Onverwacht onverzekerd
English version: scroll down
Er heeft vannacht een onverwacht incident in het datacenter plaatsgevonden en wellicht is er sprake van een ernstige cyberaanval. De noodprocedures zijn in gang gezet en als bestuurder vertrouw je op je technische en security mensen om dit incident te begeleiden en op te lossen. Je hebt een noodvergadering met je medebestuursleden en laat je informeren wat er gebeurt en gebeurd is. En je meldt volgens afspraak je cyberverzekeraar dat er een incident gaande is met nog onbekende gevolgen.
De eerste uren zijn chaotisch, maar beheersbaar. De crisisorganisatie draait. Externe specialisten worden ingevlogen. Juristen kijken mee. Communicatie bereidt statements voor. Alles volgens het draaiboek.
Totdat in de dagen daarna blijkt dat veel data is ‘gegijzeld’ en dat ook je logging- en monitoringdata ontoegankelijk is geworden. Geen SIEM-logs. Geen forensische sporen. Geen audittrail. Alsof niet alleen je bedrijfsvoering is geraakt, maar ook je geheugen is gewist.
Geen data meer om forensisch te kunnen onderzoeken wat er precies voor en tijdens de aanval gebeurde. Hoe kwamen ze binnen? Waren ze al lange tijd binnen? Is er lateraal bewogen? Was er sprake van privilege escalation? En misschien nog belangrijker: had je signalen kunnen zien?
En dan komt de tweede klap.
De verzekeraar vraagt om bewijs. Bewijs dat je vóór de aanval je zaken op orde had. Dat je compliant was met de afgesproken normen. Dat je patchbeleid op orde was. Dat multi-factor authenticatie daadwerkelijk was afgedwongen. Dat kwetsbaarheden tijdig waren opgelost. Dat je monitoring actief was en alerts werden opgevolgd.
En dat bewijs… zat in de logs.
De aanval op je data is ook een aanval op je bewijs
Dit scenario is niet theoretisch. Het is al meerdere malen gebeurd. Ransomwaregroepen weten inmiddels dat back-ups, loggingservers en monitoringplatforms strategische doelwitten zijn. Wie het geheugen wist, ontneemt het slachtoffer niet alleen herstelmogelijkheden, maar ook juridische en financiële armslag.
Bij de aanval op Maersk in 2017, onderdeel van de wereldwijde NotPetya-uitbraak, werd de complete IT-infrastructuur ontwricht. Duizenden servers en werkstations moesten opnieuw worden opgebouwd. Directorystructuren en configuraties gingen verloren. De schade liep in de honderden miljoenen dollars.
Ook Merck & Co. werd door NotPetya getroffen. Wat volgde was een juridische strijd met verzekeraars over de vraag of de aanval onder een ‘oorlogsclausule’ viel. Uiteindelijk kreeg Merck gelijk, maar het debat draaide om aantoonbaarheid en polisinterpretatie.
En bij Colonial Pipeline zagen we hoe een ransomware-aanval niet alleen operationele impact had, maar ook politieke en juridische druk veroorzaakte. Incident response, aansprakelijkheid en verzekering kwamen samen in een publiek debat.
Wat zelden wordt besproken, is de stille onderhandeling achter de schermen: kun je aantonen dat je vooraf in control was?
De parallel met de luchtvaart
Na de Tweede Wereldoorlog groeide de commerciële luchtvaart explosief. Maar bij veel crashes kon achteraf niet worden vastgesteld wat de oorzaak was. Met het toestel ging ook de informatie verloren over wat er vóór en tijdens het incident gebeurde.
De introductie van de flight recorder – de zwarte doos – veranderde dat fundamenteel. Uiteindelijk werd deze verplicht in commerciële vliegtuigen. Niet alleen om van incidenten te leren, maar ook als randvoorwaarde voor certificering en verzekerbaarheid. Zonder aantoonbare registratie geen luchtwaardigheidscertificaat. En zonder certificaat geen verzekering.
Internationale standaarden, onder regie van onder meer de International Civil Aviation Organization, zorgden ervoor dat incidentdata werd gedeeld en geanalyseerd.
Geen data, geen analyse.
Geen analyse, geen verbetering.
Geen verbetering, geen verzekerbaarheid.
Waar is de zwarte doos van het datacenter?
In de digitale wereld zijn logging- en monitoringdata onze flight recorders. Maar ze zijn zelden crashbestendig ontworpen. Ze draaien in hetzelfde netwerk, onder hetzelfde identity-domein, soms zelfs met dezelfde beheerdersaccounts.
Moderne aanvallers begrijpen dat perfect. Ze verwijderen back-ups. Ze wissen logs. Ze schakelen beveiligingsagents uit. Ze bereiden hun aanval voor met het doel niet alleen te versleutelen, maar ook te ontkennen. Niet alleen om herstel te bemoeilijken, maar om bewijs uit te wissen. Wie niet kan aantonen wat er gebeurde, kan ook moeilijk aantonen dat hij compliant was.
De digitale zwarte doos: de ICT Blackbox
Daarom moet de vraag niet zijn óf je logging hebt. De vraag is: overleeft je logging de aanval. Een oplossing die hier expliciet op inspeelt is de ICT Blackbox van DigiCorp Labs. De kern daarvan is het onuitwisbaar vastleggen van bewijs dat je compliant was – vóór en tijdens een incident.
Met behulp van het gepatenteerde NFD-principe (Non-Fungible Data Entry) worden logging-acties cryptografisch verankerd op een blockchain. Niet als kopie van je volledige logbestand, maar als unieke, onveranderbare vingerafdruk van elke relevante gebeurtenis.
Wat wordt vastgelegd?
-
De hash van de logging- of monitoringactie
-
De verwijzing naar waar de volledige data extern is opgeslagen (uitwijk of co-locatie)
-
Wie op dat moment verantwoordelijk was voor het proces
-
Welke governance-structuur en welk beleid op dat moment geldig was
-
Onafhankelijke tijdstempels
Daarmee ontstaat een audittrail die niet kan worden gemanipuleerd zonder sporen na te laten. En dit is geen theorie meer. Afgelopen jaar zijn meerdere ICT Blackbox-oplossingen in productie genomen bij overheidsorganisaties. De belangstelling in de markt blijkt groot te zijn. Niet alleen vanuit security-perspectief, maar ook en vooral vanuit juridisch en verzekeringstechnisch oogpunt.
De oplossing is ontwikkeld op het Japanse data-platform van Hitachi Vantara. Daarmee bestaat er geen directe afhankelijkheid van Amerikaanse cloudproviders en geen potentiële beïnvloeding door wetgeving zoals de Amerikaanse Data Act of de Patriot Act. Voor veel Europese organisaties is digitale soevereiniteit inmiddels net zo belangrijk als technische veiligheid.
Het betreft een volledig gecertificeerde fysieke oplossing die lokaal bij een colocator kan worden geplaatst. Desgewenst kan spreiding plaatsvinden over meerdere locaties in Europa. Decentralisatie en geografische spreiding vergroten immers de zekerheid dat logging- en monitordata behouden blijven, zelfs bij een grootschalig incident.
Spreiding is geen luxe. Het is risicobeheersing.
Juridische houdbaarheid: leren van het verleden
Certificatie is bij dit soort oplossingen vaak het langste traject. Niet omdat de techniek zo complex is, maar omdat achteraf geen twijfel mag bestaan over de echtheid van de data.
De vastlegging moet aantoonbaar:
-
Niet manipuleerbaar zijn geweest
-
Niet door administrators zijn aangepast
-
Niet achteraf zijn herschreven
De financiële wereld heeft eerder geleerd wat er gebeurt wanneer data manipuleerbaar blijkt. Denk aan de Libor-affaire rond ICE Benchmark Administration, waar rentetarieven werden beïnvloed door menselijke interventie en belangenverstrengeling. Data die juridisch doorslaggevend is, moet boven iedere twijfel verheven zijn.
Een gecertificeerde, cryptografisch verankerde vastlegging zorgt ervoor dat auditdata de juridische toets kan doorstaan. Niet alleen technisch aantoonbaar, maar ook bestuurlijk en juridisch verdedigbaar. Dat is een fundamenteel verschil met traditionele logging.
Van herstel naar aantoonbaarheid
Waar traditionele security zich richt op preventie en herstel, voegt een ICT Blackbox een derde dimensie toe: aantoonbaarheid.
-
Forensisch: reconstructie blijft mogelijk
-
Bestuurlijk: zorgplicht is aantoonbaar ingevuld
-
Verzekeringstechnisch: claimpositie is onderbouwd
-
Juridisch: data is gecertificeerd en manipulatieresistent
In een tijd waarin cyberverzekeringen kritischer worden en premies stijgen, is aantoonbare beheersing geen luxe maar noodzaak. Misschien moeten we daarom de vraag anders stellen. Niet: hebben we logging? Maar: overleeft onze logging de aanval? En nog belangrijker: kunnen wij onafhankelijk aantonen dat die logging authentiek was?
De luchtvaart leerde dat veiligheid begint met registratie. De financiële sector leerde dat manipulatie funest is. De digitale wereld leert nu dat verzekerbaarheid begint met onweerlegbaar bewijs. Wie zijn digitale zwarte doos niet extern en gecertificeerd borgt, loopt het risico niet alleen zijn data te verliezen – maar ook zijn dekking.
En dan is de grootste schadepost niet de ransomware. Maar het moment waarop je ontdekt dat je onverwacht onverzekerd bent.
Photo by Vlad Deep
Unexpectedly Uninsured
Last night, an unexpected incident occurred in the data center, and there are indications of a serious cyberattack. Emergency procedures have been activated. As a board member, you rely on your technical and security teams to contain and resolve the incident. An emergency board meeting is convened. You are briefed on what is happening—and what may already have happened. In accordance with policy, your cyber insurer is notified that an incident is underway, with consequences still unknown.
The first hours are chaotic, but manageable. The crisis structure is operational. External specialists are engaged. Legal counsel is involved. Communications prepares statements. Everything follows the playbook.
Until, in the following days, it becomes clear that large volumes of data have been “held hostage”—and that your logging and monitoring data is inaccessible as well. No SIEM logs. No forensic traces. No audit trail. It is as if not only your operations were attacked, but your organizational memory was erased.
There is no data left to reconstruct what happened before and during the attack. How did they gain entry? How long were they inside? Was there lateral movement? Privilege escalation? Were there warning signs?
And then comes the second blow.
Your insurer requests evidence. Proof that, prior to the attack, you had your controls in place. That you were compliant with agreed standards. That patch management functioned. That multi-factor authentication was enforced. That vulnerabilities were addressed within required timeframes. That monitoring was active and alerts were followed up.
And that evidence… was in the logs.
An Attack on Data Is Also an Attack on Proof
This scenario is not hypothetical. It has happened before.
Ransomware groups understand that backups, logging servers, and monitoring platforms are strategic targets. Erasing the memory of an organization weakens not only its ability to recover—but also its legal and financial position.
When Maersk was hit by the NotPetya attack in 2017, its global IT infrastructure was effectively wiped. Thousands of servers and workstations had to be rebuilt. Core directory services were lost. Damages reached hundreds of millions of dollars.
Merck & Co. suffered a similar fate. What followed was a legal battle over whether the attack qualified as an act of war under the insurance policy. Ultimately, the court ruled in Merck’s favor—but the case illustrated how central evidence and policy interpretation become when large claims are at stake.
In the case of Colonial Pipeline, ransomware led to operational shutdown and geopolitical consequences. The attack demonstrated how cybersecurity incidents rapidly evolve into legal, regulatory, and insurance matters.
What is rarely discussed publicly is the negotiation behind closed doors: can you prove you were in control before the attack?
The Aviation Parallel
After World War II, commercial aviation expanded rapidly. But in many early crashes, investigators could not determine the cause. With the aircraft, the data was lost.
The introduction of the flight recorder—the “black box”—changed aviation permanently. Eventually, it became mandatory. Not only for safety improvements, but as a prerequisite for certification and insurability. Without recorded data, there could be no reconstruction. Without reconstruction, no certification. Without certification, no insurance.
Under frameworks coordinated by organizations such as the International Civil Aviation Organization, incident data became the foundation for global safety improvements.
No data, no analysis.
No analysis, no improvement.
No improvement, no insurability.
Where Is the Data Center’s Black Box?
In the digital world, logging and monitoring systems are our flight recorders. Yet they are rarely designed to survive the incident they are meant to document. They often run in the same domain, under the same administrative structure, sometimes even managed by the same privileged accounts.
Modern attackers exploit exactly that weakness. They disable security agents. Delete backups. Erase logs. They prepare their attack to eliminate not only systems—but also evidence.
Without evidence, compliance becomes difficult to demonstrate.
And without demonstrable compliance, insurance coverage becomes uncertain.
The Digital Black Box: The ICT Blackbox
The question, therefore, is not whether you have logging.
The real question is whether your logging survives the attack.
This is where the ICT Blackbox developed by DigiCorp Labs introduces a fundamentally different architectural approach.
At its core lies the patented NFD principle—Non-Fungible Data Entry. Instead of merely storing logs, each critical logging and monitoring event is cryptographically anchored on a blockchain. Not by uploading entire datasets, but by registering unique, immutable fingerprints (hashes) of each relevant entry.
Each registration captures:
-
The cryptographic hash of the log or monitoring action
-
A reference to where the full dataset is externally stored (failover or colocation)
-
The accountable role or individual at that specific moment
-
The governance framework and policy version valid at that time
-
Independent timestamping
This creates an audit trail that cannot be altered without detection.
Even if the primary environment is destroyed, it remains independently provable:
-
That the log existed
-
When it was created
-
Under which governance structure
-
Where the complete dataset was stored externally
This is not backup.
This is evidentiary architecture.
Production-Ready and Sovereign by Design
Over the past year, several ICT Blackbox implementations have gone live in production at large governmental organizations. Market interest has proven significant—not only from security leaders, but also from compliance officers, legal departments, and insurers.
The solution is built on the Japanese data platform of Hitachi Vantara, deliberately avoiding direct dependencies on U.S.-based cloud providers. For European organizations concerned about exposure to legislation such as the U.S. Data Act or Patriot Act, digital sovereignty is no longer optional—it is strategic.
The ICT Blackbox is delivered as a fully certified physical appliance that can be deployed locally at a colocation facility. If required, it can be replicated across multiple European locations. Geographic distribution and decentralization increase resilience and assurance. Dispersion reduces systemic risk.
Decentralization is not a trend.
It is risk management.
Legal Integrity: Learning from Financial History
Certification is often the longest part of implementing such solutions. Not because the technology is immature—but because the evidentiary value must withstand legal scrutiny.
Audit data must be demonstrably:
-
Tamper-resistant
-
Protected from administrative manipulation
-
Immutable after registration
Financial history provides cautionary lessons. During the LIBOR manipulation scandal involving benchmark administrators such as ICE Benchmark Administration, trust in recorded data proved fragile when human intervention influenced supposedly objective metrics.
If data determines liability, accountability, or insurance payout, its authenticity must be beyond dispute.
Certified, cryptographically anchored evidence ensures that audit trails can withstand judicial examination—not only technically, but legally.
From Recovery to Demonstrability
Traditional cybersecurity focuses on prevention and recovery.
A digital black box introduces a third dimension: demonstrability.
-
Forensic: reconstruction remains possible
-
Governance: duty of care is provable
-
Insurance: claims are substantiated
-
Legal: evidence survives scrutiny
In an era of rising cyber premiums and stricter underwriting, demonstrable control is not a luxury. It is a prerequisite.
The aviation industry learned that safety begins with recording.
The financial sector learned that integrity must be protected from manipulation.
The digital economy is now learning that insurability begins with immutable proof.
If tonight not only your data—but your digital memory—is held hostage, can you still independently demonstrate compliance?
Or will you discover that you are unexpectedly uninsured?
