Dit is waar de door u getroffen voorbereidingen zich behoren terug te betalen, laten we aan de slag gaan volgens het incidentenbestrijding stappenplan
- Identificatie
- Afbakening
- Probleembestrijding
- Hertstel
1) Identificatie
Identificatie van dit probleem ziet u doordat u op uw mobiele telefoon van Google een melding krijgt dat er zojuist is ingelogd vanuit Locatie X en aan u de vraag of dat in orde is. Vanaf dat moment weet u dus dat iemand buiten uw netwerk met uw gegevens aan de haal is.
- Het is noodzakelijk dat u dit voorbereid, u moet uw telefoon registreren bij Google en ervoor zorgen dat het nummer actueel en in uw bezit is. Het instellen van Multi-Factor authenticatie had u in deze geholpen om dit te voorkomen, daar komen we in een ander blog op terug.
2) Afbakening
In de email die Google u stuurt staat een link waarmee u het inloggen direct kunt blokkeren en u uw wachtwoord kunt resetten. Daarmee bent u er nog niet, u heeft namelijk op dit moment nog geen idee waar de indringer uw gegevens vandaan heeft gehaald. U zult dus moeten onderzoeken op welke pc’s of devices u allemaal uw Google account heeft gebruikt en of dit misschien op een onveilig netwerk heeft plaatsgevonden (b.v. via gebruik van publieke Wifi, daar komen we een andere keer nog op terug).
3) Probleembestrijding
Als u niet zeker bent welk device gecompromitteerd is zult u alles in quarantaine moeten plaatsen. Dat betekend zoveel als alle netwerkverbindingen loskoppelen en stuk voor stuk devices scannen op malware. Daar zijn veel oplossingen voor, hier een veel gebruikte selectie:
Het is belangrijk de scanresultaten vast te leggen en uit te zoeken of u het moment van infectie kunt herleiden. Daarmee kunt u bepalen welke gegevens er mogelijk buitgemaakt zijn en welke zaken u nog verder zult moeten aanpakken om verdere schade te voorkomen.
Denk aan:
- Wachtwoorden resetten van accounts die u gebruikt heeft
- Welke email ingezien en verzonden kan zijn uit uw naam
Welke klanten u mogelijk moet informeren
- Welke bestanden er gekopieerd kunnen zijn
Of er daardoor persoonsgegevens gelekt zijn en u melding moet maken bij het College bescherming persoonsgegevens
- Zijn er dubieuze banktransacties geweest in die periode
- Etc.
Uit deze lijst volgt dus een concrete actielijst
4) Herstel
Als blijkt dat de bedreigingen van uw systeem verwijderd kunnen worden, kunt u starten met het herstel van uw gegevensbestanden. Let op, uw back ups kunnen ook geïnfecteerde bestanden bevatten, wees dus voorzichtig en zorg dat deze bestanden gescand worden voordat u ermee aan de slag gaat. Daarnaast zal u afhankelijk van de aangetroffen bedreiging nog meer zaken moeten nalopen.
Als blijkt dat uw systeem zodanig geïnfecteerd is dat deze niet meer te herstellen is dan bent u genoodzaakt herinstallatie uit te voeren, de zogenaamde “flatten & rebuild” optie. Heel simpel, als u de veiligheid in de basis niet meer kunt vertrouwen is het noodzakelijk dat vertrouwen terug te krijgen, een schone installatie doet dat.
Mochten deze zaken u afschrikken kunt u natuurlijk altijd een IT professional bij u in de buurt raadplegen maar weet u wel wat er van u verlangt wordt.
