Cyber Response Team
1.2 Onderzoek de melding
Het crisisbeheer start vanzelfsprekend bij de vaststelling van een ICT-gerelateerd probleem. Via de gangbare meldingsprocedure binnen je lokaal bestuur kan een melding doorstromen door een medewerker of burger. Bij vele incidenten is het vanaf het begin niet duidelijk of het gaat over cybercriminaliteit of een technische storing. Hieronder lijsten we enkele signalen op, die zouden kunnen wijzen op een cyberaanval.Â
Signalen voor servers
Je ontdekt verdachte ‘cron/batch jobs’, automatische taken die niet door een medewerker werden opgezet)Â
Je staat opeens op zwarte lijsten voor spam, bijvoorbeeld omdat malware gebruik maakt van je server om spammails te versturen
Extra activiteit in de server logs
Verhoogde belasting van de server
Applicaties die offline gaanÂ
Signalen voor computers
De computer werkt plots een stuk trager
Pop-ups blijven uit het niets verschijnenÂ
Wachtwoorden zijn plotsklaps veranderd, je account is gehacktÂ
Er staan nieuwe programma's op een computerÂ
Frauduleuze (antivirus) waarschuwingenÂ
Contacten ontvangen nepmails, mogelijk met schadelijke links of bijlagen ontvangen
Een ransomware-bericht komt binnen op de computer, met de vraag om losgeld te betalen in ruil voor toegang tot bestanden en toepassingenÂ
De muiscursor beweegt uit zichzelfÂ
Signalen voor websites
De browser laat weten bij een websitebezoek dat de website mogelijk gehackt isÂ
Een hosting provider laat weten dat de website gehackt is, doordat ze gevaarlijke code hebben aangetroffenÂ
Google zoekresultaten geven aan dat de site mogelijk gehackt is of gevaarlijke code kan bevattenÂ
De website is onbereikbaar, laadt traag of crasht regelmatigÂ
Het is niet langer mogelijk om in te loggen op het content management systeem (CMS) of beheertoolÂ
De website kent een opvallende daling in bezoekersaantallenÂ
Onbekende user accounts worden aangetroffen in het content management systeemÂ
Onbekende plug-ins of scripts werden geïnstalleerd op de websiteÂ
De website laat pop-ups zien die niet gelinkt zijn aan de website van je lokaal bestuurÂ
Bij vermoeden van een grotere problematiek of onduidelijkheid, dient de melding overgemaakt te worden naar de lokale ICT-dienst, DPO, CISO of verantwoordelijke, op basis van interne richtlijnen. Zo kan de melding onderzocht worden en kan men kijken of het gaat over een puur technische storing of cybercriminaliteit. De meest voorkomende cyberincidenten zijn:Â
Social engineering, zoals phishing en impersonatieÂ
Onbevoegde toegang
Denial Of Service
Aanval met kwaadaardige code, zoals ransomware
Ongepast gebruik en fraude
Verlies of diefstal van gegevensÂ
Dit is een document voor publiek gebruik.