Je bedrijf is gehackt: wat nu? Stappenplan

Je merkt dat er iets mis is. Bestanden zijn versleuteld, systemen reageren niet, of je krijgt een losgeldboodschap op je scherm. Misschien heeft een medewerker op een verkeerde link geklikt, of merk je dat iemand ongeautoriseerd heeft ingelogd.

Wat je nu doet, bepaalt hoe groot de schade wordt. Dit stappenplan helpt je de eerste uren en dagen door.

Stap 1: beperk de schade

De eerste minuten na ontdekking zijn de belangrijkste. Je doel: voorkomen dat de aanval zich verder verspreidt.

Direct doen:

• Koppel besmette apparaten los van het netwerk. Trek de netwerkkabel eruit en schakel wifi uit. Hiermee voorkom je dat malware zich verspreidt naar andere systemen of dat de aanvaller meer schade aanricht
• Zet de apparaten niet uit. In het werkgeheugen zit forensisch bewijs dat verloren gaat bij het uitzetten. Koppel los, maar laat draaien
• Ontkoppel gedeelde netwerkschijven en cloudsynchronisatie als je vermoedt dat bestanden worden versleuteld
• Blokkeer verdachte accounts. Zie je onbekende inlogpogingen of accounts? Blokkeer of reset ze direct in je admin-portal

Stap 2: schakel hulp in

Een cyberincident los je zelden alleen op. Schakel zo snel mogelijk de juiste partijen in.

Wie bellen:

• Je IT-partner. Als je een IT-dienstverlener hebt: bel ze nu. Zij kunnen de situatie beoordelen, de aanval stoppen en helpen met herstel
• CERT.be. Het Belgische Computer Emergency Response Team helpt bij incidenten en kan doorverwijzen naar gespecialiseerde hulp. Meld via cert.be
• Je cyberverzekeraar (als je die hebt). Veel cyberverzekeringen bieden 24/7 incident-response support en dekken kosten voor forensisch onderzoek en herstel. Meld het incident zo snel mogelijk — te late melding kan je dekking in gevaar brengen

Heb je geen IT-partner? CERT.be is je eerste aanspreekpunt. Zij kunnen je doorverwijzen naar incident-response specialisten. Safeonweb.be biedt ook praktische stappen voor gehackte bedrijven.

Stap 3: meld het incident

Afhankelijk van je situatie moet je het incident op meerdere plekken melden. Dit is niet alleen een verplichting — het helpt ook anderen te beschermen tegen dezelfde aanval. Lees onze volledige gids over incident melden in België voor alle details per instantie.

CERT.be

CERT.be is het Belgische meldpunt voor cyberincidenten. Melden is voor de meeste bedrijven niet wettelijk verplicht (tenzij je onder NIS2 valt), maar wel sterk aan te raden. CERT.be analyseert je melding, kan technisch bijstaan en waarschuwt andere potentiële slachtoffers.

CCB (NIS2-meldplicht)

Val je onder de NIS2-wet? Dan is melden verplicht bij significante incidenten:

• Binnen 24 uur: vroegtijdige melding bij het CCB. Een kort bericht dat er een incident is
• Binnen 72 uur: incidentmelding met meer detail over de aard en impact
• Binnen 1 maand: eindverslag met oorzaakanalyse en genomen maatregelen

Melden kan via het Safeonweb@Work portaal.

GBA (bij persoonsgegevens)

Zijn er persoonsgegevens betrokken — klantgegevens, personeelsdossiers, e-mailadressen? Dan is het waarschijnlijk een datalek onder de AVG. Je moet dit binnen 72 uur melden bij de Gegevensbeschermingsautoriteit (GBA). Bij hoog risico voor de betrokkenen moet je hen ook informeren.

Politie

Bij financiële schade, afpersing of diefstal van gegevens is aangifte bij de politie aan te raden. Je kunt terecht bij de lokale politie of bij de Federal Computer Crime Unit (FCCU). Bewaar alle bewijsmateriaal.

Stap 4: onderzoek en herstel

Na het indammen van de schade begint het onderzoek. Wat is er precies gebeurd, hoe is de aanvaller binnengekomen, en welke systemen zijn geraakt?

Onderzoek:

• Identificeer het type aanval. Ransomware? Datalekken? Ongeautoriseerde toegang? Het type bepaalt je herstelstrategie
• Bepaal de omvang. Welke systemen zijn geraakt? Welke gegevens zijn mogelijk gestolen of versleuteld? Check logbestanden als die beschikbaar zijn
• Zoek de ingang. Hoe is de aanvaller binnengekomen? Een phishingmail? Een gelekt wachtwoord? Een ongepatchte kwetsbaarheid? Dit moet je weten om herhaling te voorkomen

Herstel:

• Herstel vanuit schone backups. Gebruik backups waarvan je zeker weet dat ze niet besmet zijn. Test de backup op een geïsoleerd systeem voordat je deze terugzet in je productieomgeving
• Wijzig alle wachtwoorden. Alle wachtwoorden, voor alle accounts, voor alle medewerkers. Gebruik een wachtwoordmanager en schakel MFA in waar dat nog niet het geval was
• Patch de kwetsbaarheid waardoor de aanvaller is binnengekomen. Herstel zonder de ingang te dichten is zinloos
• Bouw systemen opnieuw op als je niet zeker weet of ze schoon zijn. Bij een ernstige besmetting is opnieuw installeren betrouwbaarder dan schoonmaken

Stap 5: voorkom herhaling

Na het acute herstel begint het structurele werk. Een incident is een harde les — maar ook een kans om je beveiliging fundamenteel te verbeteren.

Evalueer:

• Voer een post-incident review uit. Wat ging goed, wat ging fout? Waar zaten de gaten? Betrek je team en je IT-partner
• Stel een incidentplan op als je dat nog niet had. Had je er al een? Werk het bij op basis van wat je hebt geleerd. Onze ransomware-gids bevat concrete stappen

Verbeter:

• Dicht de gaten die het incident mogelijk maakten. MFA aan? Backups offline? Software gepatcht? Admin-rechten beperkt?
• Train je team. Bespreek het incident (geanonimiseerd als nodig) en leg uit hoe het voorkomen had kunnen worden. Awareness groeit het meest na een echt incident
• Overweeg een CyFun self-assessment. Het CyberFundamentals framework van het CCB helpt je alle beveiligingsdomeinen gestructureerd door te lopen. Zo weet je zeker dat je niets over het hoofd ziet
• Overweeg een cyberverzekering als je die nog niet hebt. De kosten van een incident — downtime, herstel, juridische kosten, reputatieschade — kunnen voor een KMO snel oplopen

Dit artikel is informatief bedoeld en vervangt geen professionele incidentrespons. Bij een actief cyberincident: bel je IT-partner en meld het bij CERT.be. Bij een datalek met persoonsgegevens: meld het bij de GBA binnen 72 uur.