24/7 Incident Response & digitale forensics voor Europese organisaties
Als uw organisatie te maken heeft met ransomware, accountcompromittering, datadiefstal, cloudinbraak of actieve aanvallersactiviteit, helpt ForgeWork u het incident in te perken, bewijs veilig te stellen, de oorzaak te onderzoeken, wettelijke melding te ondersteunen en het herstel te begeleiden.
Eerste reactie zo snel mogelijk, 24/7. De telefoon is het snelst bij actieve aanvallen. Het onderstaande formulier is prima voor triage wanneer een aanvaller niet actief bezig is.
Redactionele normen · NIS2 / AVG / DORA-bewust · DFIR Assist-platform · Gratis playbooks
Nu meteen — voordat we er zijn
Als u een actieve inbraak vermoedt, tellen de komende 30 minuten. Dit zijn de acties die u moet nemen (en vermijden) voordat welke responder dan ook — wij of iemand anders — aan de slag gaat.
- Wis geen getroffen systemen. Opnieuw installeren of terugzetten vanaf back-up vóór forensische verzameling vernietigt het bewijs dat we nodig hebben om de oorzaak te vinden.
- Koppel gecompromitteerde hosts los van het netwerk, maar zet ze niet uit. De netwerkkabel eruit trekken (of wifi / de virtuele NIC uitschakelen) stopt aanvallersactiviteit terwijl vluchtig geheugenbewijs behouden blijft.
- Stel logs veilig. Windows Event Logs, EDR-telemetrie, cloud-auditlogs (AWS CloudTrail, Azure Activity, M365 Unified Audit), firewall en e-mailgateway. Veel hiervan hebben een korte standaardbewaartermijn — verleng die nu als u kunt.
- Noteer het exacte tijdstip van detectie en de indicatoren die u zag. Een korte, van tijdstempels voorziene schriftelijke log van wat u zag en deed is nuttiger dan uw geheugen twee dagen later in een respons.
- Beperk het gebruik van adminreferenties; roteer ze na de triage. Log niet in op gecompromitteerde systemen met geprivilegieerde accounts — ga ervan uit dat referentiediefstal in scope is tot het tegendeel bewezen is.
- Neem geen contact op met de aanvaller voordat u een plan hebt. Vroege of ongecoördineerde communicatie kan destructieve actie versnellen of uw onderhandelingspositie verzwakken.
- Informeer uw juridisch adviseur en uw cyberverzekeraar. Stel dit niet uit. Veel polissen vereisen snelle melding, en de adviseur moet betrokken zijn voordat de wettelijke klokken (NIS2 24u, AVG 72u) gaan lopen.
Wat we doen in de eerste 4 uur
Dit zijn de activiteiten die een ForgeWork-responseteam uitvoert in het openingsvenster van een opdracht. De klok start wanneer we de opdracht aannemen en uw aangewezen contactpersoon met ons aan de lijn is.
Triagegesprek, scopebepaling, stop-de-bloeding-acties
Beveiligd gesprek met uw aangewezen incident commander. We leggen vast wat bekend is, welke systemen getroffen zijn, welke inperkingsacties u al hebt genomen en de wettelijke situatie (NIS2 van toepassing? AVG-persoonsgegevens? DORA?). We spreken de directe stop-de-bloeding-acties af: accountvergrendelingen, segmentisolatie, het blokkeren van bekende indicatoren. We verplaatsen communicatie naar een out-of-bandkanaal dat niet afhankelijk is van mogelijk gecompromitteerde infrastructuur.
Beveiligde bewijsverzameling begint
We starten gestructureerde artefactverzameling met DFIR Assist-playbooks: geheugenopnames van getroffen endpoints, EDR-telemetrie-exports, cloud-auditlog-pulls, identity-providerlogs en netwerktelemetrie. Verzameling loopt parallel met inperking — we wachten niet tot "het onderzoek begint" voordat we bewijs gaan veiligstellen, want aanvallers vernietigen het actief.
Inperkingsplan + beslissing: isoleren, monitoren of jagen
Met de eerste scope in beeld presenteren we een inperkingsbeslissing: isoleren (de toegang van de aanvaller nu afsnijden, met het risico dat we hun volledige voetafdruk nog niet zien), monitoren (laterale beweging beperken terwijl we observeren om de scope in kaart te brengen) of jagen (actief de hele omgeving doorzoeken op bekende indicatoren voordat we onze kaarten tonen). Elk pad heeft afwegingen tussen beveiliging, bewijskwaliteit en bedrijfscontinuïteit. We presenteren die afwegingen in zakelijke termen; uw leiding beslist.
Forensische acquisitie breidt uit; begeleiding bij de wettelijke klok
Acquisitie breidt uit naar extra endpoints, identiteitssystemen en cloud-tenants op basis van wat de triage aan het licht bracht. Parallel briefen we uw juridische team over de wettelijke klok: onder NIS2 is het vroegtijdige-waarschuwingsvenster 24 uur vanaf bekendwording; onder AVG-artikel 33 is het venster naar de toezichthouder 72 uur; onder DORA hebben financiële entiteiten classificatie- en meldverplichtingen in een vergelijkbaar tempo. Wij leveren de technische feiten die die meldingen voeden.
Waarom ForgeWork
We claimen geen klanten die we niet hebben. Dit is wat we wél bieden.
Methodologie
Onze opdrachten volgen de incident-handlingfasen van NIST SP 800-61 (Voorbereiding, Detectie en analyse, Inperking / Eradicatie / Herstel, Activiteit na het incident), uitgevoerd tegen gestructureerde playbooks voor de incidentklassen die we het vaakst zien: ransomware, zakelijke e-mailcompromittering, cloudinbraak, kwaadwillende insider en data-exfiltratie. Onze schrijfnormen en de discipline die we onszelf opleggen staan beschreven op onze pagina Redactionele normen.
Tooling
Responsopdrachten worden uitgevoerd op DFIR Assist, ons platform voor digitale forensische workflows. DFIR Assist geeft onze responders gestructureerde artefact-playbooks, gescripte verzamelroutines en een consistent onderzoeksoppervlak, zodat het werk reproduceerbaar en controleerbaar is in plaats van afhankelijk van het geheugen van één engineer.
Regelgevingskennis
Europese incidenten kennen niet-onderhandelbare wettelijke klokken. We werken samen met uw juridisch adviseur om melding te ondersteunen onder:
- NIS2-richtlijn — vroegtijdige waarschuwing binnen 24 uur na bekendwording; volledige incidentmelding binnen 72 uur; eindrapport binnen één maand. (Zie onze uitleg: NIS2 en incident response.)
- AVG-artikel 33 — melding aan de toezichthouder binnen 72 uur na kennisname van een datalek met persoonsgegevens.
- DORA — classificatie- en meldverplichtingen voor financiële entiteiten, inclusief melding van grote incidenten aan bevoegde autoriteiten.
Ervaring van onze praktijkmensen
Onze praktijkmensen hebben incidenten behandeld in gereguleerde sectoren, waaronder financiële dienstverlening, gezondheidszorg, productie en publieke organisaties, en brengen die ervaring in bij ForgeWork-opdrachten. We beschrijven dit bewust in termen van praktijkervaring in plaats van klantlogo's: ForgeWork is een jong bedrijf; de mensen erin zijn dat niet.
Wat er na de respons gebeurt
Het einde van de directe crisis is niet het einde van de opdracht. Nuttig responswerk gaat door na de inperking.
- Forensisch rapport. Technische bevindingen, aanvalstijdlijn, uit bewijs gereconstrueerde aanvallersacties, indicatoren van compromittering (IOC's) en oorzaakanalyse. Gestructureerd voor leidinggevenden, technische teams, juridisch adviseurs en toezichthouders.
- Aanbevelingen voor herstel en verharding. Geprioriteerd, afgebakend, gedateerd. Geen generieke checklist — aanbevelingen zijn specifiek voor wat de aanvaller deed en hoe uw omgeving eruitzag.
- Tabletop-oefening om de volgende keer te oefenen. Een begeleide doorloop van een realistisch scenario op basis van wat we net zagen, zodat uw team de respons de tweede keer beter uitvoert.
- DFIR Assist-workflows voor uw team. Waar passend worden de artefact-playbooks en onderzoeksworkflows die we gebruikten beschikbaar gesteld aan uw interne team, zodat toekomstig eerste-responswerk sneller verloopt.
Hoe we werken
We werken op basis van noodautorisatie of retainer. Noodtarieven gelden voor actieve incidenten; preventieve opdrachten (retainer, gereedheidsbeoordeling, tabletop) worden per scope geoffreerd.
We publiceren geen vaste prijslijst, omdat incidentscope de dominante kostendrijver is en één "per-uur"- of "per-incident"-bedrag óf te veel zou beloven óf te veel zou rekenen. In plaats daarvan committeren we ons aan eerlijke scoping: na het eerste triagegesprek ontvangt u een schriftelijke scope en tariefblad voordat substantieel werk begint. Bij actieve noodgevallen begint het werk onder een noodautorisatie terwijl de schriftelijke scope parallel wordt opgesteld.
Retainer vs. noodopdracht
Retainerklanten krijgen vooraf ingerichte toegang, lagere tarieven, een toegezegd responsvenster en driemaandelijkse gereedheidscontroles. Noodopdrachten hebben hogere tarieven en zijn afhankelijk van onze beschikbaarheid wanneer u belt. Als uw organisatie een cyberverzekering heeft, controleer dan uw polis — veel verzekeraars bieden premiekorting of vereisen een actieve IR-retainer.
Veelgestelde vragen
We denken dat we gehackt zijn. Wat moeten we nu doen?
Zie de checklist hierboven. De korte versie: niet wissen, gecompromitteerde hosts niet uitzetten, logs veiligstellen, opschrijven wat u zag en wanneer, geen contact met de aanvaller, juridisch en verzekering informeren. Bel ons daarna of vul het triageformulier in.
Hoe snel reageert ForgeWork?
Onze gepubliceerde doelstelling is eerste reactie zo snel mogelijk, 24/7, voor noodopdrachten en retainerklanten. De eerste-reactieklok start wanneer we uw telefoontje of uw nood-intakeformulier ontvangen. Retainerklanten hebben een snellere weg naar substantiële actie omdat aanbesteding en toegang vooraf zijn geregeld.
Moeten we de politie inschakelen?
Vaak wel. Veel rechtsgebieden en regelgevingen kennen verplichte meldingsplichten die melding aan de politie kunnen inhouden — NIS2, AVG en sectorspecifieke kaders definiëren elk hun eigen vereisten. Naast wettelijke verplichtingen kan betrokkenheid van de politie nuttig zijn: instanties zoals Europol's EC3 en nationale CERT's leveren dreigingsinformatie, coördineren met internationale partners en ondersteunen takedown-operaties. Wij adviseren over meldingsplichten en faciliteren coördinatie. We geven geen juridisch advies — dat is de rol van uw adviseur.
Kunnen jullie helpen met NIS2-/AVG-/DORA-melding?
We leveren de technische bevindingen die wettelijke meldingen voeden, en we werken nauw samen met uw juridische team om ervoor te zorgen dat het technische verhaal accuraat en volledig is en aan de verwachtingen van de toezichthouder voldoet. We hebben meldingen ondersteund onder NIS2 (24u vroegtijdige waarschuwing, 72u melding), AVG-artikel 33 (72u melding van datalek met persoonsgegevens) en DORA-incidentclassificatie voor financiële entiteiten.
Wat als we geen incident-responseplan hebben?
Veel organisaties die ons tijdens een incident benaderen, hebben geen formeel plan. We brengen de methodologie, structuur en ervaring om de respons hoe dan ook te begeleiden. Na het incident zou het ontwikkelen en testen van een IR-plan een prioriteit moeten zijn — en dat is een gebied waarop onze proactieve opdrachten (tabletop-oefeningen, gereedheidsbeoordelingen) kunnen helpen.
Gerelateerde bronnen
- Ransomware-respons: de eerste 60 minuten — praktische gids voor het kritieke eerste uur na een ransomware-detectie.
- Waarom uw incident-responseplan ertoe doet — het pleidooi om in voorbereiding te investeren voordat een crisis toeslaat.
- NIS2 en incident response — wat de 24u- en 72u-vensters daadwerkelijk vereisen.
- Incident response-checklist — downloadbare checklist voor de eerste 24 uur van een incident.
- DFIR Assist — ForgeWork's platform voor digitale forensische workflows.
- Redactionele normen — hoe we schrijven, wat we wel en niet claimen.
Actief incident? Bel nu.
De telefoon is het snelst. Het intakeformulier is prima voor triage wanneer een aanvaller niet actief bezig is. Eerste reactie zo snel mogelijk, 24/7.