Speel open kaart en laat het niet aanslepen. Nog te veel mensen denken vaak dat het probleem zich vanzelf zal oplossen, maar dat is niet het geval.
Als je meteen beseft dat je pc of laptop geïnfecteerd is, is isoleren de boodschap. Zo kan je verdere verspreiding zo veel mogelijk tegengaan. Trek daarom ook de netwerkkabel uit je pc of verbreek de verbinding met het (WiFi) netwerk. Door die pc in quarantaine te zetten en te isoleren, vermijd je dat de hackers zich verder in het netwerk kunnen begeven.
Noteer zorgvuldig alle stappen die je hebt ondernomen en wat er wanneer gebeurd is. Wat was je aan het doen? Waarop heb je geklikt? Welke vensters verschenen op je scherm? Zoals in het ziekenhuis stellen we gericht vragen en proberen wij zo een eerste diagnose te stellen. Aan de hand van die acties en tijdstippen kunnen wij verder gericht forensisch onderzoek op de besmette pc of laptop uitvoeren en gericht zoeken naar de daders.
Wat doe ik na de isolatie?
Stuur je laptop of pc, de ‘patient zero’, zo snel mogelijk naar het Security Operations Center (SOC), zodat het forensisch onderzoek kan gestart worden.
We versturen daarna software naar de IT-dienst van het getroffen bedrijf, die dan zo snel mogelijk geïnstalleerd moet worden op de andere computers en laptops van het bedrijf. Als die ondertussen nog niet besmet zijn geraakt, zijn ze toch al zo veel mogelijk beschermd en kunnen we digitaal of ter plaatse aan de slag gaan.
Toon als bedrijf niet dat je een cybersecurityteam gecontacteerd hebt. We hebben al gemerkt dat hackers dan effectief ‘boos’ worden. Dan gaan ze heel snel te werk, verzamelen ze zo veel mogelijk data en blazen ze hun actie even snel af. Dan is er geen bewijs meer te vinden. Zeker in functie van verzekerings – en schadeclaims is dat absoluut te vermijden.
Beter voorkomen dan genezen: 5 gouden regels
Is de aanval afgeslagen, extra bescherming geregeld en het netwerk vrijgegeven? Dan is bewustwording onder het personeel de volgende stap, want beter voorkomen dan genezen is de boodschap. Met de volgende vijf gouden regels hoopt spotit dat ieder bedrijf de interne oefening maakt om zo zichzelf beter te beschermen tegen hackers en andere cybercriminelen.
1) Wees voorbereid. Hoe beter een bedrijf zich wapent tegen cyberaanvallen en weet wat te doen indien er zich één voordoet, hoe sneller er maatregelen kunnen genomen worden om de aanval af te wenden en het bedrijf te behoeden voor een grote impact.
2) Communicatie. Zorg ervoor dat de nodige communicatiekanalen opgezet worden zodat alle betrokkenen elkaar vlot en efficiënt kunnen bereiken. Wees in communicaties ook open, eerlijk en zo volledig mogelijk.
3) Eerst mensen, dan regels. De veiligheid en het welzijn van alle betrokkenen binnen een crisis staan steeds voorop en moeten steeds met de juiste zorg voorzien te worden.
4) Expertise. Indien je niet de nodige kennis en expertise in huis hebt om met de afhandeling van cyberincidenten om te gaan, kan je best meteen een derde partij inschakelen die hiertoe wel over de nodige kwaliteiten beschikt.
5) Leer van elke crisis. Dit behelst niet enkel het aanscherpen van de veiligheidsmaatregelen, maar ook hoe men omgaat met cyberincidenten tot het ogenblik dat deze opgelost worden.