Mensen aan een vergadertafel luisteren naar een vrouw die staat te spreken tijdens een overleg
Inzicht24 juni · 11:057 min leestijd

Continuïteit na een cyberaanval koop je niet, die ontwerp je

Bijna de helft van de Nederlandse bedrijven verliest binnen een werkdag omzet na een cyberaanval. Toch behandelt de meerderheid het als een technisch probleem. De vraag die telt: wat heb je klaarliggen voordat het misgaat?

In de zomer van 2017 legde de NotPetya-aanval bij Maersk, destijds twintig jaar lang de grootste containervervoerder ter wereld, binnen enkele minuten 45.000 pc’s en 4.000 servers plat. Wat het concern uiteindelijk redde, was geen beveiligingsproduct. Het was een stroomstoring. Een kantoor in Ghana lag tijdens de aanval toevallig zonder stroom en daarmee los van het netwerk, waardoor daar één domeincontroller, in feite de sleutel tot het hele bedrijfsnetwerk, als enige onbesmet bleef. Een medewerker reisde met die ene harde schijf via Nigeria naar het Verenigd Koninkrijk. Pas toen kon het herstel echt beginnen.

Bedenk wat dat betekent. De continuïteit van een wereldwijde logistieke reus hing aan een toevallige black-out. In de tussentijd werkten medewerkers op papier en namen ze orders aan via WhatsApp en hun Gmail-account. Het was de NotPetya-aanval die Maersk naar schatting 250 tot 300 miljoen dollar kostte, en het pijnlijkste detail is dit: Maersks eigen IT-afdeling had een herontwerp van de netwerkbeveiliging al gepland en begroot, maar het kwam er nooit van, omdat die verbetering niet meetelde in de prestatiedoelen van het management.

Dit is de stelling van dit stuk: technische beveiliging is noodzakelijk, maar of je een aanval overleeft, beantwoord je niet met de producten die je koopt. Je beantwoordt het met de processen die je klaarlegt voordat het misgaat. En juist daar, niet bij de firewall, zit bij de meeste organisaties het gat.

De rekening begint binnen een werkdag

De urgentie is geen abstractie meer. Uit recent onderzoek van HarfangLab onder Nederlandse organisaties blijkt dat 43% binnen één werkdag omzetverlies voelt na een cyberaanval, 7% zelfs binnen enkele uren, en dat herstel gemiddeld 4,27 dagen duurt. Bijna 70% verwacht dat een incident een serieuze impact op de bedrijfsvoering heeft. Dat is geen IT-storing die je even uitzit, dat is een gat in je kasstroom.

En toch, en dat is de kern van het probleem, ziet 54% van de bestuurders cybersecurity vooral als een technische kwestie. Het ligt bij “de IT”, niet op de directietafel. Dat is precies de verkeerde lens. De Odido-datalek liet in Nederland zien hoe AI-gedreven aanvallen de nieuwe norm worden, en nu je AI-toolchain zelf een aanvalsoppervlak wordt verschuift het dreigingsbeeld sneller dan een jaarplan kan bijbenen. De inlichtingenalliantie Five Eyes waarschuwde deze week nog dat cyberrisico niet langer een puur technische kwestie kan zijn. Wie het bij de techniek laat, bereidt zich voor op de verkeerde vraag.

Preventie is eindig, herstel niet

Het meeste beveiligingsbudget gaat naar preventie: firewalls, endpointbescherming, filters. Belangrijk, maar preventie heeft een principieel plafond. Je kunt het aantal aanvallen verkleinen, je kunt het niet tot nul terugbrengen. Een aanvaller hoeft maar één keer geluk te hebben; jij moet elke keer winnen. En je techniek hoeft niet eens gekraakt te worden: een hackgroep kwam bij het Londense vervoersbedrijf TfL binnen via social engineering, door mensen te manipuleren in plaats van code.

Hetzelfde inzicht dat maakt dat phishing geen technisch maar een procesprobleem is en alleen met procesontwerp houdbaar te verdedigen valt, geldt voor de fase erná. De vraag is niet alleen of je een aanval kunt tegenhouden, maar hoe snel en hoe schoon je terugkomt als er één doorheen glipt. Dat noem ik operationele weerbaarheid, en die koop je niet in een doos.

Wat je overleven bepaalt, leg je vooraf klaar

Bedrijfscontinuïteit is het vermogen om je kernprocessen draaiend te houden of snel te hervatten terwijl een verstoring, zoals een cyberaanval, je systemen platlegt. Het is geen product en geen polis, maar een set beslissingen en draaiboeken die je vastlegt en beproeft voordat de aanval komt. Drie daarvan dragen de rest. In de praktijk bepalen vooral deze drie of je binnen een dag weer draait of weken stilstaat:

  • Een schone, offline back-up. Een back-up die met je netwerk verbonden blijft, versleutelt de ransomware gewoon mee. Toch had 58% van de Nederlandse ransomware-slachtoffers in 2023 zelfs helemaal geen back-up, aldus het Digital Trust Center. Maar zelfs een back-up is niet genoeg: Maersk had voor de meeste servers wél back-ups, alleen waren álle domeincontrollers tegelijk gewist, en daar bestond geen herstelprocedure voor. Het uitgangspunt is dan ook dat een back-up schoon is, dus niet aangetast door het incident zelf, en dat je het terugzetten echt hebt getest.
  • Een beproefd incident-playbook. Wie besluit dat je “live” gaat met het noodplan? Wie belt welke leverancier? Welke systemen herstel je eerst? Een herstelplan legt dat vast: hersteltijd-doelen (RTO), het maximale dataverlies dat je accepteert (RPO), een notificatie- of bellijst, en een heldere rolverdeling. Het cruciale woord is beproefd. Maersk had op papier een failsafe, domeincontrollers die elkaar zouden herstellen, maar niemand had het scenario geoefend waarin ze állemaal tegelijk wegvielen. Een “perfect storm”, noemde de casestudy het.
  • Heldere communicatieroutes. Tijdens een aanval ligt juist je communicatie vaak plat: e-mail, telefonie, interne systemen. Wie zegt wat, tegen klanten, medewerkers en de toezichthouder, en via welk kanaal als de gewone kanalen weg zijn? Maersk nam noodgedwongen orders aan via WhatsApp en privé-Gmail. Dat werkte, maar als improvisatie, niet als plan. Onder de NIS2-richtlijn is incidenten melden voor veel organisaties bovendien geen keuze meer maar een verplichting met korte termijnen, dus die route leg je vooraf vast.

Dit zijn beslissingen, geen aankopen. Voor de preventieve kant, van wachtwoordbeleid tot netwerksegmentatie, loop je de vijf basislagen cybersecurity die je zelf kunt controleren na; dit stuk gaat over de laag eronder: wat je doet als die preventie tóch faalt.

“Maar ik heb toch een back-up en een verzekering?”

Het sterkste tegenargument hoor ik vaak: ik heb dit toch geregeld, ik heb een back-up, een IT-partner, een cyberverzekering. Drie geruststellingen die onder druk breken.

Een back-up die je nooit een keer hebt teruggezet, is een gok op het slechtst denkbare moment. Je weet pas dat hij werkt als je hem hebt getest, niet ervoor. Een verzekering vergoedt schade, maar zet je systemen niet terug en haalt je weggelopen klanten niet terug; geld is geen herstel. En een IT-partner neemt taken over, maar niet de bedrijfsbeslissing welke processen als eerste weer moeten draaien. Dat is geen IT-ticket, dat is een directiekeuze.

Het patroon is steeds hetzelfde: een product of contract wordt verward met een plan. Maersk had producten en zelfs een failsafe-ontwerp; wat ontbrak was een geoefende procedure voor het scenario dat zich daadwerkelijk voordeed. Daarom kwam de redding van een stroomstoring, niet van de inkoopafdeling.

Continuïteit is een ontwerpkeuze

Als een wereldconcern met een diepe portemonnee zijn voortbestaan moest danken aan een toevallige black-out in Ghana, dan is de les voor een kleiner bedrijf, met minder marge en minder mensen, alleen maar scherper. Jij hebt geen vergeten domeincontroller aan de andere kant van de wereld die je per ongeluk redt.

De goede vraag is daarom niet “zijn we veilig genoeg”, want het eerlijke antwoord is altijd “niet helemaal”. De goede vraag is: hoe snel en hoe schoon staan we weer, en hebben we dat één keer echt geoefend? Verdediging is geen aankoop, het is een ontwerpkeuze. En die keuze maak je nu, op een rustige dinsdag, niet straks om half drie ’s nachts als de schermen op zwart gaan. Wie wacht tot het misgaat, ontwerpt zijn continuïteit in paniek. Wie het vooraf klaarlegt, heeft straks een draaiboek waar anderen een stroomstoring voor nodig hadden.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Continuïteit die je vooraf ontwerpt

Ik denk met je mee over de processen, schone back-ups en herstelroutes die je bedrijf draaiend houden als een aanval doorbreekt, en bouw end-to-end de koppelingen en automatisering die dat afdwingen. Van de eerste afweging tot een werkend draaiboek.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Chatcontrole 1.0 keert terug na stemming Europees Parlement
Nieuws
4 min

9 jul 14:09

Chatcontrole 1.0 keert terug na stemming Europees Parlement

Chatcontrole 1.0 is opnieuw van kracht: het Europees Parlement haalde donderdag te weinig tegenstemmen om het vrijwillig scannen van berichten en webmail te blokkeren. Wat dit raakt en waarom 2.0 nog dreigt.

Britse minister Cooper vergelijkt AI-risico met Hiroshima en dringt aan op wereldwijde regels
Nieuws
3 min

6 jul 02:10

Britse minister Cooper vergelijkt AI-risico met Hiroshima en dringt aan op wereldwijde regels

De Britse minister van Buitenlandse Zaken Cooper waarschuwt dat AI zonder wereldwijde afspraken een 'Hiroshima'-achtig risico vormt. Het blijft een oproep, geen wet: wat bindt Nederlandse bedrijven nu al?

Botverkeer overtreft mensen: CISO's investeren massaal in monitoring
Nieuws
5 min

26 jun 10:20

Botverkeer overtreft mensen: CISO's investeren massaal in monitoring

Voor het eerst zijn bots in de meerderheid op het web. De IG&H CISO Pulse toont dat tachtig procent van de securityleiders extra in monitoring investeert. Wat die verschuiving betekent voor de kosten en risico's van jouw bedrijf.

Witte Huis versnelt deadline post-quantumcryptografie: begin nu met de migratie
Nieuws
6 min

24 jun 04:33

Witte Huis versnelt deadline post-quantumcryptografie: begin nu met de migratie

Het Witte Huis tekende Executive Order 14409 en trekt de deadline voor quantumveilige encryptie fors naar voren. Federale diensten en hun leveranciers moeten eind 2030 over zijn. Waarom ook jij nu beter kunt beginnen.

Eerste rechtszaak tegen het Anthropic-exportbevel: een klant sleept de VS voor de rechter
Nieuws
5 min

24 jun 00:22

Eerste rechtszaak tegen het Anthropic-exportbevel: een klant sleept de VS voor de rechter

Legaltech-bedrijf Legion LegalTech daagt de Amerikaanse overheid voor de rechter omdat een exportbevel zijn toegang tot Anthropics Claude-modellen afsneed. De eerste juridische test van een vraag die elke AI-gebruiker raakt.

Five Eyes-spionagediensten: AI-hackaanvallen zijn maanden weg, geen jaren
Nieuws
5 min

22 jun 18:14

Five Eyes-spionagediensten: AI-hackaanvallen zijn maanden weg, geen jaren

De inlichtingendiensten van vijf landen waarschuwen in een zeldzame gezamenlijke verklaring dat krachtige AI binnen maanden cyberaanvallen versnelt. Hun boodschap aan bestuurders is kort: handel nu, want dit is geen IT-kwestie meer.