Cyber Response Team
1.2 Onderzoek de melding
Het crisisbeheer start vanzelfsprekend bij de vaststelling van een ICT-gerelateerd probleem. Via de gangbare meldingsprocedure binnen je lokaal bestuur kan een melding doorstromen door een medewerker of burger. Bij vele incidenten is het vanaf het beginĀ nietĀ duidelijkĀ ofĀ het gaat over cybercriminaliteitĀ of een technische storing.Ā Hieronder lijsten we enkele signalen op, die zouden kunnen wijzen op een cyberaanval.Ā
Signalen voor servers
Je ontdekt verdachte ācron/batchĀ jobsā, automatische taken die niet door een medewerker werden opgezet)Ā
Je staat opeens op zwarte lijsten voor spam, bijvoorbeeld omdat malware gebruik maakt van je server om spammails te versturen
Extra activiteit in de server logs
Verhoogde belasting van de server
Applicaties die offline gaanĀ
Signalen voor computers
De computer werkt plots een stuk trager
Pop-ups blijven uit het niets verschijnenĀ
Wachtwoorden zijn plotsklaps veranderd, je account is gehacktĀ
Er staan nieuwe programma's opĀ eenĀ computerĀ
FrauduleuzeĀ (antivirus) waarschuwingenĀ
Contacten ontvangen nepmails, mogelijk met schadelijke links of bijlagenĀ ontvangen
EenĀ ransomware-berichtĀ komt binnen op de computer, met de vraag om losgeld te betalen in ruil voor toegang tot bestanden en toepassingenĀ
De muiscursorĀ beweegt uit zichzelfĀ
Signalen voor websites
De browser laat weten bij een websitebezoek dat de website mogelijk gehackt isĀ
Een hosting provider laat weten dat de website gehackt is, doordat ze gevaarlijke code hebben aangetroffenĀ
Google zoekresultaten geven aan dat de site mogelijk gehackt is of gevaarlijke code kan bevattenĀ
De website is onbereikbaar, laadt traag of crasht regelmatigĀ
Het is niet langer mogelijk om in te loggen op het contentĀ management systeemĀ (CMS) of beheertoolĀ
De website kent een opvallende daling in bezoekersaantallenĀ
Onbekende user accounts worden aangetroffen in het contentĀ management systeemĀ
Onbekende plug-ins of scripts werden geĆÆnstalleerd op de websiteĀ
De website laat pop-ups zien die niet gelinkt zijn aan de website van je lokaal bestuurĀ
Bij vermoeden van een grotere problematiek ofĀ onduidelijkheid, dient de meldingĀ overgemaakt te worden naar de lokale ICT-dienst, DPO, CISO of verantwoordelijke, op basis van interne richtlijnen. Zo kan de melding onderzocht wordenĀ enĀ kan men kijkenĀ of het gaatĀ over een puur technische storing of cybercriminaliteit. De meest voorkomende cyberincidenten zijn:Ā
SocialĀ engineering, zoalsĀ phishingĀ enĀ impersonatieĀ
Onbevoegde toegang
DenialĀ Of Service
Aanval met kwaadaardige code, zoalsĀ ransomware
Ongepast gebruik en fraude
Verlies of diefstal van gegevensĀ
Related pages
Dit is een document voor publiek gebruik.