🇬🇧English version: scroll down.

Over ransomware, blinde vlekken en de noodzaak van digitale ‘zwarte dozen’

Stel: je komt op kantoor en alle schermen zijn zwart. Alleen een melding: je bent gehackt. En alleen betaling van een fors losgeld kan je uit deze digitale gijzeling bevrijden.

In 2024 werden wereldwijd ruim 10.000 bedrijven slachtoffer van dit soort ransomware-aanvallen. Alleen al in de VS ging het om 3.158 bedrijven. De top drie doelwitten: gezondheidszorg, financiële instellingen en productiebedrijven. Het gemiddeld betaalde losgeld bedroeg $2,73 miljoen. Gelukkig kreeg 97% van de slachtoffers hun data terug.

Toch blijft de schade enorm. Dagelijks vinden er gemiddeld 8,7 ernstige ransomware-aanvallen plaats. 88% van alle bedrijven wordt minstens één keer per jaar aangevallen. In 58% van die gevallen lag het bedrijf minstens 12 uur stil — met uitschieters tot weken, maanden of zelfs een faillissement.

En dat is nog niet alles: tijdens zulke aanvallen worden vaak ook alle monitor- en logbestanden gewist. Hierdoor wordt forensische reconstructie vrijwel onmogelijk. We weten niet hoe het gebeurde, waar het misging, of wat we kunnen verbeteren. Fouten verdwijnen in de mist — en aanvallers kunnen ongestoord opnieuw toeslaan.

Internet is een virtuele wereld

Het internet is een publieke ruimte waarin iedereen vrij kan bewegen. Zoals in een stad zijn er veilige buurten, maar ook ‘donkere steegjes’. In de fysieke wereld herkennen we die gevaarlijke plekken vaak nog. Online is dat vele malen lastiger. Alles ziet er hetzelfde uit — tot het te laat is.

Met één klik kun je terechtkomen in een crimineel netwerk. En als je later niet kunt reconstrueren welke klik fataal was, is het bijna onmogelijk om herhaling te voorkomen. Waar ben je geweest? Met wie had je contact? Wie liet je toe op je platform? Welke datasets heb je gedeeld — of zijn ongevraagd meegenomen?

En dan hebben we het nog niet eens over eigen AI-agents die ontsporen of van binnenuit worden overgenomen.

Hoe bewaken we onze digitale spinnenwebben?

Bedrijfsprocessen moeten betrouwbaar zijn. Alle digitale handelingen moeten controleerbaar en herleidbaar zijn. In theorie is dat goed te organiseren. Maar zodra een aanvaller via de ‘publieke voordeur’ binnenkomt, wordt alles anders.

Cybercriminelen speuren naar kwetsbaarheden. Eenmaal binnen dwalen ze rond op zoek naar waardevolle data en chantagemogelijkheden. In zo’n realiteit groeit de behoefte aan digitale ‘camera-beelden’. Hoe kwamen ze binnen? Via de cloudprovider? Het netwerkbedrijf? Een besmette bijlage? De laptop van een thuiswerker?

Onze netwerken zijn complexe spinnenwebben geworden. Waar vroeger één of enkele clouds voldoende waren, zijn het er nu tientallen. Miljoenen datasets stromen dagelijks door onze systemen, van binnen naar buiten en omgekeerd. Het overzicht raakt zoek.

Digitale Zwarte Dozen

In de luchtvaart wordt van elk ongeluk geleerd. Een zwarte doos — of flight data recorder — legt cruciale informatie vast over de laatste momenten voor een crash. Dankzij die analyse is de luchtvaart zo veilig geworden: fouten verdwijnen niet, ze worden onderzocht en gedeeld.

In de digitale wereld ontbreekt zo’n zwarte doos vaak. Zodra een aanval wordt ontdekt, blijken logbestanden gewist of gemanipuleerd. De aanval is onzichtbaar geworden. Zonder aanknopingspunten valt er weinig te leren.

Daarom is het concept van een digitale zwarte doos zo belangrijk. Denk aan de DGMV Black Box: een systeem dat — los van de operationele IT — continu logdata versleuteld vastlegt en onafhankelijk bewaart. Niet om mee te kijken, maar om terug te kunnen kijken. Niet als spion, maar als stille getuige.

Zo’n black box registreert wie toegang had, wanneer systemen afwijkend gedrag vertoonden, welke datasets zijn aangeraakt of verplaatst. En schrijft dat direct, onwisbaar weg in een blockchain. Dat maakt het verschil tussen blind herstel en structurele verbetering.

Verantwoordelijkheid in ketens

Digitale veiligheid stopt niet bij de voordeur van je eigen netwerk. Organisaties zijn afhankelijk van cloudproviders, softwareleveranciers, netwerkbeheerders, consultants — en de gebruikers zelf. Elk van die schakels is een potentiële zwakke plek.

Maar wie is verantwoordelijk als het misgaat?

In cloudomgevingen hanteren we het principe van shared responsibility: de provider zorgt voor infrastructuur, de klant voor de inhoud. Maar als logdata ontbreekt, wordt het moeilijk om aan te tonen waar het fout ging. De behoefte aan onafhankelijke auditing groeit. Logging moet betrouwbaar, controleerbaar en — waar nodig — juridisch inzetbaar zijn.

Zoals ik eerder beschreef in Van VOC tot Cloud, is vertrouwen in de keten essentieel. Je kunt alleen samenwerken als je kunt aantonen wat er gebeurde, wanneer en door wie. Forensische logging wordt daarmee niet alleen een technologische, maar ook een bestuurlijke vereiste.

AI als digitale rechercheur

De datastromen in moderne infrastructuren zijn zo groot dat handmatige monitoring niet meer volstaat. Hier komt kunstmatige intelligentie in beeld.

AI-modellen kunnen real-time afwijkingen detecteren: ongebruikelijke log-ins, vreemde verkeerspatronen, verdachte pieken in activiteit. AI wordt zo een digitale rechercheur — een virtuele Sherlock Holmes — die niet alleen terugkijkt, maar ook vooruitdenkt en risico’s blootlegt.

Met voldoende ervaring ontstaan predictive modellen die potentiële aanvallen signaleren vóórdat ze schade aanrichten. Maar ook hier geldt: transparantie is cruciaal. Wie bepaalt wanneer AI mag ingrijpen? En hoe zorgen we dat AI-besluiten uitlegbaar en eerlijk blijven?

Zoals ik in mijn blog over drones stelde: ook autonome systemen vereisen menselijke governance. AI kan ondersteunen — maar mag nooit rechter, jury én beul tegelijk zijn.

Conclusie

Zonder logging is elke fout een mysterie.
Zonder monitoring is elke aanval onzichtbaar.
Zonder forensisch onderzoek blijft elke les ongeleerd.

In een wereld waar digitale gevaren zich net zo snel verplaatsen als data, zijn firewalls niet genoeg. We hebben ook digitale zwarte dozen nodig — als verzekering bij een crash. Zodat we fouten niet alleen ondergaan, maar begrijpen, verbeteren én uiteindelijk samen weten te voorkomen.

Photo by Barez Omer on Unsplash

---

🇬🇧 When Everything Goes Dark

On ransomware, blind spots, and the need for digital black boxes

Imagine walking into your office and all screens are black. A message: you’ve been hacked. And only a hefty ransom payment can release you from this digital hostage situation.

In 2024, over 10,000 companies worldwide fell victim to such ransomware attacks. In the U.S. alone: 3,158. Top targets included healthcare, financial institutions, and manufacturing firms. The average ransom paid? $2.73 million. Fortunately, 97% of companies recovered their data.

Still, the damage was severe. On average, there were 8.7 major ransomware attacks per day. 88% of all companies were targeted at least once a year. And in 58% of cases, operations were down for at least 12 hours — sometimes stretching to weeks, months, or even bankruptcy.

Worse still, attackers often erase or manipulate log and monitoring data. This makes forensic reconstruction nearly impossible. We can’t learn from what we can’t see. And that leaves attackers free to strike again.

The internet is a virtual world

The internet is a public space where anyone can move freely. Just like in a city, there are safe, well-organized areas — and dark alleys you’d rather avoid. In the physical world, we can still recognize danger zones. Online, everything looks the same — until it’s too late.

One click is enough to land you in a criminal network. And if you can’t retrace that click later, preventing future mistakes becomes nearly impossible. Where were you? Who did you connect with? Who accessed your platform — or took data without your knowledge?

And we haven’t even mentioned rogue or hacked AI agents acting from within your systems.

Guarding our digital webs

Business processes must be reliable. Every digital interaction should be verifiable, auditable, and accountable. In theory, that’s manageable. But once an attacker enters through the ‘public front door’, the rules change.

Cybercriminals probe for weak spots. Once inside, they move through your systems like predators — hunting valuable data and extortion opportunities. That’s why we need digital surveillance equivalents:
How did they get in? Via your cloud provider? Network operator? A remote worker’s laptop? A malicious attachment?

Our infrastructures are complex digital webs. We no longer manage one or two clouds — but dozens. Millions of data flows move in and out daily. It’s becoming impossible to keep track.

---

Digital Black Boxes

In aviation, every crash is analyzed. A black box — or flight data recorder — stores critical information from the final moments before an accident. Thanks to these devices, aviation has become incredibly safe: because errors are not erased, but examined and shared.

In the digital world, that kind of black box often doesn’t exist. When an attack is discovered, log data is already gone or tampered with. The incident becomes invisible. And we’re left helpless — with no clues to learn from.

That’s why the concept of a digital black box is so important. Think of systems like the DGMV Black Box: separate from operational IT, continuously logging events in encrypted form, stored independently. Not for surveillance — but for retrospection. A silent witness.

It records who had access, when anomalies occurred, what datasets were touched or moved — and writes this immutably into a blockchain. That’s the difference between blind recovery and structural improvement.

Accountability across the chain

Digital security doesn’t stop at your firewall. Organizations depend on cloud providers, software vendors, network operators, consultants — and even their own users. Every link is a potential weak spot.

But when something goes wrong — who’s responsible?

In cloud environments, we speak of shared responsibility. The provider ensures infrastructure, the customer safeguards the data. But when logs are missing, it’s hard to prove who failed. That’s why there’s growing demand for independent auditing. Logging must be reliable, traceable — and legally defensible.

As I described in From VOC to Cloud, trust in the chain is essential. You can only collaborate if you can prove whathappened, when, and by whom. Forensic logging is not just a technical tool — it’s a governance necessity.

AI as a digital detective

The volume of data in today’s infrastructures has outpaced manual monitoring. That’s where artificial intelligence comes in.

AI models can detect anomalies in real time: unusual log-ins, strange traffic patterns, suspicious spikes. AI becomes a kind of digital detective — a virtual Sherlock Holmes — looking both backward and forward to surface potential risks.

With enough data, predictive analytics emerges — allowing us to anticipate attacks before they strike. But again, transparency is key. Who decides when AI can intervene? And how do we ensure these decisions are explainable and fair?

As I questioned in my blog on drones: who is accountable for autonomous systems?
Technology must always remain under human governance. AI can assist — but should never act as judge, jury, and executioner.

Conclusion

Without logging, every error is a mystery.
Without monitoring, every attack is invisible.
Without forensic analysis, every lesson is lost.

In a world where digital threats move as fast as data itself, firewalls are not enough.
We need digital black boxes as crash insurance — to help us not just endure errors, but understand, correct, and ultimately prevent them.