{"id":86221,"date":"2025-10-05T20:54:19","date_gmt":"2025-10-05T20:54:19","guid":{"rendered":"https:\/\/hanstimmerman.me\/?p=86221"},"modified":"2025-10-14T09:50:34","modified_gmt":"2025-10-14T09:50:34","slug":"van-gijzeling-naar-herstel-hoe-overleef-je-een-ransomware-aanval","status":"publish","type":"post","link":"https:\/\/hanstimmerman.me\/nl_nl\/van-gijzeling-naar-herstel-hoe-overleef-je-een-ransomware-aanval\/","title":{"rendered":"Van gijzeling naar herstel: hoe overleef je een ransomware-aanval?"},"content":{"rendered":"<p style=\"text-align: right;\"><span style=\"color: #000000;\"><em>English version: scroll down<\/em><\/span><\/p>\n<p><span style=\"color: #000000;\">Ransomware is geen abstract risico meer. Het treft organisaties in alle sectoren: van ziekenhuizen en autofabrikanten tot retailers en overheden. Zie mijn <a href=\"https:\/\/hanstimmerman.me\/ransomware-van-incident-naar-faillissement\/\">vorige blog:<\/a> &#8216;<em>Van incident naar faillissement&#8217;<\/em>. \u00a0De vraag is allang niet meer \u00f3f je getroffen wordt, maar vooral: hoe overleef je een aanval?<\/span><\/p>\n<p><span style=\"color: #000000;\">Binnen enkele uren kan een complete IT-omgeving platliggen. Dus ook partners en klanten in de keten komen tot stilstand. Dat brengt soms de werkgelegenheid van duizenden medewerkers in gevaar. Soms moet zelfs de overheid bijspringen met <a href=\"https:\/\/www.gov.uk\/government\/news\/government-backs-jaguar-land-rover-with-15-billion-loan-guarantee\">miljardensteun<\/a>, zoals recent bij Jaguar Land Rover.\u00a0<\/span><\/p>\n<p><span style=\"color: #000000;\">De uitdaging is dus groter dan alleen je eigen organisatie: hoe houd je de keten overeind? Hoe zorg je dat systemen kunnen uitwijken, opnieuw opstarten en herstellen? En hoe bereid je je voor op het onmogelijke?<\/span><\/p>\n<p><span style=\"color: #000000;\">In mijn carri\u00e8re mocht ik bij vele klanten dit soort &#8216;ramp&#8217; scenario\u2019s testen en oefenen. Alleen al die \u2018droge run\u2019 bleek vaak schokkend genoeg. Maar de organisaties die deze dreiging serieus namen en bespreekbaar maakten, hebben in mijn geheugen er uiteindelijk het minst last van gehad.\u00a0<\/span><\/p>\n<p><span style=\"color: #000000;\"><b>Voorbereiden op een greenfield reboot<\/b><\/span><\/p>\n<p><span style=\"color: #000000;\">Een aanval kan betekenen dat je datacenter of cloudomgeving compleet verloren gaat. Je moet dan voorbereid zijn op een <b>greenfield reboot<\/b>: een herstart alsof je je productieomgeving vanaf een lege weide opnieuw moet opbouwen. En zeker als je omgeving al jarenlang draait, is die kennis vaak niet direct meer aanwezig. En &#8211; helaas &#8211; onvoldoende vastgelegd.\u00a0<\/span><\/p>\n<p><span style=\"color: #000000;\">Elke server, elk netwerk, elke database en alle opslag moet opnieuw worden ingericht. Dat vereist niet alleen actuele back-ups en uitwijkcentra, maar ook offline opgeslagen, veilige en bruikbare data van configuraties, procedures en startprotocollen. En de deskundigen die dat kunnen.<\/span><span class=\"Apple-converted-space\"><span style=\"color: #000000;\"> Dat is \u00e9\u00e9n van de <span style=\"caret-color: #000000;\">grootste<\/span> problemen bij Jaguar Land Rover momenteel. &#8216;<em>Wie weet nog hoe het zat . . . ?&#8217;<\/em><\/span><\/span><\/p>\n<p><span style=\"color: #000000;\">Zo\u2019n oefening \u2013 waarbij je uitgaat van totale vernietiging \u2013 wordt vaak als overdreven gezien. Maar wie dit eenmaal probeert &#8211; en ik heb er vele gedaan &#8211; beseft hoe onvoorstelbaar en ingrijpend het is.<\/span><\/p>\n<p><span style=\"color: #000000;\"><b>Cyberaanvallen zijn digitale oorlogsvoering<\/b><\/span><\/p>\n<p><span style=\"color: #000000;\">Een ransomware-aanval is geen incident, het is digitale oorlogsvoering. Niet alleen je eigen IT, maar ook de hele keten moet het kunnen overleven.<\/span><\/p>\n<p><span style=\"color: #000000;\">Regelmatige <b>wargames<\/b> geven ook routine en maken chaos beheersbaar. \u2018What if\u2019-scenario\u2019s moeten uitgaan van het zwartste geval: wat als \u00e9\u00e9n rampzalige gebeurtenis \u2013 een vliegtuigcrash, een brand of sabotage \u2013 je complete datacenter wegvaagt? Kun je in een noodsituatie je systemen gecontroleerd uitschakelen zonder corrupte data te krijgen? De ervaring bij Jaguar Land Rover leert dat bij het overhaast &#8211; en dus deels ongecontroleerd &#8211; uitschakelen tijdens de aanval, juist extra verwarring en schade is ontstaan.<span class=\"Apple-converted-space\">\u00a0<\/span><\/span><\/p>\n<p><span style=\"color: #000000;\">Veel organisaties vinden het moeilijk zich dit ergste scenario voor te stellen. Tijdens oefeningen hoorde ik vaak: <i>\u201cDat gebeurt niet, dat is voldoende beveiligd.\u201d.<\/i> Maar de simpele tegenvraag <i>\u201cHeb je al eens getest wat er gebeurt als je gewoon de stroom uitzet?\u201d<\/i> bleef meestal onbeantwoord. Durf je &#8211; als oefening &#8211; op de rode noodknop in je datacenter te drukken?<\/span><\/p>\n<p><span style=\"color: #000000;\">De huidige ransomware-golven tonen aan dat juist de ondenkbare scenario\u2019s werkelijkheid kunnen worden.<span class=\"Apple-converted-space\">\u00a0<\/span><\/span><\/p>\n<p><span style=\"color: #000000;\"><b>Lessen uit 9\/11<\/b><\/span><\/p>\n<p><span style=\"color: #000000;\">Tijdens de aanslagen van 9\/11 op de Twin Towers, verloren klanten van EMC\u00b2 niet alleen mensenlevens, maar ook complete datacenters die in de torens aanwezig waren. Zakten letterlijk de grond in.\u00a0<\/span><\/p>\n<p><span style=\"color: #000000;\">Sommige organisaties hadden uitwijklocaties buiten New York en waren binnen enkele uren weer online. De meeste kozen echter voor een uitwijk dichtbij in de stad zelf \u2013 en liepen vast doordat New York was afgesloten, de energievoorziening instabiel was en locaties ontoegankelijk waren.<\/span><\/p>\n<p><span style=\"color: #000000;\">E\u00e9n klant had zijn uitwijk zelfs in de tweede toren ondergebracht. Het ondenkbare scenario werd werkelijkheid en zijn bedrijf hield op te bestaan.<\/span><\/p>\n<p><span style=\"color: #000000;\">EMC\u00b2 stelde direct honderden medewerkers vrij beschikbaar. Samen met klanten kregen we in hoog tempo vele operaties weer draaiend. Binnen een week werkten de meeste bedrijven voldoende om faillissement te voorkomen.<\/span><\/p>\n<p><span style=\"color: #000000;\">De les: reken niet blind op infrastructuur dichtbij, maar oefen scenario\u2019s waarbij externe hulp en snelle ondersteuning onmisbaar zijn. En weet wie dat zijn of kunnen zijn.\u00a0<\/span><\/p>\n<p><span style=\"color: #000000;\"><b>Compartimenteren als basis van beveiliging<\/b><\/span><\/p>\n<p><span style=\"color: #000000;\">Grote cloudleveranciers hebben al veel ge\u00efnvesteerd in continu\u00efteit en beveiliging. Toch blijven incidenten toenemen. Cloud-garanties zijn eindig, zeker in ketens met vele afhankelijkheden.<\/span><\/p>\n<p><span style=\"color: #000000;\">Een voorbeeld: de hack van ticketleverancier Collins legde complete luchthavens stil. Handmatig overschakelen bleek onmogelijk. Het toont opnieuw aan dat een keten zo sterk is als de zwakste schakel \u2013 en aanvallers richten zich steeds vaker precies daar.<\/span><\/p>\n<p><span style=\"color: #000000;\">In mijn carri\u00e8re in de vliegtuig- en veiligheidswereld heb ik vooral \u00e9\u00e9n ding geleerd: <b>compartimenteren<\/b> is en blijft de kern van elke beveiliging. In de fysieke wereld betekent dit sluizen, afsluitbare zones en gecontroleerde uitwijk. In de digitale wereld gaat het om logisch gescheiden systemen, volledig redundante paden en gecontroleerde afschakel- en fallback-scenario\u2019s. In de digitale en virtuele wereld is het niet anders.<span class=\"Apple-converted-space\">\u00a0<\/span><\/span><\/p>\n<p><span style=\"color: #000000;\">Alleen zo voorkom je dat \u00e9\u00e9n incident een hele organisatie of keten verlamt.<\/span><\/p>\n<p><span style=\"color: #000000;\"><b>Antifragiel ontwerpen<\/b><\/span><\/p>\n<p><span style=\"color: #000000;\">Voorbereiden op ransomware betekent: uitgaan van het ergste, meerdere fallback-processen ontwerpen en je architectuur antifragiel maken.<\/span><\/p>\n<ul>\n<li><span style=\"color: #000000;\"><b>Web3 en decentrale infrastructuren<\/b> zijn van nature beter te compartimenteren.<\/span><\/li>\n<li><span style=\"color: #000000;\"><b>Ontkoppelde systemen<\/b> en <b>verspreide nodes<\/b> verkleinen risico\u2019s en vergroten herstelvermogen.<\/span><\/li>\n<li><span style=\"color: #000000;\"><b>Fallback-oplossingen<\/b> moeten niet alleen IT operaties dekken, maar ook organisatie, energievoorziening, communicatie en dataopslag.<\/span><\/li>\n<\/ul>\n<p><span style=\"color: #000000;\">Antifragiel betekent: ontworpen voor verstoring, maar in staat sterker terug te komen. De belangrijkste strategische keuze is: wat kan veilig in de centrale cloud blijven en wat moet \u00e9cht antifragiel worden ingericht? Welke data, applicaties, communicatie en medewerkers zijn cruciaal om te overleven? Alleen al d\u00e1t inzicht geeft een enorme meerwaarde.<\/span><\/p>\n<p><span style=\"color: #000000;\"><b>Oefenen om te overleven<\/b><\/span><\/p>\n<p><span style=\"color: #000000;\">Digitale veerkracht vraagt om meer dan techniek. Het gaat ook om soevereiniteit, besluitvorming en communicatie. Wie beslist? Wie voert uit? Hoe communiceer je als alles platligt? Dit kun je alleen ontdekken door te oefenen. Niet alleen met brandoefeningen, maar ook met <b>IT-uitvalscenario\u2019s<\/b> en regelmatige <b>cyber wargames<\/b>.<\/span><\/p>\n<p><span style=\"color: #000000;\">Organisaties die dit serieus doen, overleven niet alleen \u2013 ze komen zelfs sterker uit de strijd.<\/span><\/p>\n<p>Photo by Pexels: <a href=\"https:\/\/www.pexels.com\/photo\/mysterious-girl-in-dramatic-lighting-28827866\/\">Kalistro<\/a><\/p>\n<p><span style=\"color: #000000;\">\ud83c\uddec\ud83c\udde7 <b>English<\/b><\/span><br \/>\n<span style=\"color: #000000;\"><b>From Hostage to Recovery: How Do You Survive a Ransomware Attack?<\/b><b><\/b><\/span><\/p>\n<p><span style=\"color: #000000;\">Ransomware is no longer an abstract risk. It hits organizations across all sectors: from hospitals and car manufacturers to retailers and governments. The question is no longer <i>if<\/i> you will be affected, but rather: <i>how do you survive an attack?<\/i><i><\/i><\/span><\/p>\n<p><span style=\"color: #000000;\">Within hours, your entire IT environment can be shut down. Partners and customers grind to a halt, and the livelihoods of thousands of employees are at stake. Sometimes even governments have to step in with <a href=\"https:\/\/www.gov.uk\/government\/news\/government-backs-jaguar-land-rover-with-15-billion-loan-guarantee\">billions<\/a> in aid, as recently happened with Jaguar Land Rover.<\/span><\/p>\n<p><span style=\"color: #000000;\">The challenge goes beyond your own organization: how do you keep the chain intact? How do you ensure that systems can switch over, restart, and recover? And how do you prepare for the impossible?<\/span><\/p>\n<p><span style=\"color: #000000;\">In my career, I was able to test and rehearse these kinds of scenarios with many clients. Even a simple \u201cdry run\u201d often proved shocking enough.<\/span><\/p>\n<p><span style=\"color: #000000;\"><b>Preparing for a Greenfield Reboot<\/b><\/span><\/p>\n<p><span style=\"color: #000000;\">An attack can mean that your datacenter or cloud environment is completely lost. You must then be prepared for a greenfield reboot: a restart as if you had to rebuild your production environment from scratch.<\/span><\/p>\n<p><span style=\"color: #000000;\">Every server, every network, every database, and all storage must be reconfigured. That requires not only up-to-date backups and disaster recovery sites, but also securely stored offline data of configurations, procedures, and start-up protocols. And, of course, the experts who can execute them.<\/span><\/p>\n<p><span style=\"color: #000000;\">Such an exercise\u2014based on total destruction\u2014is often dismissed as excessive. But anyone who has tried it realizes just how unimaginable and disruptive it really is.<\/span><\/p>\n<p><span style=\"color: #000000;\"><b>Cyberattacks Are Digital Warfare<\/b><\/span><\/p>\n<p><span style=\"color: #000000;\">A ransomware attack is not an incident; it is digital warfare. Not only your own IT, but your entire supply chain must be able to survive it.<\/span><\/p>\n<p><span style=\"color: #000000;\">Regular wargames build routine and make chaos manageable. \u201cWhat if\u201d scenarios must start from the worst-case: what if a catastrophic event\u2014a plane crash, a fire, or sabotage\u2014wipes out your entire datacenter? Can you shut down your systems in a controlled way during an emergency without ending up with corrupted data?<\/span><\/p>\n<p><span style=\"color: #000000;\">The experience at Jaguar Land Rover shows that hasty shutdowns during an attack only caused extra confusion and damage.<\/span><\/p>\n<p><span style=\"color: #000000;\">Many organizations struggle to even imagine such worst-case scenarios. During exercises I often heard: <i>\u201cThat won\u2019t happen, that\u2019s sufficiently secured.\u201d<\/i> But the simple counter-question\u2014<i>\u201cHave you ever tested what happens if you just pull the plug?\u201d<\/i>\u2014usually went unanswered.<\/span><\/p>\n<p><span style=\"color: #000000;\">The current ransomware waves prove that even the unthinkable scenarios can become reality.<\/span><\/p>\n<p><span style=\"color: #000000;\"><b>Lessons from 9\/11<\/b><\/span><\/p>\n<p><span style=\"color: #000000;\">During the 9\/11 attacks on the Twin Towers, EMC\u00b2 clients not only lost lives, but also entire datacenters located there.<\/span><\/p>\n<p><span style=\"color: #000000;\">Some organizations had recovery sites outside New York and were back online within hours. Most, however, had chosen recovery locations within the city itself\u2014and got stuck because New York was sealed off, the power supply was unstable, and sites were inaccessible.<\/span><\/p>\n<p><span style=\"color: #000000;\">One client had even placed their recovery site in the second tower. The unthinkable scenario became reality, and their company ceased to exist.<\/span><\/p>\n<p><span style=\"color: #000000;\">EMC\u00b2 immediately released hundreds of employees to assist. Together with clients, we managed to get many operations running again at high speed. Within a week, most companies were functional enough to avoid bankruptcy.<\/span><\/p>\n<p><span style=\"color: #000000;\"><b>The lesson:<\/b> never blindly rely on nearby infrastructure. Always rehearse scenarios where external support and rapid assistance are essential.<\/span><\/p>\n<p><span style=\"color: #000000;\"><b>Compartmentalization as the Basis of Security<\/b><\/span><\/p>\n<p><span style=\"color: #000000;\">Large cloud providers have already invested heavily in continuity and security. Yet incidents continue to increase. Cloud guarantees are limited, especially in chains with many dependencies.<\/span><\/p>\n<p><span style=\"color: #000000;\">For example, the hack of ticket supplier Collins brought entire airports to a standstill. Manual fallback proved impossible. It again shows that a chain is only as strong as its weakest link\u2014and attackers increasingly target exactly that.<\/span><\/p>\n<p><span style=\"color: #000000;\">In my career in the security world, I learned one key lesson: compartmentalization remains the core of all security. In the physical world, this means sluices, lockable zones, and controlled recovery. In the digital world, it means logically separated systems, redundant paths, and managed fallback scenarios.<\/span><\/p>\n<p><span style=\"color: #000000;\">Only this prevents one incident from paralyzing an entire organization or supply chain.<\/span><\/p>\n<p><span style=\"color: #000000;\"><b>Designing for Antifragility<\/b><\/span><\/p>\n<p><span style=\"color: #000000;\">Preparing for ransomware means assuming the worst, designing multiple fallback processes, and making your architecture antifragile.<\/span><\/p>\n<p><span style=\"color: #000000;\">Web3 and decentralized infrastructures are inherently better at compartmentalization.<\/span><br \/>\n<span style=\"color: #000000;\">Decoupled systems and distributed nodes reduce risks and increase recovery capability.<\/span><\/p>\n<p><span style=\"color: #000000;\">Fallback solutions must cover not only IT operations but also organization, energy supply, communication, and data storage.<\/span><\/p>\n<p><span style=\"color: #000000;\">Antifragile means: designed for disruption, but able to emerge stronger. The most important strategic choice is: what can safely remain in the central cloud, and what must truly be built antifragile? Which data, applications, communication channels, and employees are crucial for survival? Even that insight alone has enormous value.<\/span><\/p>\n<p><span style=\"color: #000000;\"><b>Training to Survive<\/b><\/span><\/p>\n<p><span style=\"color: #000000;\">Digital resilience requires more than technology. It is also about sovereignty, decision-making, and communication. Who decides? Who executes? How do you communicate when everything is down?<\/span><\/p>\n<p><span style=\"color: #000000;\">You can only discover this by practicing. Not just with fire drills, but with IT outage scenarios and regular cyber wargames.<\/span><\/p>\n<p><span style=\"color: #000000;\">Organizations that take this seriously don\u2019t just survive\u2014they come out stronger from the battle.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Digital resilience requires more than technology. It is also about sovereignty, decision-making, and communication. Who decides? Who executes? How do you communicate when everything is down?<\/p>\n<p>You can only discover this by practicing. Not just with fire drills, but with IT outage scenarios and regular cyber wargames.<\/p>\n<p>Organizations that take this seriously don\u2019t just survive\u2014they come out stronger from the battle.<\/p>\n","protected":false},"author":3,"featured_media":86224,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[275,338,520,75,80],"tags":[743,744,745,747,748,749,750,751,752,753,339,754,400,755,517,756,591,757,717,739],"class_list":["post-86221","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-architectuur","category-cybersecurity","category-digitale-soevereiniteit","category-innovation","category-trusted-it","tag-businesscontinuity","tag-digitalwarfare","tag-cyberthreats","tag-disasterrecovery","tag-greenfieldreboot","tag-cyberwargames","tag-antifragile","tag-incidentresponse","tag-datarecovery","tag-itresilience","tag-cybersecurity","tag-supplychainsecurity","tag-zerotrust","tag-compartmentalization","tag-digitalsovereignty","tag-web3security","tag-cyberresilience","tag-resiliencebydesign","tag-ransomware","tag-cloudsecurity"],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/hanstimmerman.me\/wp-content\/uploads\/2025\/10\/pexels-kalistro666-28827866-scaled.jpg?fit=2560%2C1707&ssl=1","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/posts\/86221","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/comments?post=86221"}],"version-history":[{"count":6,"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/posts\/86221\/revisions"}],"predecessor-version":[{"id":86274,"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/posts\/86221\/revisions\/86274"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/media\/86224"}],"wp:attachment":[{"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/media?parent=86221"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/categories?post=86221"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hanstimmerman.me\/nl_nl\/wp-json\/wp\/v2\/tags?post=86221"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}