wat doen als je gehackt bent

Er zijn een aantal dingen die je meteen moet doen vanaf het moment dat je effectief gehackt bent. Die dingen geven we hieronder allemaal mee.

1. Geen paniek

Panikeer niet. Doe niks overhaast, maar probeer ook niet te doen alsof er niks gebeurd is of dingen te verbergen. Je moet goed begrijpen dat het kwaad al geschied is en dat je er niks meer aan kan veranderen. Wees dus realistisch en denk goed na welke stappen je moet ondernemen om de gevolgen van de hack zo klein mogelijk te houden. Het is tijd om je crisisplan en eventuele business continuity en disaster recovery plannen uit de kast te halen. Als je die niet hebt, raden we je aan om onze After Hack Checklist te downloaden en stap voor stap te volgen. Als je ze op de juiste manier volgt, kan je de impact van de hack zo veel mogelijk beperken.

2. Breng je hosting provider op de hoogte

Wanneer je zelf je website of server host, moet je alleen aan de slag of een security expert onder de arm nemen. Als je een hosting provider hebt, is het je eerste taak om die in te lichten. Als die hosting provider dat – zeker als het om managed hosting gaat – al niet zelf aan jou gemeld heeft. Hosting providers hebben ervaring met dit soort verhalen en kunnen je dus zeker hulp bieden of laten weten wat je best kan doen.

3. Beslis of je de server/website offline haalt of niet

Een eerste raad die je vaak leest is om de server onbeschikbaar te maken door de netwerkkabel of stroomkabel uit te trekken. Maar is dat een goed idee? Door de server zomaar offline te halen of af te sluiten, kan je immers heel wat bewijsmateriaal en/of nuttige informatie over de manier waarop de hacker is binnengeraakt vernietigen. Wanneer kies je dan voor welke methode? Wanneer je vrij zeker bent dat het gaat om script kiddies, kan je inderdaad de server meteen isoleren en herstellen. Een aantal basisregels om deze methode te gebruiken:

  1. Je hebt de hack binnen de 24 uur vastgesteld.
  2. Je wil snel terug operationeel zijn (herstel is belangrijker dan forensics).
  3. Je server is geen Virtual Machine of een Container die een snapshot van het geheugen van de server kan nemen.
  4. Je bent niet van plan de hacker te vervolgen.
  5. Je denkt dat de hacker nog steeds bepaalde software heeft draaien op je server

Als het om een gerichte aanval gaat, in vaktermen een Advanced Persistent Treath (APT), is het beter om via digital forensics proberen zoveel mogelijk informatie te verzamelen of de hacker op te sporen voor je de server offline haalt of afsluit. Hierbij moet je uiteraard wel zorgen dat de schade niet groter kan worden en dat de hacker niet nog meer data of informatie kan verzamelen.

4. Vervang alle wachtwoorden op alle toestellen

Vervang alle wachtwoorden – en we bedoelen ook echt ALLE wachtwoorden – die gebruikt werden op de server. Denk aan wachtwoorden van e-mail, control panels, CMS-systemen, enz. Doe dit op alle toestellen die toegang hadden tot de gehackte website of server.

5. Controleer ook andere websites & servers

Als de kans bestaat dat de hacker via de gehackte website of server ook toegang had tot andere websites of servers, controleer die dan grondig. Geef extra aandacht aan servers waarop eventuele belangrijke of gevoelige data staat.

6. Maak een back-up

Maak een volledige back-up van je gehackte website of server. Dit is NIET de back-up die je later zal gebruiken om alles terug te herstellen, want de malware bevindt zich mee in deze back-up. Deze back-up is vooral bedoeld om zoveel mogelijk bewijsmateriaal te kunnen bewaren over de hack en wat de hacker allemaal gedaan heeft.

7. Zoek uit hoe de hacker is binnengeraakt

Eens dit alles gedaan is kan je beginnen aan je post-mortem onderzoek. Bedoeling is om te gaan bepalen wat er is misgelopen, hoe de hacker erin geslaagd is binnen te komen en welke schade hij allemaal heeft kunnen aanrichten.

Download ons gratis After the Hack eBook

Gerelateerde berichten
hoe voorkom je dat je gehackt wordt

Voorkomen is beter dan genezen: hoe voorkom je dat je gehackt wordt?

Breng alle cyberrisico’s op technisch en juridisch vlak in kaart en neem de passende technische en organisatorische maatregelen. Een overzicht.

Lees meer

communicatie bij een hack

Hoe moet je communiceren als je gehackt bent?

Hoe ga je als bedrijf, groot of klein, met veel of weinig gegevens, best om met de communicatie omtrent een hack en (eventueel) datalek?

Lees meer

welke juridische stappen na hack

Welke juridische maatregelen moet je nemen na een datalek?

In dit artikel willen we zo concreet mogelijk maken welke juridische stappen je moet ondernemen als je bedrijf geconfronteerd wordt met een datalek.

Lees meer