Logging: To Be or Not To Be
English version: scroll down
Waarom logging het verschil maakt tussen uitleggen en bewijzen
Stel je voor: een datacenter valt uit. Of erger — ransomware, sabotage, een fysieke overval of een fatale systeemcrash. Systemen zijn offline, data is beschadigd en de logging is verdwenen. Vanaf dat moment ontstaat er een fundamenteel probleem dat veel verder reikt dan techniek alleen.
Niet alleen is het onmogelijk om forensisch vast te stellen wat er precies is gebeurd, ook verdwijnt het bewijs dat vóór het incident alles op orde was. Er is geen aantoonbare compliance meer, geen verifieerbare governance en geen objectieve onderbouwing dat er geen sprake was van nalatigheid. In de huidige juridische realiteit is dat vaak doorslaggevender dan de oorzaak van het incident zelf.
Van IT-hulpmiddel naar bestuurlijke realiteit
Lange tijd werd logging gezien als een technisch hulpmiddel. Iets voor beheerders, auditors en securityteams. Handig, noodzakelijk zelfs, maar zelden een onderwerp voor de bestuurskamer. Die tijd ligt achter ons.
Met de invoering van Europese wetgeving zoals NIS2, DORA, GDPR, de Data Act en EU e-Evidence is cybersecurity expliciet een bestuurlijke verantwoordelijkheid geworden. Bestuurders kunnen zich niet langer verschuilen achter techniek of leveranciers. Zij moeten aantoonbaar kunnen maken dat risico’s structureel zijn beheerst, dat governanceprocessen functioneerden en dat er adequaat is gehandeld toen het erop aankwam.
Papier alleen is daarbij niet genoeg. Beleidsdocumenten, frameworks en risicoregisters hebben geen juridische waarde wanneer zij niet worden ondersteund door objectief verifieerbare data. Logging is daarmee verschoven van een operationeel hulpmiddel naar het fundament onder bestuurlijke ‘due diligence’.
Het moment waarop alles kantelt
Na een incident stellen toezichthouders, verzekeraars en soms rechters uiteindelijk maar één vraag: wat kun je bewijzen? Wanneer logging ontbreekt of aantoonbaar beïnvloedbaar is geweest, kan niet meer worden vastgesteld welke beveiligingsmaatregelen actief waren, of compliance daadwerkelijk was geborgd en of processen correct zijn gevolgd. Zelfs als een organisatie alles goed geregeld had, verdwijnt die realiteit samen met de logs.
Het gevolg is een juridisch vacuüm. Goed bestuur verandert achteraf in onbewezen bestuur. En onbewezen bestuur wordt al snel gezien als onvoldoende bestuur.
De grenzen van traditionele SIEM
Veel organisaties vertrouwen op SIEM-oplossingen als ruggengraat van hun securitystrategie. Voor detectie en incidentrespons zijn die systemen onmisbaar. Maar zodra logging een juridische functie krijgt, worden hun beperkingen pijnlijk zichtbaar.
Een vaak vergeten realiteit is dat logs zich meestal bevinden binnen hetzelfde administratieve domein als de rest van de IT-infrastructuur. Dat betekent dat beheerders — bewust of onbewust — de mogelijkheid hebben om logdata te wijzigen, te verwijderen of te overschrijven. Dit is geen theoretisch risico. Tijdens het Libor-schandaal bleek dat medewerkers met beheerdersrechten bij onder meer Rabobank logbestanden manipuleerden om ongeoorloofde handelsactiviteiten te verhullen. Juist omdat de logging niet onafhankelijk was vastgelegd, werd reconstructie achteraf complex en juridisch diffuus. Voor lezers die deze zaak minder scherp op het netvlies hebben: het Libor-schandaal leidde wereldwijd tot miljardenboetes en liet zien hoe kwetsbaar financiële systemen worden zodra de audit trail zelf onderdeel wordt van de fraude.
Van aantonen fraude naar counterparty risk
Dat dit probleem zich niet beperkt tot financiële fraude door insiders, bleek jaren later opnieuw bij grootschalige cyberincidenten. Bij de ransomware-aanval op Colonial Pipeline in 2021, die leidde tot de tijdelijke stillegging van een van de belangrijkste brandstofleidingen van de Verenigde Staten, werd duidelijk hoe kwetsbaar logging is tijdens een crisis. Niet alleen systemen werden versleuteld; ook de beschikbare audit trails bleken onvolledig en moeilijk te reconstrueren. Daardoor bleef lange tijd onduidelijk welke systemen precies waren geraakt, welke data was benaderd en in welk tijdsvenster de aanvallers actief waren geweest. Ondanks moderne security tooling ontbrak een onweerlegbaar, onafhankelijk vastgelegd feitenrelaas.
Deze voorbeelden maken duidelijk dat logging die zich binnen hetzelfde operationele domein bevindt — of dat nu on‑premise is of binnen één en dezelfde cloudomgeving — altijd vatbaar blijft voor twijfel. Dat geldt dus ook wanneer organisaties vertrouwen op grote cloudproviders: zolang logging, opslag en beheer binnen hetzelfde administratieve en juridische domein vallen, blijft beïnvloeding in theorie mogelijk.
Daarmee raakt logging direct aan het debat over soevereine clouds en introduceert zij een vaak onderschat risico: counterparty risk. Niet alleen de vraag waar data staat is relevant, maar vooral wie de feitelijke controle heeft over de bewijslast. Kan een cloudleverancier — bewust of onbewust — logdata aanpassen, filteren of onvolledig leveren om eigen tekortkomingen, storingen of beveiligingsincidenten te maskeren? Zodra die vraag niet ondubbelzinnig met ‘nee’ kan worden beantwoord, verdampt de juridische bewijskracht van die logging.
De digitale Blackbox als antwoord
Geïnspireerd op de luchtvaart introduceert Digicorp Labs het concept van een digitale Blackbox. Net als een flight recorder functioneert deze volledig los van operationele IT- en SIEM-omgevingen. De Blackbox legt onveranderlijk vast wat er feitelijk is gebeurd, welke beveiligings- en compliance‑maatregelen actief waren en welke acties zijn ondernomen door mensen, systemen of autonome agents.
Cruciaal daarbij is dat niet alleen incidenten worden vastgelegd, maar juist ook de staat van governance en risicobeheersing vóórdat het misging. In aansprakelijkheidskwesties blijkt dat onderscheid essentieel. Niet de vraag wat er fout ging, maar of aantoonbaar is dat het vóór dat moment goed geregeld was, is vaak doorslaggevend.
Logging als juridisch bewijs
Binnen deze Blackbox wordt elke logregel cryptografisch gehasht, voorzien van een exacte timestamp en aantoonbaar verzegeld in een open blockchain. Daarmee ontstaat een logginglaag die aantoonbaar niet te manipuleren is en onafhankelijk kan worden geverifieerd. Intussen is er een patent verleend op deze innovatieve, blockchain ondersteunde wijze van het bewijzen van zowel data vastlegging alsmede het data-eigenaarschap van de functionaris of het systeem die de data goedkeurde. Zie mijn blog hierover ‘NFD: het geboortebewijs van data’.
De innovatieve vastlegging van de data zelf is gebaseerd op het Hitachi Content Platform van Hitachi, een Japanse technologie-onderneming en nadrukkelijk geen Amerikaanse hyperscaler. Daarmee valt de opslag buiten het bereik van Amerikaanse wetgeving zoals de Cloud Act. Het platform is ontworpen voor compliance en langdurige dataconservering over tientallen jaren, waardoor bewijslast juridisch houdbaar blijft over de volledige wettelijke bewaartermijn, ongeacht veranderingen in infrastructuur, leveranciers of technologie.
Compliance zonder verlammende kosten
Wetgeving schrijft lange bewaartermijnen voor, maar vereist niet dat alle data permanent direct beschikbaar is. Door logging slim te segmenteren over verschillende opslaglagen kan compliance worden gerealiseerd zonder kostenexplosie. Data die nodig is voor directe incidentrespons blijft snel toegankelijk, terwijl audit‑ en reconstructiedata kostenefficiënt wordt opgeslagen en wettelijke bewaarplichtdata veilig wordt bewaard binnen de juiste jurisdicties. Zo blijven data‑soevereiniteit en governance structureel geborgd.
Veel organisaties zijn afhankelijk van legacy‑systemen die niet eenvoudig te migreren zijn. Dat is begrijpelijk, maar juridisch geen excuus. Ook hier geldt dat bestaande logging kan worden behouden, afgeschermd en onafhankelijk verzegeld. Zo blijven bedrijfskritische processen operationeel, terwijl de bewijslast voldoet aan moderne wetgeving.
De weg voorwaarts
In een juridisch verzwaarde digitale realiteit is logging geen ondersteunende IT‑functie meer. Het is een bestuurlijke verdedigingslinie. Wie zijn logging verliest, verliest niet alleen inzicht in wat er misging, maar ook het bewijs dat het vóór dat moment goed geregeld was. Het verschil tussen uitleggen en bewijzen bepaalt steeds vaker de uitkomst van toezicht, aansprakelijkheid en vertrouwen.
Niet verklaren wat er is gebeurd. Maar aantonen wat wél op orde was.
photo: ChatGPT generated
——————————— Translated by ChatGPT —————————
Logging: to be or not to be
Why logging makes the difference between explaining and proving
Imagine this: a data centre goes down. Or worse — ransomware, sabotage, a physical break-in, or a fatal system crash. Systems are offline, data is corrupted, and the logs are gone. From that moment on, a fundamental problem emerges that reaches far beyond technology alone.
Not only does it become impossible to reconstruct forensically what actually happened, but the evidence that everything was in order before the incident disappears as well. There is no demonstrable compliance, no verifiable governance, and no objective proof that there was no negligence. In today’s legal reality, that is often more decisive than the root cause of the incident itself.
From IT tool to board-level reality
For a long time, logging was regarded as a technical utility. Something for administrators, auditors and security teams. Useful — even essential — but rarely a topic for the boardroom. That era is over.
With the introduction of European legislation such as NIS2, DORA, GDPR, the Data Act and EU e-Evidence, cybersecurity has become an explicit board-level responsibility. Executives can no longer hide behind technology or vendors. They must be able to demonstrate that risks were structurally managed, that governance processes functioned, and that appropriate action was taken when it mattered most.
Paper alone is not sufficient. Policy documents, frameworks and risk registers carry little legal weight unless they are supported by objectively verifiable data. Logging has therefore shifted from an operational aid to the very foundation of managerial due diligence.
The moment everything changes
After an incident, regulators, insurers and sometimes courts ultimately ask just one question: what can you prove?
If logging is missing or demonstrably subject to manipulation, it can no longer be established which security measures were active, whether compliance was actually in place, or whether processes were properly followed. Even if an organisation had everything in order, that reality disappears along with the logs.
The result is a legal vacuum. Good governance becomes, in hindsight, unproven governance. And unproven governance is quickly perceived as insufficient governance.
The limits of traditional SIEM
Many organisations rely on SIEM solutions as the backbone of their security strategy. For detection and incident response, these systems are indispensable. But once logging acquires a legal function, their limitations become painfully clear.
A frequently overlooked reality is that logs usually reside within the same administrative domain as the rest of the IT infrastructure. This means that administrators — intentionally or unintentionally — have the ability to alter, delete or overwrite log data. This is not a theoretical risk. During the LIBOR scandal, it emerged that staff with administrative privileges at, among others, Rabobank manipulated log files to conceal unauthorised trading activities. Precisely because the logging was not independently secured, post-incident reconstruction became complex and legally ambiguous. For readers less familiar with the case: the LIBOR scandal resulted in billions in fines worldwide and demonstrated how fragile financial systems become once the audit trail itself becomes part of the fraud.
From proving fraud to counterparty risk
That this problem is not limited to insider fraud became evident years later during large-scale cyber incidents. In the 2021 ransomware attack on Colonial Pipeline — which led to the temporary shutdown of one of the United States’ most critical fuel pipelines — the fragility of logging during a crisis became clear. Not only were systems encrypted, but the available audit trails proved incomplete and difficult to reconstruct. As a result, it remained unclear for a long time which systems had been affected, which data had been accessed, and within what time window the attackers had operated. Despite modern security tooling, an indisputable, independently recorded factual record was missing.
These examples show that logging which remains within the same operational domain — whether on-premise or within a single cloud environment — is inherently subject to doubt. This also applies when organisations rely on major cloud providers: as long as logging, storage and management reside within the same administrative and legal domain, influence remains theoretically possible.
This brings logging directly into the debate on sovereign clouds and introduces a frequently underestimated risk: counterparty risk. The relevant question is not merely where data is stored, but who ultimately controls the evidence. Can a cloud provider — deliberately or inadvertently — modify, filter or incompletely deliver log data to obscure its own shortcomings, outages or security incidents? The moment that question cannot be answered with an unequivocal “no”, the legal evidentiary value of that logging evaporates.
The digital Blackbox as an answer
Inspired by aviation, Digicorp Labs introduces the concept of a digital Blackbox. Like a flight recorder, it operates completely independently from operational IT and SIEM environments. The Blackbox immutably records what actually happened, which security and compliance measures were active, and which actions were taken by humans, systems or autonomous agents.
Crucially, it does not merely record incidents, but also the state of governance and risk management before things went wrong. In liability cases, this distinction is essential. The decisive factor is often not what failed, but whether it can be demonstrated that everything was properly organised up to that point.
Logging as legal evidence
Within this Blackbox, every log entry is cryptographically hashed, provided with an exact timestamp and demonstrably sealed on an open blockchain. This creates a logging layer that is provably tamper-proof and independently verifiable. A patent has since been granted for this innovative, blockchain-supported method of proving both data recording and data ownership by the individual or system that approved the data. I have previously described this concept in my blog “NFD: the birth certificate of data.”
The innovative storage of the data itself is based on the Hitachi Content Platform by Hitachi, a Japanese technology company and explicitly not an American hyperscaler. As a result, the storage falls outside the scope of U.S. legislation such as the Cloud Act. The platform is designed for compliance and long-term data preservation over decades, ensuring that evidentiary value remains legally sound throughout the full statutory retention period, regardless of changes in infrastructure, vendors or technology.
Compliance without paralysing costs
Legislation mandates long retention periods, but it does not require all data to be permanently and immediately accessible. By intelligently segmenting logging across multiple storage tiers, compliance can be achieved without cost explosion. Data required for immediate incident response remains readily available, while audit and reconstruction data is stored cost-efficiently and statutory retention data is securely preserved within the appropriate jurisdictions. This ensures that data sovereignty and governance remain structurally safeguarded.
Many organisations depend on legacy systems that cannot easily be migrated. This is understandable, but not a legal excuse. Here too, existing logging can be retained, isolated and independently sealed. Business-critical processes remain operational, while the evidentiary burden meets modern regulatory requirements.
The road ahead
In a legally intensified digital reality, logging is no longer a supporting IT function. It is a board-level line of defence. Those who lose their logging lose not only insight into what went wrong, but also the proof that everything was in order beforehand. The distinction between explaining and proving increasingly determines the outcome of supervision, liability and trust.
Not explaining what happened.
But proving what was in order.
