Document toolboxDocument toolbox


Cyber Response Team

1.2 Onderzoek de melding

Owned by Raf Geuns (Unlicensed)
Last updated: 30 Nov, 2023
2 min read

Het crisisbeheer start vanzelfsprekend bij de vaststelling van een ICT-gerelateerd probleem. Via de gangbare meldingsprocedure binnen je lokaal bestuur kan een melding doorstromen door een medewerker of burger. Bij vele incidenten is het vanaf het begin niet duidelijk of het gaat over cybercriminaliteit of een technische storing. Hieronder lijsten we enkele signalen op, die zouden kunnen wijzen op een cyberaanval. 

Signalen voor servers

  • Je ontdekt verdachte ‘cron/batch jobs’, automatische taken die niet door een medewerker werden opgezet) 

  • Je staat opeens op zwarte lijsten voor spam, bijvoorbeeld omdat malware gebruik maakt van je server om spammails te versturen

  • Extra activiteit in de server logs

  • Verhoogde belasting van de server

  • Applicaties die offline gaan 

Signalen voor computers

  • De computer werkt plots een stuk trager

  • Pop-ups blijven uit het niets verschijnen 

  • Wachtwoorden zijn plotsklaps veranderd, je account is gehackt 

  • Er staan nieuwe programma's op een computer 

  • Frauduleuze (antivirus) waarschuwingen 

  • Contacten ontvangen nepmails, mogelijk met schadelijke links of bijlagen ontvangen

  • Een ransomware-bericht komt binnen op de computer, met de vraag om losgeld te betalen in ruil voor toegang tot bestanden en toepassingen 

  • De muiscursor beweegt uit zichzelf 

Signalen voor websites

  • De browser laat weten bij een websitebezoek dat de website mogelijk gehackt is 

  • Een hosting provider laat weten dat de website gehackt is, doordat ze gevaarlijke code hebben aangetroffen 

  • Google zoekresultaten geven aan dat de site mogelijk gehackt is of gevaarlijke code kan bevatten 

  • De website is onbereikbaar, laadt traag of crasht regelmatig 

  • Het is niet langer mogelijk om in te loggen op het content management systeem (CMS) of beheertool 

  • De website kent een opvallende daling in bezoekersaantallen 

  • Onbekende user accounts worden aangetroffen in het content management systeem 

  • Onbekende plug-ins of scripts werden geïnstalleerd op de website 

  • De website laat pop-ups zien die niet gelinkt zijn aan de website van je lokaal bestuur 

Bij vermoeden van een grotere problematiek of onduidelijkheid, dient de melding overgemaakt te worden naar de lokale ICT-dienst, DPO, CISO of verantwoordelijke, op basis van interne richtlijnen. Zo kan de melding onderzocht worden en kan men kijken of het gaat over een puur technische storing of cybercriminaliteit. De meest voorkomende cyberincidenten zijn: 

  • Social engineering, zoals phishing en impersonatie 

  • Onbevoegde toegang

  • Denial Of Service

  • Aanval met kwaadaardige code, zoals ransomware

  • Ongepast gebruik en fraude

  • Verlies of diefstal van gegevens 

Dit is een document voor publiek gebruik.