Cyberincidenten zijn voor het MKB geen uitzondering meer: gijzelsoftware die bestanden versleutelt, een overgenomen mailbox, of een inbraak die pas opvalt als de schade al is aangericht. Belangrijker dan de vraag óf het je overkomt, is de vraag wat je doet op het moment dat het gebeurt.
Juist daar gaat het vaak mis. De omvang van de uiteindelijke schade wordt zelden bepaald door hoe geavanceerd de aanval was, maar door de beslissingen die in de eerste 24 uur worden genomen. En dat zijn precies de uren waarin, onder druk en zonder plan, de duurste fouten worden gemaakt.
Dit stuk gaat niet over hoe je een hack voorkomt. Daar zijn andere artikelen voor. Het gaat over wat je doet op het moment dat het tóch is gebeurd.
De eerste reflex maakt het meestal erger
Er zijn drie instinctieve reacties die bijna iedereen heeft, en die stuk voor stuk verkeerd zijn.
De eerste is alles uitzetten. Logisch gevoel, want je wilt de aanval stoppen. Maar een computer die je hard uitschakelt, wist het werkgeheugen, en juist daar zit vaak het bewijs dat een onderzoeker nodig heeft om te bepalen hoe de aanvaller binnenkwam en wat hij heeft meegenomen. Sommige vormen van gijzelsoftware versleutelen bovendien pas echt af bij het opnieuw opstarten. Uitzetten voelt als de rem intrappen, maar het is soms gas geven.
De tweede reflex is zelf gaan opruimen. Bestanden terugzetten, verdachte accounts verwijderen, de boel "even schoonmaken". Daarmee vernietig je sporen en weet je achteraf niet meer of de aanvaller nog binnen is.
De derde is meteen betalen. De druk is enorm, er staat een aftelklok op je scherm, je bedrijf ligt stil. Maar betalen zonder dat iemand heeft vastgesteld wat er speelt, is de zwakste positie waarin je kunt onderhandelen, en geen enkele garantie dat je je data terugkrijgt.
Uur nul tot één: isoleren, niet uitschakelen
Wat je wél doet, is het besmette apparaat van het netwerk halen zonder het uit te zetten. Netwerkkabel eruit, wifi uit. Zo stopt de verspreiding naar andere systemen, terwijl het bewijs en de eventuele mogelijkheid tot herstel intact blijven.
Doe dit breed. Een hack beperkt zich zelden tot één laptop. Isoleer wat je verdacht vindt, maar ga ervan uit dat meer besmet is dan je op het eerste gezicht ziet. Ook je back-ups wil je zo snel mogelijk veiligstellen en ontkoppelen, want moderne aanvallers zoeken die gericht op om je herstelmogelijkheid onderuit te halen.
En dan bel je hulp in. Dit is niet het moment voor trial-and-error. Hoe eerder een IT-partner of incident-responseteam meekijkt, hoe groter de kans dat de schade beheersbaar blijft.
Communiceer buiten de gehackte systemen om
Dit vergeten mensen bijna altijd: als je systemen zijn gecompromitteerd, leest de aanvaller mogelijk mee. Ga dus niet via e-mail of Teams overleggen over je aanpak, want dan geef je precies weg wat je gaat doen.
Schakel over op een ander kanaal. Bel elkaar, gebruik privételefoons, spreek fysiek af. Klinkt ouderwets, maar het is het verschil tussen intern beraad en een open podium voor degene die net je netwerk heeft overgenomen.
Regel tegelijk je interne communicatie. Wie mag wat weten, wie is woordvoerder, en wat zeg je naar buiten. In het informatievacuüm van de eerste uren ontstaan anders geruchten die je later niet meer terugdraait.
Wat je wettelijk moet: de klok tikt
Naast de technische chaos loopt er een juridische klok, en die wacht niet tot je het rustiger hebt.
Zijn er persoonsgegevens gelekt of mogelijk gelekt, dan geldt de meldplicht datalekken uit de AVG. Je moet dat in beginsel binnen 72 uur melden bij de Autoriteit Persoonsgegevens, en in bepaalde gevallen ook de betrokkenen zelf informeren. Val je onder de Cyberbeveiligingswet, de Nederlandse invulling van NIS2, dan is de termijn nog korter: een eerste melding bij de toezichthouder binnen 24 uur.
Die termijnen zijn precies waarom je vanaf minuut één een tijdlijn moet bijhouden. Wanneer merkte je het, wat zag je, wat heb je gedaan, wie heb je gebeld. Dat logboek heb je straks nodig voor de toezichthouder, voor je verzekeraar en voor het onderzoek. In de hectiek denk je dat je het je later nog wel herinnert. Dat doe je niet.
Niet zelf opruimen, en niet zomaar betalen
Herstellen is verleidelijk, maar te vroeg herstellen is gevaarlijk. Voordat je ook maar iets terugzet, moet vaststaan dat de aanvaller er echt uit is. Wie te snel de systemen weer aanzet, nodigt dezelfde partij een tweede keer uit, nu via een achterdeurtje dat hij bij de eerste inbraak heeft geplaatst.
Wachtwoorden reset je, maar wél vanaf een schoon apparaat, en met tweefactor-authenticatie erop. Reset je vanaf een besmet systeem, dan kijkt de aanvaller gewoon mee terwijl je het doet.
En dat losgeld? Doe daar niets mee zonder dat experts en zo nodig politie zijn betrokken. Doe altijd aangifte, meld je bij je cyberverzekeraar als je die hebt, en laat de afweging over betaling nooit een paniekbeslissing in het heetst van de strijd zijn.
Waarom het echte werk vooraf gebeurt
Hier komt het ongemakkelijke deel. Alles wat ik hierboven beschrijf, lukt alleen als je het niet voor het eerst bedenkt terwijl je bedrijf stilligt. De bedrijven die een hack relatief goed doorstaan, zijn niet de bedrijven met geluk. Het zijn de bedrijven die vooraf hebben nagedacht: wie bellen we, waar staan onze back-ups, hoe communiceren we als de mail eruit ligt, wie neemt de leiding.
Dat draaiboek hoeft niet dik te zijn. Eén A4 met namen, telefoonnummers en de eerste vijf stappen, uitgeprint en niet alleen digitaal opgeslagen op precies het systeem dat straks versleuteld is, brengt je verder dan het duurste beveiligingspakket zonder plan.
Tot slot
Een cyberincident kan elke organisatie overkomen, en het is op zichzelf geen falen. Het echte verschil zit in of je weet wat je moet doen op het moment dat het gebeurt. De reflex om alles uit te zetten, zelf op te ruimen of snel te betalen is begrijpelijk, maar maakt de schade vaak groter dan de aanval zelf.
Als je je afvraagt of jouw organisatie dat draaiboek klaar heeft liggen, wie er gebeld wordt, waar de back-ups staan en hoe je communiceert als de mail eruit ligt, dan is dat precies het gesprek dat je beter nu voert dan tijdens het incident zelf.