Cybercriminelen bereiden een cyberaanval grondig voor. Ook de oplossing moet daarom methodisch zijn. Het beheer van een crisis moet op het hoogste niveau van de organisatie plaatsvinden. Hoe sneller de juiste mensen betrokken zijn, hoe beter de gevolgen van het incident beperkt kunnen worden.

Verwittig daarom meteen de collega die verantwoordelijk is om als eerste actie te ondernemen bij een cyberaanval. Die collega activeert het crisisbeheerteam en brengt iedereen die jouw IT-systemen beheert meteen op de hoogte van de infectie zodat alle aangetaste computers, machines en servers van het netwerk ontkoppeld kunnen worden. Ontkoppel ook externe harde schijven om verdere infectie te voorkomen. 

Tijdens het beheer van de crisis zijn de acties op de verschillende betrokken gebieden cruciaal - technisch, HR, financieel, communicatie, juridisch etc.. Het crisisbeheerteam moet toezien op de acties die genomen moeten worden op elk gebied tijdens de crisis. Gevoelige communicatie over de evolutie van het incident moet via een afzonderlijk en beveiligd kanaal  gebeuren.

Als je beschikt over een incident response plan en/of business continuity plan zal het crisisbeheerteam dit plan uitrollen om enerzijds de schade van het incident te beperken en anderzijds de kritische processen in je organisatie operationeel te houden.

Bepaal het  beginpunt van de aanval en identificeer het aantal geïnfecteerde bronnen. Zo heb je zicht op de omvang van het incident en kan je geschikte maatregelen nemen om veiligheidsproblemen op te lossen en te vermijden dat de situatie zich opnieuw voordoet.

Heeft een medewerker op een link in een e-mail geklikt? Zijn de besturingssystemen, applicaties of andere software niet up-to-date? Gaat het om een beperkt aantal systemen in je IT-omgeving dat geïnfecteerd is of is je totale IT-omgeving geïmpacteerd?

Verbreek vervolgens alle verbindingen van geïnfecteerde bronnen met het internet en het lokale bedrijfsnetwerk, denk ook aan je wifi-verbinding. Zo blokkeer je de toegang voor cybercriminelen. Ze kunnen dan immers niet meer van het ene systeem naar het andere gaan om de aanval te verspreiden.

Opgelet: schakel de computers niet uit. Doe je dat wel, dan kan je belangrijke data verliezen die nodig zijn om de aanval te stoppen. 

Geïnfecteerde systemen terug aan het netwerk hangen is risicovol. Als de infectie zich nog verder kan verspreiden (bijvoorbeeld bij ransomware), doe je dat beter niet. De enige manier om ervoor te zorgen dat een computer niet langer een achterpoort of andere malware van de dader bezit, is door het besturingssysteem volledig opnieuw te installeren en alle beveiligingspatches toe te passen voordat de geïnfecteerde computer weer op het bedrijfsnetwerk wordt aangesloten. Je kan dit enkel doen als je een back-up hebt van je gegevens, want bij de herinstallatie gaan alle gegevens verloren.

Het is ook raadzaam om alle wachtwoorden te veranderen aangezien de dader die mogelijk kent. 

Communiceer snel en vaak en hou je  medewerkers, leveranciers, dienstverleners en klanten op de hoogte. Een aanval verbergen is meestal geen goed idee, het kan de reputatie van je organisatie schaden. Wees zo transparant mogelijk over de aanval tegenover je medewerkers, stakeholders, klanten of gebruikers en de pers. Zelfs als je niet alle antwoorden hebt, is het belangrijk om de stakeholders te informeren.

Het incident melden bij de politie kan andere organisaties helpen om niet door dezelfde aanval getroffen te worden. In sommige gevallen kan een melding ook wettelijk verplicht zijn.

Is de aanval gestopt en heb je alle activiteiten terug kunnen heropstarten? Wees extra waakzaam en hou je IT-omgeving continu in de gaten. Als je merkt dat de aanval opnieuw start, is de infectie niet volledig verwijderd.