Document toolboxDocument toolbox


Cyber Response Team


1.2 Onderzoek de melding

Het crisisbeheer start vanzelfsprekend bij de vaststelling van een ICT-gerelateerd probleem. Via de gangbare meldingsprocedure binnen je lokaal bestuur kan een melding doorstromen door een medewerker of burger. Bij vele incidenten is het vanaf het beginĀ nietĀ duidelijkĀ ofĀ het gaat over cybercriminaliteitĀ of een technische storing.Ā Hieronder lijsten we enkele signalen op, die zouden kunnen wijzen op een cyberaanval.Ā 

Signalen voor servers

  • Je ontdekt verdachte ā€˜cron/batchĀ jobsā€™, automatische taken die niet door een medewerker werden opgezet)Ā 

  • Je staat opeens op zwarte lijsten voor spam, bijvoorbeeld omdat malware gebruik maakt van je server om spammails te versturen

  • Extra activiteit in de server logs

  • Verhoogde belasting van de server

  • Applicaties die offline gaanĀ 

Signalen voor computers

  • De computer werkt plots een stuk trager

  • Pop-ups blijven uit het niets verschijnenĀ 

  • Wachtwoorden zijn plotsklaps veranderd, je account is gehacktĀ 

  • Er staan nieuwe programma's opĀ eenĀ computerĀ 

  • FrauduleuzeĀ (antivirus) waarschuwingenĀ 

  • Contacten ontvangen nepmails, mogelijk met schadelijke links of bijlagenĀ ontvangen

  • EenĀ ransomware-berichtĀ komt binnen op de computer, met de vraag om losgeld te betalen in ruil voor toegang tot bestanden en toepassingenĀ 

  • De muiscursorĀ beweegt uit zichzelfĀ 

Signalen voor websites

  • De browser laat weten bij een websitebezoek dat de website mogelijk gehackt isĀ 

  • Een hosting provider laat weten dat de website gehackt is, doordat ze gevaarlijke code hebben aangetroffenĀ 

  • Google zoekresultaten geven aan dat de site mogelijk gehackt is of gevaarlijke code kan bevattenĀ 

  • De website is onbereikbaar, laadt traag of crasht regelmatigĀ 

  • Het is niet langer mogelijk om in te loggen op het contentĀ management systeemĀ (CMS) of beheertoolĀ 

  • De website kent een opvallende daling in bezoekersaantallenĀ 

  • Onbekende user accounts worden aangetroffen in het contentĀ management systeemĀ 

  • Onbekende plug-ins of scripts werden geĆÆnstalleerd op de websiteĀ 

  • De website laat pop-ups zien die niet gelinkt zijn aan de website van je lokaal bestuurĀ 

Bij vermoeden van een grotere problematiek ofĀ onduidelijkheid, dient de meldingĀ overgemaakt te worden naar de lokale ICT-dienst, DPO, CISO of verantwoordelijke, op basis van interne richtlijnen. Zo kan de melding onderzocht wordenĀ enĀ kan men kijkenĀ of het gaatĀ over een puur technische storing of cybercriminaliteit. De meest voorkomende cyberincidenten zijn:Ā 

  • SocialĀ engineering, zoalsĀ phishingĀ enĀ impersonatieĀ 

  • Onbevoegde toegang

  • DenialĀ Of Service

  • Aanval met kwaadaardige code, zoalsĀ ransomware

  • Ongepast gebruik en fraude

  • Verlies of diefstal van gegevensĀ 

Related pages

Dit is een document voor publiek gebruik.