Gehackt? Volg dit 6-stappen incident response plan. Van detectie tot herstel: minimaliseer schade en voldoe aan meldplicht AVG.
Je opent maandagochtend je laptop en niets werkt meer. Of je ontvangt een melding dat klantgegevens op het dark web staan. Of je website toont ineens een boodschap in een taal die je niet verstaat. Het overkomt jaarlijks duizenden MKB-bedrijven in Nederland en het eerste uur na ontdekking bepaalt vaak het verschil tussen beperkte schade en een bedrijfscatastrofe.
Uit onderzoek van het Nationaal Cyber Security Centrum (NCSC) blijkt dat bedrijven die binnen het eerste uur gestructureerd reageren op een cyberincident gemiddeld 60% minder schade lijden dan bedrijven die ad hoc handelen. Toch heeft slechts 23% van de MKB-bedrijven een actueel incident response plan klaarliggen. In dit artikel leer je precies wat je moet doen als je gehackt bent, hoe je een incident response plan opstelt en hoe je je team voorbereidt op het onvermijdelijke moment.
De eerste reactie na het ontdekken van een hack is vaak paniek. Begrijpelijk, maar paniek leidt tot fouten die de schade verergeren. Hier is wat je wel en niet moet doen.
Bewaar kalm en documenteer alles. Noteer het exacte tijdstip van ontdekking, wie het ontdekte, welke systemen geraakt lijken en wat je ziet. Deze informatie is cruciaal voor forensisch onderzoek en de eventuele melding bij de Autoriteit Persoonsgegevens.
Isoleer getroffen systemen. Koppel gehackte computers los van het netwerk, maar zet ze niet uit. Uitschakelen vernietigt vluchtig geheugen dat waardevolle forensische sporen bevat. Trek de netwerkkabel eruit of schakel WiFi uit, maar laat het systeem draaien.
Activeer je incident response team. Bel de vooraf aangewezen contactpersonen: IT-verantwoordelijke, directie, juridisch adviseur en je externe cybersecurity-partner. Gebruik telefoon of een apart communicatiekanaal, niet je bedrijfsmail die mogelijk gecompromitteerd is.
Wijzig direct alle wachtwoorden. Begin met admin-accounts, email en financiele systemen. Doe dit vanaf een schoon apparaat dat niet verbonden is met het getroffen netwerk.
Betaal geen losgeld. Bij ransomware is de verleiding groot, maar betalen garandeert niets. Volgens het NCSC krijgt 20% van de betalers hun data niet terug en worden betalende bedrijven vaker opnieuw aangevallen.
Communiceer niet overhaast naar buiten. Een paniekbericht aan klanten zonder volledig beeld van de situatie richt meer schade aan dan een doordachte communicatie 24 uur later.
Vernietig geen bewijsmateriaal. Formatteer geen schijven, verwijder geen logbestanden en installeer geen systemen opnieuw voordat forensisch onderzoek is afgerond. Je hebt dit bewijs nodig voor de politie, je verzekering en de Autoriteit Persoonsgegevens.
Ga niet zelf op onderzoek uit als je geen expert bent. Goedbedoelde pogingen om de aanvaller te traceren of systemen te herstellen kunnen sporen uitwissen en de situatie verergeren.
Een professioneel incident response plan volgt zes fasen, gebaseerd op het NIST Cybersecurity Framework. Elk MKB-bedrijf kan dit framework toepassen, ongeacht omvang of technische kennis.
Voorbereiding is de belangrijkste fase en de enige die je uitvoert voordat er iets misgaat. Zonder voorbereiding sta je bij een incident met lege handen.
Stel een incident response team samen. Voor een MKB-bedrijf bestaat dit minimaal uit:
Documenteer je IT-omgeving. Maak een actueel overzicht van alle systemen, software, netwerktopologie, back-up locaties en externe dienstverleners. Bij een incident heb je geen tijd om dit uit te zoeken.
Leg contactgegevens vast. Maak een fysieke (geprinte) contactlijst met telefoonnummers van alle teamleden, je IT-partner, je internetprovider, je hostingpartij, de politie (cybercrime meldpunt) en de Autoriteit Persoonsgegevens. Digitale lijsten zijn nutteloos als je systemen platliggen.
Sluit contracten af met specialisten. Maak vooraf afspraken met een cybersecurity-specialist voor forensisch onderzoek. Bij een incident wil je niet eerst drie offertes vergelijken. Lees meer over wat een cybersecurity specialist kost en wanneer je er een inhuurt.
Hoe sneller je een incident detecteert, hoe kleiner de schade. De gemiddelde tijd tussen een inbraak en ontdekking (dwell time) bedraagt bij MKB-bedrijven 197 dagen. Bijna zeven maanden waarin een aanvaller ongestoord door je systemen kan bewegen.
Herken de signalen. Veelvoorkomende indicatoren zijn:
Beoordeel de ernst. Niet elk incident is een crisis. Gebruik een eenvoudige classificatie:
Het doel van inperking is simpel: voorkom dat de schade zich uitbreidt. Dit is het moment waarop snelheid telt.
Kortetermijn-inperking (eerste uren):
Langetermijn-inperking (eerste dagen):
Maak forensische kopieeen. Voordat je iets herstelt, maak je exacte kopieeen (images) van getroffen systemen. Deze zijn nodig voor onderzoek, politie en je verzekering.
Nu de schade is ingeperkt, verwijder je de oorzaak van het incident volledig uit je omgeving.
Identificeer de aanvalsvector. Hoe is de aanvaller binnengekomen? Was het een phishing-email, een kwetsbare applicatie, een gestolen wachtwoord of een onbeveiligde poort? Zonder deze kennis loop je het risico dat de aanvaller via dezelfde weg terugkeert.
Verwijder alle kwaadaardige software. Scan alle systemen, niet alleen de direct getroffen. Aanvallers plaatsen vaak backdoors op meerdere systemen om opnieuw toegang te krijgen.
Dicht de kwetsbaarheid. Patch de software die misbruikt is, wijzig alle wachtwoorden (niet alleen de gecompromitteerde) en pas firewall-regels aan.
Herstel is het moment waarop je systemen weer in productie brengt. Doe dit gefaseerd en gecontroleerd.
Herstel vanuit schone back-ups. Gebruik back-ups waarvan je zeker weet dat ze niet gecompromitteerd zijn. Een solide backup en disaster recovery plan is hierbij essentieel. Controleer de back-up datum: als de aanvaller al maanden in je systeem zat, kunnen recente back-ups ook besmet zijn.
Breng systemen stap voor stap terug. Begin met de meest kritieke systemen (email, boekhouding, klantensystemen) en monitor elk systeem intensief na herstel. Zoek naar signalen dat de aanvaller nog steeds aanwezig is.
Test alles voordat je live gaat. Controleer of alle systemen correct functioneren, of data-integriteit intact is en of beveiligingsmaatregelen actief zijn.
Communiceer naar medewerkers. Informeer je team wanneer ze welke systemen weer kunnen gebruiken en welke extra voorzorgsmaatregelen gelden (bijvoorbeeld verplichte wachtwoordwijziging).
De evaluatiefase wordt het vaakst overgeslagen, maar is essentieel om herhaling te voorkomen.
Organiseer een evaluatiesessie. Plan binnen twee weken na het incident een sessie met alle betrokkenen. Bespreek zonder schuldvraag:
Werk je incident response plan bij. Verwerk de lessen in een bijgewerkt plan. Pas procedures, contactlijsten en technische maatregelen aan op basis van wat je geleerd hebt.
Als bij een cyberincident persoonsgegevens betrokken zijn, ben je wettelijk verplicht dit te melden bij de Autoriteit Persoonsgegevens (AP). De AVG schrijft een meldtermijn voor van 72 uur na ontdekking.
Wanneer moet je melden? Bij elk datalek dat een risico vormt voor de rechten en vrijheden van betrokkenen. Concreet: als namen, emailadressen, financiele gegevens, medische informatie of andere persoonsgegevens mogelijk ingezien, gestolen of verwijderd zijn.
Wat moet je melden?
Wanneer moet je ook betrokkenen informeren? Als het datalek een hoog risico vormt voor betrokkenen. Denk aan: gelekte wachtwoorden, financiele gegevens, BSN-nummers of medische data. Informeer betrokkenen dan direct, in begrijpelijke taal, over wat er is gebeurd en wat zij zelf kunnen doen.
Boetes bij niet-melden: De AP kan boetes opleggen tot 10 miljoen euro of 2% van de jaaromzet. In de praktijk legt de AP regelmatig boetes op aan bedrijven die een datalek niet, te laat of onvolledig melden.
Communicatie tijdens een cyberincident is minstens zo belangrijk als de technische respons. Slechte communicatie vernietigt vertrouwen, goede communicatie kan het versterken.
Intern (medewerkers):
Extern (klanten):
Pers:
Bij ransomware versleutelt een aanvaller je bestanden en eist losgeld voor de decryptiesleutel. Dit is het meest voorkomende type aanval op MKB-bedrijven.
Specifieke stappen:
Bij data-exfiltratie steelt een aanvaller gegevens uit je systemen, vaak zonder dat je het direct merkt.
Specifieke stappen:
Bij defacement wijzigt een aanvaller de inhoud van je website, vaak met een politieke of provocerende boodschap.
Specifieke stappen:
Forensisch onderzoek na een cyberincident is geen luxe maar een noodzaak. Het beantwoordt drie kritieke vragen: hoe is de aanvaller binnengekomen, wat heeft de aanvaller precies gedaan en is de aanvaller volledig verwijderd?
Bewaar het volgende voor forensisch onderzoek:
Wanneer een externe forensisch specialist inschakelen? Bij elk incident van classificatie "hoog" of "kritiek". De kosten liggen tussen 5.000 en 25.000 euro, maar dit is een fractie van de potentiele schade als de aanvaller terugkeert via een niet-ontdekte backdoor.
Niet elk cyberincident is automatisch een datalek. Gebruik dit stappenplan om te beoordelen of je te maken hebt met een meldplichtig datalek:
Bij twijfel: meld altijd. Een onterechte melding heeft geen gevolgen, een gemiste melding kan een boete opleveren.
Een incident response plan dat je nooit oefent, werkt niet onder druk. Tabletop exercises zijn gesimuleerde cyberincidenten waarbij je team het plan doorloopt zonder daadwerkelijke systemen aan te raken.
Hoe organiseer je een tabletop exercise?
Frequentie: Minimaal twee keer per jaar. Wissel scenarios af: ransomware, datalekken, website-hack, insider threat.
Gebruik dit sjabloon als startpunt voor je eigen incident response plan.
1. Incident Response Team
| Rol | Naam | Telefoon | Backup |
|---|---|---|---|
| Incident Manager | [naam] | [nummer] | [naam] |
| IT-verantwoordelijke | [naam] | [nummer] | [naam] |
| Communicatie | [naam] | [nummer] | [naam] |
| Juridisch | [naam] | [nummer] | [naam] |
2. Externe Contacten
| Partij | Contactpersoon | Telefoon |
|---|---|---|
| IT-security partner | [bedrijf] | [nummer] |
| Hostingpartij | [bedrijf] | [nummer] |
| Internetprovider | [bedrijf] | [nummer] |
| Politie (cybercrime) | Meldpunt | 0900-8844 |
| Autoriteit Persoonsgegevens | Meldloket | 070-8888 500 |
| Cyberverzekering | [verzekeraar] | [nummer] |
3. Eerste Respons Checklist
4. Communicatie Templates
Bereid vooraf conceptteksten voor: een interne medewerkerscommunicatie, een klantnotificatie en een persverklaring. Bij een incident pas je de details aan in plaats van alles vanaf nul te schrijven.
De investering in een incident response plan is minimaal vergeleken met de kosten van een onvoorbereide respons:
| Kostenpost | Zonder plan | Met plan |
|---|---|---|
| Gemiddelde downtime | 21 dagen | 5 dagen |
| Forensisch onderzoek | 15.000 - 30.000 euro | 5.000 - 15.000 euro |
| Dataherstel | 10.000 - 50.000 euro | 2.000 - 10.000 euro |
| Boete AP (te laat melden) | 50.000 - 500.000 euro | 0 euro |
| Klantverloop | 15-25% | 3-5% |
| Totale gemiddelde schade | 120.000+ euro | 25.000 euro |
De investering in het opstellen en oefenen van een incident response plan bedraagt 2.000 tot 5.000 euro. Dat is een fractie van het verschil in schade.
Een cyberincident is geen kwestie van of, maar van wanneer. Het verschil tussen een beheersbare verstoring en een bedrijfscatastrofe zit in voorbereiding. Stel vandaag nog je incident response team samen, schrijf je plan uit, oefen het en houd het actueel.
Begin met drie concrete stappen: (1) print de contactlijst van je incident response team en hang deze op een zichtbare plek, (2) plan je eerste tabletop exercise binnen 30 dagen en (3) controleer of je back-ups daadwerkelijk te herstellen zijn. Zorg daarnaast dat je de cybersecurity basismaatregelen op orde hebt om de kans op een incident te verkleinen.
Wil je hulp bij het opstellen van een incident response plan of een security-assessment van je huidige situatie? CleverTech helpt MKB-bedrijven met cybersecurity, AI-beveiligingsoplossingen en incidentvoorbereiding. Neem contact op voor een vrijblijvend gesprek.
Meer over Beveiliging & Compliance
GDPR-boetes kunnen oplopen tot 20 miljoen of 4% van je jaaromzet. Leer hoe je AI inzet zonder de Autoriteit Persoonsgegevens op je dak te krijgen.
AI-tools verbieden werkt niet: 60% gebruikt het toch via privé-accounts. Ontdek het 4-Layer Security Model voor veilig AI-gebruik
Private AI kost €500-5000/maand, een data breach gemiddeld €87.000. Ontdek waarom een eigen AI-omgeving essentieel is voor elk bedrijf
Ontdek hoe CleverTech jouw organisatie kan helpen met AI-beveiliging en compliance.
Lisa Vermeer is Conversational AI Designer bij CleverTech, gespecialiseerd in het ontwerpen van intelligente chatbots en conversational interfaces. Met een achtergrond in UX design en computerlinguistiek, combineert Lisa technische kennis met gebruikerservaring om AI-assistenten te bouwen die natuurlijk en effectief communiceren. Ze schrijft over praktische toepassingen van ChatGPT, prompt engineering en het optimaliseren van AI-interacties voor bedrijfsprocessen.
Ontvang wekelijks praktische inzichten over AI-veiligheid en compliance in je inbox.
In een kort gesprek bespreken we jouw situatie en laten we zien welke processen het meeste opleveren als je ze automatiseert. Geen verplichtingen.
Gratis · vrijblijvend · reactie binnen 24 uur
Al 40+ bedrijven besparen tijd en kosten met onze oplossingen.
