Niet ingelogd
Menu

Snelle navigatie

Het detecteren van een cyberaanval kan op meerdere manieren gebeuren. In het best mogelijke scenario is er automatische monitoring voorhanden die bij bepaalde gebeurtenissen, zoals een plotse toename van dataverkeer op bepaalde plaatsen in het netwerk, de beheerders verwittigt zodat deze informatie verder onderzocht kan worden. 

Het kan echter ook voorvallen dat eindgebruikers abnormaal gedrag ondervinden bij het bedienen van systemen, zoals een toepassing die veel langer over een opzoeking of bewerking doet dan men zou mogen verwachten. Tenslotte is de kans ook reëel dat de boosdoeners er doelbewust voor kiezen om te melden dat zij uw organisatie hebben aangevallen hebben, en geld eisen om u naar uw normale werking terug te laten keren. 

Tijdens de eerste fase van een cyberaanval zal de focus voornamelijk liggen op het onderzoeken van een melding of storing, en het alarmeren van de interne en externe eerstelijnscontacten. Daarnaast dienen de eerste stappen gezet te worden om een verspreiding van de besmetting of aanval te voorkomen en bewijsmateriaal veilig te stellen. 

Vooralarm

Deze fase kan gebruikt worden wanneer er zich tekenen manifesteren dat er iets loos is, maar het nog niet helemaal zeker is dat de eigen organisatie getroffen wordt door een cyberaanval. Als actie worden de leidinggevende ambtenaren die de IT-dienst aansturen in kennis gesteld dat er zich problemen voordoen en dat de IT-dienst het onderzoek zal opstarten. Een voormelding bij de communicatiedeskundige of -dienst is ook aangewezen, zodat al geanticipeerd kan worden op mogelijke crisiscommunicatie. 

Het is ook aanbevolen om reeds een vooralarm te luiden als er in het eigen lokaal bestuur nog geen tastbare symptomen van onheil zijn, maar men verwittigd wordt door een ketenpartner - denk aan een ander lokaal bestuur, het Centre for Cybersecurity Belgium (CCB) of een belangrijke toeleverancier van IT-platformen - dat er een reëel risico is op cybercriminaliteit. 

Onderzoek de melding

Het crisisbeheer start vanzelfsprekend bij de vaststelling van een ICT-gerelateerd probleem. Via de gangbare meldingsprocedure binnen je lokaal bestuur kan een melding doorstromen door een medewerker of burger. Bij vele incidenten is het vanaf het begin niet duidelijk of het gaat over cybercriminaliteit of een technische storing. Hieronder lijsten we enkele signalen op, die zouden kunnen wijzen op een cyberaanval. 

Signalen voor servers

  • Je ontdekt verdachte ‘cron/batch jobs’, automatische taken die niet door een medewerker werden opgezet) 
  • Je staat opeens op zwarte lijsten voor spam, bijvoorbeeld omdat malware gebruik maakt van je server om spammails te versturen
  • Extra activiteit in de server logs
  • Verhoogde belasting van de server

  • Applicaties die offline gaan 

Signalen voor computers

  • De computer werkt plots een stuk trager
  • Pop-ups blijven uit het niets verschijnen 
  • Wachtwoorden zijn plotsklaps veranderd, je account is gehackt 
  • Er staan nieuwe programma's op een computer 
  • Frauduleuze (antivirus) waarschuwingen 
  • Contacten ontvangen nepmails, mogelijk met schadelijke links of bijlagen ontvangen
  • Een ransomware-bericht komt binnen op de computer, met de vraag om losgeld te betalen in ruil voor toegang tot bestanden en toepassingen 

  • De muiscursor beweegt uit zichzelf 

Signalen voor websites

  • De browser laat weten bij een websitebezoek dat de website mogelijk gehackt is 
  • Een hosting provider laat weten dat de website gehackt is, doordat ze gevaarlijke code hebben aangetroffen 
  • Google zoekresultaten geven aan dat de site mogelijk gehackt is of gevaarlijke code kan bevatten 
  • De website is onbereikbaar, laadt traag of crasht regelmatig 
  • Het is niet langer mogelijk om in te loggen op het content management systeem (CMS) of beheertool 
  • De website kent een opvallende daling in bezoekersaantallen 
  • Onbekende user accounts worden aangetroffen in het content management systeem 
  • Onbekende plug-ins of scripts werden geïnstalleerd op de website 
  • De website laat pop-ups zien die niet gelinkt zijn aan de website van je lokaal bestuur 

Bij vermoeden van een grotere problematiek of onduidelijkheid, dient de melding overgemaakt te worden naar de lokale ICT-dienst, DPO, CISO of verantwoordelijke, op basis van interne richtlijnen. Zo kan de melding onderzocht worden en kan men kijken of het gaat over een puur technische storing of cybercriminaliteit. De meest voorkomende cyberincidenten zijn: 

  • Social engineering, zoals phishing en impersonatie 
  • Onbevoegde toegang
  • Denial Of Service
  • Aanval met kwaadaardige code, zoals ransomware
  • Ongepast gebruik en fraude
  • Verlies of diefstal van gegevens 

Beeldvorming en opstart forensisch onderzoek

Indien het eerste snelle onderzoek van de melding - snelle keuzes en acties zijn essentieel binnen deze fase van het crisisbeheer - de mogelijkheid op cybercriminaliteit niet kan uitsluiten, moeten de mogelijk geïnfecteerde of geïmpacteerde systemen en toepassingen onderzocht worden door de lokale IT-dienst. Een dergelijk forensisch onderzoek is belangrijk voor het vergaderen van bewijsmateriaal, maar kan ook nodig zijn om alle artefacten te verzamelen en de omvang en reikwijdte van de aanval te onderzoeken. Middelen om volledige schijfkopieën te maken en te analyseren, geheugendumps (op afstand) te nemen van een verdachte machine en write-blockers zijn nuttig bij de uitvoering van deze analyse.  

Tijdens het forensisch onderzoek dienen o.a. volgende zaken onderzocht te worden: 

  • Wijzigingen in het systeem, configuratiebestanden of bedrijfsgegevens 
  • Toegangslogs van servers en toestellen
  • Operationele logs van systemen
  • Firewall-logs
  • Netwerkverkeer
  • Meldingen uit endpointbeveiliging
  • Gestolen, gemanipuleerde of onbeschikbare data
  • Wijzigingen in het systeem, configuratiebestanden of bedrijfsgegevens 

Het is cruciaal voor het forensisch onderzoek dat mogelijk besmette systemen als computers niet uitgezet worden, aangezien op deze manier belangrijke sporen verloren kunnen gaan die gebruikt kunnen worden om de daders te achterhalen en de concrete oorzaak te identificeren. Het is wel mogelijk om de systemen en toepassingen los te koppelen van het internet en lokale netwerk. Bij een virtuele server kan de netwerkadapter los worden gekoppeld in het instellingenscherm. 

Vergeet niet om in deze fase een inventaris op te maken met al het beschikbare bewijsmateriaal en wijs ook een verantwoordelijke aan om dit inventaris bij te houden en bij te werken. Indien het incident ook het lekken van persoonsgegevens betreft, dient dit meteen vastgelegd en geïnventariseerd te worden. 

Afweging: Loskoppelen of bewijs vergaren?

Om de cyberaanval te stoppen en schade zoveel mogelijk in te perken, word je gedwongen om snel belangrijke keuzes te maken. Enerzijds wil je als lokaal bestuur zo snel mogelijk terugkeren naar de gebruikelijke dienstverlening, en vermijden dat de besmetting zich verder verspreidt, anderzijds is het van belang om voldoende sporen te verzamelen om de daders te vatten en de best mogelijke oplossing te formuleren.  

Hierin zullen dus keuzes gemaakt moeten worden. In het ene geval houden we bewijsmateriaal maximaal intact voor forensisch onderzoek door toestellen aan te laten, maar kan de schade snel om zich heen grijpen en het herstellen van de dienstverlening bemoeilijkt worden. In het andere geval wordt besloten om machines binnen een afgelijnd proces uit te zetten, zodat de voortplanting van schade daadkrachtig een halt toegeroepen. Dit houdt wel in dat relevante sporen zo goed als zeker voorgoed verloren raken. 

Het is dus belangrijk om te beseffen dat beide keuzes hun voor- en nadelen hebben: 

Keuze 1: Loskoppelen 

Deze keuze houdt in dat je voor de getroffen systemen en toepassingen zo snel mogelijk de verbinding met het lokale netwerk en internet verbreekt. Voor computers kan je de gewoonweg de netwerkverbinding verbreken, bij een virtuele server kan de netwerkadapter los worden gekoppeld in het instellingenscherm. 

Nadelen: 

  • Deze aanpak verhindert meer diepgaand onderzoek, waardoor mogelijk zaken over het hoofd gezien worden en het oorspronkelijke probleem kan terugkeren. 

  • Je loopt het risico dat de dader alarm slaat en op korte termijn nog zoveel mogelijk schade tracht te berokkenen. 

Voordelen: 

  • De dienstverlening kan via deze weg sneller terug opgestart worden. 

  • De snelheid van deze oplossing maakt het moeilijker voor malware en besmettingen om zich verder uit te breiden binnen je systemen en netwerken. 

Keuze 2: Bewijs vergaren 

Deze keuze betekent dat je je activiteiten zo goed als mogelijk tracht verder te zetten en zoveel mogelijk inzet op bewijsvergaring.  

Nadelen: 

  • Een forensisch onderzoek vraagt bijkomende tijd en middelen. 

  • Deze keuze kan de heropstart van de dienstverlening vertragen. 

Voordelen: 

  • De kans is groter dat je het probleem bij de wortel kan aanpakken door extra in te zetten op beeldvorming. 

  • Zonder het nodige sporenonderzoek is het niet mogelijk om de daders te achterhalen en eventueel te vervolgen. 

In vele gevallen zal de oplossing ergens tussen beide keuzes in liggen. Welke beslissing je lokaal bestuur neemt, hangt af van het bereik, de grootte en impact van het incident.

Bij het loskoppelen van servers of computers is het van groot belang dat niets weggegooid wordt en dat ook geen (nieuwe) virusscanners lopen, aangezien dit mogelijke aanwijzingen kan verwijderen.

Verdieping: Tips en tricks voor forensisch onderzoek

Gezien de complexiteit van de materie is het aangewezen om externe expertise in te schakelen voor forensisch onderzoek indien de ervaring binnen het lokaal bestuur beperkt is. Dat wil echter niet zeggen dat initieel geen stappen ondernomen kunnen worden om zicht te krijgen op de situatie en bewijsmateriaal te vergaren. Hieronder worden enkele tips en aanwijzingen opgelijst:

  1. Controleer firewall logs en netwerkverkeer: Door verbanden te leggen tussen tijdstippen in vreemd verkeer, is het mogelijk om te achterhalen op welke wijze de cybercriminelen zijn binnengekomen, alsook wanneer de intrusie plaatsvond. Noteer belangrijke tijdstippen voor verdacht netwerkverkeer, zodat deze gebruikt kunnen worden voor onderzoek op logfiles en eventlogs.
     
  2. Controleer de gebruikersaccounts binnen de active directory (AD): Mogelijks merk je nieuwe accounts op zonder logische verklaring. Denk bijvoorbeeld aan een nieuwe account die niet vergelijkbaar is met accounts van nieuwe medewerkers.
     
  3. Kijk naar accounts met verhoogde systeemrechten: Werden beheersaccounts aangepast of gewijzigd? Dit is belangrijke informatie, aangezien de domain controller een gegeerd doel is voor cybercriminelen. Mogelijks merk je ook vreemd gedrag op in beheerdersaccounts, zoals nachtelijke activiteit ondanks dat er geen wijzigingen gepland waren.
     
  4. Inventariseer vreemde incidenten die mogelijk verband houden met de cyberaanval: Ga terug in de tijd en zoek naar problemen met de back-up omgeving, storage omgeving of niet gedocumenteerde wijzigingen in de DMZ-omgeving. Deze informatie kan helpen om het pad en de werkwijze van de cybercriminelen te schetsen.
     
  5. Werd een gehackte computer via Remote Desktop Protocol (RDP) overgenomen? Via een tools als 'RDP Cached Bitmap Extractor' kan je het beeld oproepen dat de hacker het laatst heeft gezien tijdens de RDP-sessie.

Neem de nodige voorzorgen inzake back-ups

Zo snel mogelijk na de vaststelling van het cyberveiligheidsincident en het loskoppelen van mogelijk geïmpacteerde servers of computers, is het een goed idee om aandacht te schenken aan de back-ups, aangezien deze een belangrijke rol kunnen spelen in de herstel- en remediëringsfase. 

Indien er een vermoeden is dat meerdere servers of computer besmet zijn, bijvoorbeeld met ransomware, worden de automatische back-ups best uitgezet. De kans bestaat immers dat diverse bestanden reeds aangetast werden en dat besmette of versleutelde bestanden naar de back-up worden weggeschreven. 

Daarnaast is het ook belangrijk om tijdig een volledige back-up te maken van de gehackte server of computer. Niet als hulpmiddel voor later herstel, maar om zoveel mogelijk bewijsmateriaal te vergaren over de acties van de verantwoordelijke cybercriminelen.

Verdieping: Back-ups en sporenonderzoek

Gezien het vitale belang van back-ups, zowel in kader van sporenonderzoek als voor de herstel- en remediëringsfase, zoomen we even in op twee belangrijke aandachtspunten in de initïele fases van het cyberveiligheidsincident:

  1. Voer een back-up en restore test uit voor een beperkte steekproef: De kans bestaat dat hackers systematisch via hun activiteiten back-ups onbruikbaar hebben gemaakt. Het is belangrijk om dit reeds op voorhand vast te stellen om onvoorziene problemen in de herstel- en remediëringsfase te vermijden. Kan een restore teruggezet worden? Zijn er offline back-ups die nog niet aangetast werden? Kan een systeem vanaf een restore volledig teruggezet worden, en zijn de bestanden leesbaar?
     
  2. Onderzoek de back-ups van mogelijk gehackte servers steeds in een quarantaine omgeving: Via de gegevens uit de back-up kunnen verschillen gedetecteerd worden tussen de momenten voor de cyberaanval en de huidige situatie, bijvoorbeeld door te zoeken naar vreemde bestanden in C:\Windows\Temp of C:\Users.

Effectief alarm

Het analyseproces zal nog een stuk langer in beslag nemen met het oog op forensisch onderzoek, maar gedurende het proces van bewijsvergaring zal al snel een van de volgende twee conclusies naar boven komen:

  1. Het gaat over een technische of operationele storing die verholpen kan worden binnen een redelijke termijn om daarna terug over te gaan naar de normale werking. Opstart van de crisiswerking is niet noodzakelijk.
     
  2. Er is een indicatie van cybercriminaliteit of een achterliggend kwaadwillig oogmerk kan niet uitgesloten worden. De werking van het lokaal bestuur loopt risico, omdat het oplossen van het probleem van lange duur zal zijn of omdat de duur niet ingeschat kan worden tijdens deze fase. Opstart van de crisiswerking is noodzakelijk.  

Wanneer bijna onweerlegbaar vastgesteld wordt dat het lokaal bestuur te maken heeft met een cyberaanval, is het zaak om deze conclusie zo snel als mogelijk intern te communiceren, zodat de nodige rollen gealarmeerd kunnen worden. 

Naast nabije diensthoofden en management is het ook aanbevolen om volgende rollen in te lichten, volgens de regels die vastgelegd werden in interne meldingsprocedures: 

  • Burgemeester
  • Algemeen directeur en andere leidende ambtenaren
  • ICT-dienst
  • DPO en/of CISO
  • Communicatiedienst
  • Diensthoofden
  • Burgemeester
  • Contactpersonen van andere betrokken of getroffen instellingen en organisaties, zoals leveranciers en woonzorgcentra
  • Provinciegouverneur, zeker bij incidenten met een vergaande grootorde of grensoverschrijdende impact  

  • Hosting providers en externe leveranciers, ingeval je extern gehoste website, systemen of toepassingen werden gehackt 

Zet een initiële meeting op voor verdere beeldvorming

Zodra de bovenvermelde rollen ingelicht werden van het incident, is het aangewezen om de verschillende actoren samen te brengen voor een eerste crisisoverleg. 

Geeft de diensten ICT, Communicatie en de leidinggevende ambtenaar de nodige ruimte om de aanwezigen te briefen over de feiten zoals die tot nu toe gekend zijn, de reeds ondernomen acties en hun adviezen met betrekking tot de verdere stappen. De vergadering vertrekt van deze analyse om tot de vaststelling te komen dat de bedrijfscontinuïteit bedreigd is en dat de crisiswerking verder moet worden uitgebouwd. 

Meld het incident bij de lokale politie en het CERT

Zodra duidelijk wordt dat cybercriminaliteit hoogstwaarschijnlijk aan de basis ligt van de problemen die je ervaart binnen je lokaal bestuur, is het aangewezen om zo snel mogelijk een melding te doen bij het CERT en de lokale politiezone. 

Het CERT is het centrale meldpunt voor alle cyberincidenten die zich voordoen in België. Op deze manier kan belangrijke informatie verzameld worden om te sensibiliseren over grote dreigingen en kan ook een centrale databank van noemenswaardige incidenten opgesteld worden. Daarnaast heeft het CERT ook een adviesverlenende rol en helpen zij melders om de juiste keuzes te maken onder moeilijke omstandigheden. Voor de melding naar het CERT lever je best volgende informatie aan:

  1. Je contactgegevens
  2. Het type incident
  3. De datum van het incident
  4. Is het incident nog aan de gang?
  5. Hoe werd het incident opgemerkt?
  6. Wat is de impact van het incident?
  7. Zijn al acties of maatregelen ondernomen? Zo ja, welke?
  8. Zijn er logs of andere nuttige gegevens?
  9. Wie heb je al ingelicht?
  10. Wat verwacht je van de melding? 

Om de daders te kunnen vatten en het nodige forensisch onderzoek uit te voeren, is het ook belangrijk om het incident te melden bij de lokale politiezone. Op deze wijze kunnen zij ook de Regionale of Federale Computer Crime Units inschakelen (je kan dit ook expliciet vragen tijdens de contactname), die een belangrijke schakel zijn in het achterhalen van de oorsprong van het incident. De contactinformatie van je lokale politiezone kan je terugvinden via de website van de federale politie. Daarnaast is het ook mogelijk om rechtstreeks contact op te nemen met de Federale Computer Crime Unit, via het nummer 02 743 74 19. Veel informatie kan hergebruikt worden uit de melding naar het CERT, maar daarnaast is het ook een goed idee om volgende informatie toe te voegen: 

  • Screenshots van relevante sporen en meldingen
  • Images van de harddisk(en) 

  • Netwerkverkeersgegevens van en naar de gecompromitteerde apparatuur

Leg een logboek aan voor crisisbeheer

Nadat de eerste acties ondernomen werden, is het een goed idee om een secretaris aan te duiden die alle genomen acties en beslissingen bijhoudt in een overzichtelijk logboek. De informatie in dit logboek kan van belang zijn bij mogelijk gerechtelijk onderzoek, maar helpt ook om een overzicht te houden van de vele snelle keuzes die gemaakt werden en de veelheid aan to-do’s die tot uitvoering gebracht moeten worden. Een bijkomend voordeel is dat dit kennisdeling mogelijk maakt in de nasleep van het incident.

Leg een register aan voor potentiële datalekken

De kans is reëel dat gedurende het forensisch onderzoek, of latere fases in de aanpak van cyberveiligheidsincident, naar boven komt dat persoonsgegevens getroffen werden. Gezien de wettelijke verplichtingen inzake databeheer en mogelijke inbreuken, is het cruciaal dat elk datalek, hoe triviaal ook, geregistreerd wordt. Wanneer een datalek vastgesteld wordt, dien je dit dan ook te vermelden in het incidentenregister van je lokaal bestuur. 

De volgende zaken worden best vermeld in het register: 

  • Datum en tijdstip: De exacte datum en tijd waarop je lokaal bestuur zich bewust werd van het persoonsgegevenslek.
  • Tijdslijn en beschrijving van het datalek: Een duidelijke omschrijving de de gebeurtenissen. Wanneer vond het lek bijvoorbeeld (vermoedelijk) plaats? Welke systemen werden getroffen? Over wat voor gegevens gaat het?
  • Contactpersoon of aanspreekpunt: Het is belangrijk om een centraal aanspreekpunt te hebben, die op de hoogte is van de omstandigheden van het persoonsgegevenslek en dus mogelijke vervolgvragen kan beantwoorden.
  • Betrokken externe partijen: Het gaat hier om een overzicht van de rol van het lokaal bestuur (verwerkingsverantwoordelijke, verwerker, …), alsook de externe betrokken partijen, zoals de mogelijke slachtoffers.
  • Controlemiddelen en remediërende acties: Lijst de huidige technische en organisatorische maatregelen op en zet ook de maatregelen uiteen die genomen werden of zullen worden om het datalek te stoppen en de nefaste gevolgen voor de getroffen individuen in te perken.
  • Meldingen: Geef aan welke instanties reeds op de hoogte gebracht werden (zoals het VTC en de GBA), en wie deze meldingen heeft uitgevoerd. 

Indien er vrees is voor een omvangrijk of risicovol datalek kan het nuttig zijn om reeds een voormelding te doen bij de Vlaamse Toezichtcommissie (VTC) en Gegevensbeschermingsautoriteit (GBA). In de 3e fase, ‘Kennisgeving’ gaan we dieper in op de melding naar de bevoegde instanties en mogelijke slachtoffers.

Schakel externe hulp in waar nodig

Als lokaal bestuur heb je - hopelijk - maar beperkte ervaring met het afhandelen van cyberincidenten. Wanneer het incident van een zodanige grootorde is dat er sprake is van onmiddellijke schade, verstoorde dienstverlening en diefstal of manipulatie van data, is het dan ook aangewezen om professionele hulp in te schakelen. Dit betekent geenszins dat je geen vertrouwen hebt in je lokale IT-dienst, maar dat je als lokaal bestuur goed kan inschatten wanneer externe expertise aan de orde is.  

De kans is bijvoorbeeld reëel dat forensisch onderzoek niet tot de interne expertise behoort, maar dat je lokaal bestuur het wel belangrijk vindt om op rechtsgeldige manier sporen te verzamelen of de oorsprong van het incident te achterhalen. Daarnaast bieden ook heel wat private organisaties Cyber Emergency Response Team (CERT) diensten aan, wat zowel het stopzetten van de aanval als het heropstarten van de dienstverlening in de herstelfase omvat.  

Het afsluiten van een overeenkomst met een dergelijke CERT-partner gebeurt bij voorkeur in een preventief stadium. Zo kan men een passende partner selecteren, op basis van referenties, het kostenplaatje en de bereikbaarheid tijdens en na de kantooruren. 

Afweging: Kan je een DDOS-aanval zelf stoppen?

Een Denial-of-service aanval is een gerichte aanval om een of meerdere systemen uit te schakelen, door systemen of infrastructuur te overladen met internetverkeer. Concreet houdt dit in dat zo’n aanval een belangrijke impact kan hebben op de beschikbaarheid van uw systeem.

DDOS-aanvallen zijn vaak erg gesofisticeerd en dus ook moeilijk om aan te pakken. De meeste lokale besturen zullen niet in staat zijn om zelf een DDOS-aanval op te lossen en doen best zo snel mogelijk beroep op externe experts wanneer ze geconfronteerd worden met een dergelijke aanval. 

Maximaliseer inzet en neem initiatief

Het is altijd makkelijker om ‘overtollige’ resources af te blazen en terug te laten keren wanneer het incident voldoende kleinschalig blijkt, dan bij een onderschatte respons bijkomende en noodzakelijke middelen snel te moeten mobiliseren. In het laatste geval kan in een lineair tijdsverloop de schade exponentieel uitbreiden. 

Neem initiatief. Door te handelen op basis van aanwezige kennis en ervaringen kan je controle over de situatie herwinnen en de gelatenheid en passiviteit doorbreken die u in het andere geval dreigt te overrompelen. Beter een eenvoudig en onvolmaakt plan in gang zetten en onder invloed van de omstandigheden bijsturen dan een volmaakt plan voorgeschoteld krijgen dat in de praktijk niet uitvoerbaar is omwille van de starheid en complexiteit ervan. Natuurlijk is het altijd beter om in preventieve fases al nagedacht te hebben over het plan van aanpak, bijvoorbeeld via een business continuïteitsplan en crisiscommunicatieplan. 

Praktijk informatie

Fase 2: Schadebeperking- en bestrijding

# Bestuur, Veiligheid

Lees meer


 

Bronvermelding

Cookies op onze website.

Cookies worden gebruikt om deze website optimaal te laten werken en uw surfervaring te verbeteren.

Om meer te weten over welke cookies wij gebruiken, lees ons privacystatement.

Wilt u analytische cookies?

Hiermee kunnen wij statistieken verzamelen over de websitebezoek.