Een cyberincident is stressvol — en ook bijzonder ernstig. Of het nu gaat om een gehackt e-mailaccount, ransomware of verdachte activiteit op je netwerk: je kan te maken krijgen met dataverlies, bedrijfsstilstand, juridische verplichtingen en reputatieschade. In zulke situaties zijn de eerste uren cruciaal. Vraag je je af: “Wat moet je doen als je gehackt bent?” – Deze checklist helpt je door de belangrijkste stappen. Ze is geschreven voor kmo’s en organisaties zonder een groot intern IT-team en focust op wat je eerst moet doen, wat je beter niét doet en hoe je de schade beperkt.
Stap 1 – De situatie inschatten
Voor je actie onderneemt, is het belangrijk om een duidelijk beeld te krijgen van wat er gebeurt. Ga na welke systemen, accounts of bestanden getroffen zijn en verzamel zoveel mogelijk informatie.
Veelvoorkomende signalen van een hack:
- Je kan niet meer inloggen op accounts
- Er worden e-mails verstuurd die je zelf niet hebt geschreven
- Bestanden zijn versleuteld, verdwenen of onverwacht aangepast
- Systemen zijn traag of vertonen vreemd gedrag
- Je krijgt losgeldberichten of ongebruikelijke meldingen
Deze stap helpt je om weloverwogen beslissingen te nemen in de volgende fases, in plaats van blind te reageren.
Stap 2 – Schakel expert hulp in
Zodra je een eerste inschatting hebt gemaakt, neem je best contact op met je IT-partner of een cybersecurity-expert (zoals ITAF).
Expert begeleiding kan:
- Het incident indammen en verdere verspreiding voorkomen
- Bewijsmateriaal veiligstellen voor onderzoek of compliance
- Vermijden dat je stappen zet die de situatie verergeren
Tip: Veel organisaties verliezen tijd en data door onder druk te gokken naar oplossingen. Vroege expertise maakt vaak het grootste verschil.
Stap 3 – Het probleem isoleren
De volgende prioriteit is het stoppen van de verspreiding:
- Koppel getroffen toestellen los van het netwerk (wifi & kabel)
- Meld gecompromitteerde accounts af op alle toestellen
- Schakel verdachte gebruikersaccounts uit
- Pauzeer synchronisatie van diensten (e-mail, cloudopslag) indien nodig
Zo beperk je verdere schade en blijven systemen beschikbaar voor onderzoek.
Stap 4 – Accounts beveiligen en wachtwoorden wijzigen
Wachtwoorden wijzigen is essentieel, maar timing is belangrijk:
- Begin met admin-, e-mail- en cloudaccounts
- Gebruik sterke, unieke wachtwoorden (geen hergebruik)
- Wijzig wachtwoorden vanaf een schoon, niet-gecompromitteerd toestel
- Controleer of Multi-Factor Authenticatie (MFA) is gewijzigd of uitgeschakeld
Te vroeg wachtwoorden aanpassen zonder begeleiding kan aanvallers waarschuwen of extra problemen veroorzaken.
Stap 5 – Nagaan wat er werd geraadpleegd
Inzicht krijgen in de impact van het incident is cruciaal:
- Controleer loginlogs en aanmeldlocaties
- Kijk of er e-mailregels of doorsturingen zijn ingesteld
- Ga na of er nieuwe adminaccounts zijn aangemaakt
- Onderzoek toegang tot gevoelige data (bestanden, klantgegevens, financiële info)
Zo bepaal je of het gaat om een beperkte inbreuk, een volledige netwerkcompromittering of een datalek.
Stap 6 – Intern communiceren
Stilte maakt de situatie vaak erger. Informeer je medewerkers duidelijk:
- Klik niet op verdachte e-mails
- Sluit getroffen toestellen niet opnieuw aan
- Meld onmiddellijk alles wat ongewoon lijkt
Heldere communicatie voorkomt paniek en bijkomende schade.
Stap 7 – Juridische en complianceverplichtingen nagaan
Afhankelijk van het incident kan je verplicht zijn om:
- Klanten of partners te informeren
- Een datalek te melden (GDPR)
De juiste timing en formulering zijn essentieel. Foute communicatie kan extra risico’s creëren.
Stap 8 – Veilig herstellen
Herstel is meer dan “alles weer opstarten”. Een veilige aanpak omvat:
- Back-ups controleren vóór herstel
- Geïnfecteerde systemen opschonen of opnieuw installeren
- Systemen monitoren na herstel
- Bevestigen dat aanvallers geen toegang meer hebben
Te snel herstellen kan leiden tot herinfectie.
Stap 9 – De oorzaak aanpakken
Een hack is meestal een symptoom, geen toeval. Pak onderliggende problemen aan:
- Zwakke of hergebruikte wachtwoorden
- Ontbrekende MFA
- Niet-gepatchte systemen
- Gebrek aan monitoring of detectie
- Medewerkers die onvoldoende getraind zijn in cyberrisico’s
Hier begint echte preventie.
Hoe ITAF helpt — na (en vóór) een incident
Als IT-partner voor kmo’s ondersteunt ITAF organisaties met cybersecurity, IT-infrastructuur en cloudomgevingen. Onze ondersteuning omvat:
- Incident response & containment
- Security assessments
- Back-up- en recoverystrategieën
- Endpoint-, e-mail- en netwerkbeveiliging
- Continue monitoring en begeleiding
Het doel is eenvoudig: schade vandaag beperken en herhaling morgen voorkomen.
Snelle checklist: wat te doen als je gehackt bent
- ❏ Situatie inschatten – Breng getroffen systemen, accounts en bestanden in kaart
- ❏ Contacteer je IT-partner – Vroege expertise voorkomt fouten en beperkt schade
- ❏ Getroffen systemen isoleren – Koppel gecompromitteerde toestellen en accounts los
- ❏ Accounts & toegangen beveiligen – Wijzig wachtwoorden vanaf een schoon toestel en controleer MFA
- ❏ Nagaan wat werd geraadpleegd – Bepaal of data, e-mail of systemen zijn gecompromitteerd
- ❏ Medewerkers informeren – Duidelijke instructies voorkomen paniek en fouten
- ❏ Juridische verplichtingen checken – GDPR, meldingen aan klanten of partners
- ❏ Herstellen vanaf schone back-ups – Alleen herstellen wanneer de dreiging weg is
- ❏ De oorzaak aanpakken – Los structurele zwaktes op in beveiliging en training
Ben je op enig moment onzeker? Raad niet. Vroeg hulp inschakelen kan een wereld van verschil maken.
