English version: scroll down

Ransomware is geen abstract risico meer. Het treft organisaties in alle sectoren: van ziekenhuizen en autofabrikanten tot retailers en overheden. De vraag is allang niet meer óf je getroffen wordt, maar vooral: hoe overleef je een aanval?

Binnen enkele uren kan een complete IT-omgeving platliggen. Dus ook partners en klanten in de keten komen tot stilstand. Dat brengt soms de werkgelegenheid van duizenden medewerkers in gevaar. Soms moet zelfs de overheid bijspringen met miljardensteun, zoals recent bij Jaguar Land Rover.

De uitdaging is dus groter dan alleen je eigen organisatie: hoe houd je de keten overeind? Hoe zorg je dat systemen kunnen uitwijken, opnieuw opstarten en herstellen? En hoe bereid je je voor op het onmogelijke?

In mijn carrière mocht ik bij vele klanten dit soort ‘ramp’ scenario’s testen en oefenen. Alleen al die ‘droge run’ bleek vaak schokkend genoeg. Maar de organisaties die deze dreiging serieus namen en bespreekbaar maakten, hebben in mijn geheugen er uiteindelijk het minst last van gehad. 

Voorbereiden op een greenfield reboot

Een aanval kan betekenen dat je datacenter of cloudomgeving compleet verloren gaat. Je moet dan voorbereid zijn op een greenfield reboot: een herstart alsof je je productieomgeving vanaf een lege weide opnieuw moet opbouwen. En zeker als je omgeving al jarenlang draait, is die kennis vaak niet direct meer aanwezig. En – helaas – onvoldoende vastgelegd. 

Elke server, elk netwerk, elke database en alle opslag moet opnieuw worden ingericht. Dat vereist niet alleen actuele back-ups en uitwijkcentra, maar ook offline opgeslagen, veilige en bruikbare data van configuraties, procedures en startprotocollen. En de deskundigen die dat kunnen. Dat is één van de grootste problemen bij Jaguar Land Rover momenteel. ‘Wie weet nog hoe het zat . . . ?’

Zo’n oefening – waarbij je uitgaat van totale vernietiging – wordt vaak als overdreven gezien. Maar wie dit eenmaal probeert – en ik heb er vele gedaan – beseft hoe onvoorstelbaar en ingrijpend het is.

Cyberaanvallen zijn digitale oorlogsvoering

Een ransomware-aanval is geen incident, het is digitale oorlogsvoering. Niet alleen je eigen IT, maar ook de hele keten moet het kunnen overleven.

Regelmatige wargames geven ook routine en maken chaos beheersbaar. ‘What if’-scenario’s moeten uitgaan van het zwartste geval: wat als één rampzalige gebeurtenis – een vliegtuigcrash, een brand of sabotage – je complete datacenter wegvaagt? Kun je in een noodsituatie je systemen gecontroleerd uitschakelen zonder corrupte data te krijgen? De ervaring bij Jaguar Land Rover leert dat bij het overhaast – en dus deels ongecontroleerd – uitschakelen tijdens de aanval, juist extra verwarring en schade is ontstaan. 

Veel organisaties vinden het moeilijk zich dit ergste scenario voor te stellen. Tijdens oefeningen hoorde ik vaak: “Dat gebeurt niet, dat is voldoende beveiligd.”. Maar de simpele tegenvraag “Heb je al eens getest wat er gebeurt als je gewoon de stroom uitzet?” bleef meestal onbeantwoord. Durf je – als oefening – op de rode noodknop in je datacenter te drukken?

De huidige ransomware-golven tonen aan dat juist de ondenkbare scenario’s werkelijkheid kunnen worden. 

Lessen uit 9/11

Tijdens de aanslagen van 9/11 op de Twin Towers, verloren klanten van EMC² niet alleen mensenlevens, maar ook complete datacenters die in de torens aanwezig waren. Zakten letterlijk de grond in. 

Sommige organisaties hadden uitwijklocaties buiten New York en waren binnen enkele uren weer online. De meeste kozen echter voor een uitwijk dichtbij in de stad zelf – en liepen vast doordat New York was afgesloten, de energievoorziening instabiel was en locaties ontoegankelijk waren.

Eén klant had zijn uitwijk zelfs in de tweede toren ondergebracht. Het ondenkbare scenario werd werkelijkheid en zijn bedrijf hield op te bestaan.

EMC² stelde direct honderden medewerkers vrij beschikbaar. Samen met klanten kregen we in hoog tempo vele operaties weer draaiend. Binnen een week werkten de meeste bedrijven voldoende om faillissement te voorkomen.

De les: reken niet blind op infrastructuur dichtbij, maar oefen scenario’s waarbij externe hulp en snelle ondersteuning onmisbaar zijn. En weet wie dat zijn of kunnen zijn. 

Compartimenteren als basis van beveiliging

Grote cloudleveranciers hebben al veel geïnvesteerd in continuïteit en beveiliging. Toch blijven incidenten toenemen. Cloud-garanties zijn eindig, zeker in ketens met vele afhankelijkheden.

Een voorbeeld: de hack van ticketleverancier Collins legde complete luchthavens stil. Handmatig overschakelen bleek onmogelijk. Het toont opnieuw aan dat een keten zo sterk is als de zwakste schakel – en aanvallers richten zich steeds vaker precies daar.

In mijn carrière in de vliegtuig- en veiligheidswereld heb ik vooral één ding geleerd: compartimenteren is en blijft de kern van elke beveiliging. In de fysieke wereld betekent dit sluizen, afsluitbare zones en gecontroleerde uitwijk. In de digitale wereld gaat het om logisch gescheiden systemen, volledig redundante paden en gecontroleerde afschakel- en fallback-scenario’s. In de digitale en virtuele wereld is het niet anders. 

Alleen zo voorkom je dat één incident een hele organisatie of keten verlamt.

Antifragiel ontwerpen

Voorbereiden op ransomware betekent: uitgaan van het ergste, meerdere fallback-processen ontwerpen en je architectuur antifragiel maken.

• Web3 en decentrale infrastructuren zijn van nature beter te compartimenteren.
• Ontkoppelde systemen en verspreide nodes verkleinen risico’s en vergroten herstelvermogen.
• Fallback-oplossingen moeten niet alleen IT operaties dekken, maar ook organisatie, energievoorziening, communicatie en dataopslag.

Antifragiel betekent: ontworpen voor verstoring, maar in staat sterker terug te komen. De belangrijkste strategische keuze is: wat kan veilig in de centrale cloud blijven en wat moet écht antifragiel worden ingericht? Welke data, applicaties, communicatie en medewerkers zijn cruciaal om te overleven? Alleen al dát inzicht geeft een enorme meerwaarde.

Oefenen om te overleven

Digitale veerkracht vraagt om meer dan techniek. Het gaat ook om soevereiniteit, besluitvorming en communicatie. Wie beslist? Wie voert uit? Hoe communiceer je als alles platligt? Dit kun je alleen ontdekken door te oefenen. Niet alleen met brandoefeningen, maar ook met IT-uitvalscenario’s en regelmatige cyber wargames.

Organisaties die dit serieus doen, overleven niet alleen – ze komen zelfs sterker uit de strijd.

Photo by Pexels: Kalistro

🇬🇧 English
From Hostage to Recovery: How Do You Survive a Ransomware Attack?

Ransomware is no longer an abstract risk. It hits organizations across all sectors: from hospitals and car manufacturers to retailers and governments. The question is no longer if you will be affected, but rather: how do you survive an attack?

Within hours, your entire IT environment can be shut down. Partners and customers grind to a halt, and the livelihoods of thousands of employees are at stake. Sometimes even governments have to step in with billions in aid, as recently happened with Jaguar Land Rover.

The challenge goes beyond your own organization: how do you keep the chain intact? How do you ensure that systems can switch over, restart, and recover? And how do you prepare for the impossible?

In my career, I was able to test and rehearse these kinds of scenarios with many clients. Even a simple “dry run” often proved shocking enough.

Preparing for a Greenfield Reboot

An attack can mean that your datacenter or cloud environment is completely lost. You must then be prepared for a greenfield reboot: a restart as if you had to rebuild your production environment from scratch.

Every server, every network, every database, and all storage must be reconfigured. That requires not only up-to-date backups and disaster recovery sites, but also securely stored offline data of configurations, procedures, and start-up protocols. And, of course, the experts who can execute them.

Such an exercise—based on total destruction—is often dismissed as excessive. But anyone who has tried it realizes just how unimaginable and disruptive it really is.

Cyberattacks Are Digital Warfare

A ransomware attack is not an incident; it is digital warfare. Not only your own IT, but your entire supply chain must be able to survive it.

Regular wargames build routine and make chaos manageable. “What if” scenarios must start from the worst-case: what if a catastrophic event—a plane crash, a fire, or sabotage—wipes out your entire datacenter? Can you shut down your systems in a controlled way during an emergency without ending up with corrupted data?

The experience at Jaguar Land Rover shows that hasty shutdowns during an attack only caused extra confusion and damage.

Many organizations struggle to even imagine such worst-case scenarios. During exercises I often heard: “That won’t happen, that’s sufficiently secured.” But the simple counter-question—“Have you ever tested what happens if you just pull the plug?”—usually went unanswered.

The current ransomware waves prove that even the unthinkable scenarios can become reality.

Lessons from 9/11

During the 9/11 attacks on the Twin Towers, EMC² clients not only lost lives, but also entire datacenters located there.

Some organizations had recovery sites outside New York and were back online within hours. Most, however, had chosen recovery locations within the city itself—and got stuck because New York was sealed off, the power supply was unstable, and sites were inaccessible.

One client had even placed their recovery site in the second tower. The unthinkable scenario became reality, and their company ceased to exist.

EMC² immediately released hundreds of employees to assist. Together with clients, we managed to get many operations running again at high speed. Within a week, most companies were functional enough to avoid bankruptcy.

The lesson: never blindly rely on nearby infrastructure. Always rehearse scenarios where external support and rapid assistance are essential.

Compartmentalization as the Basis of Security

Large cloud providers have already invested heavily in continuity and security. Yet incidents continue to increase. Cloud guarantees are limited, especially in chains with many dependencies.

For example, the hack of ticket supplier Collins brought entire airports to a standstill. Manual fallback proved impossible. It again shows that a chain is only as strong as its weakest link—and attackers increasingly target exactly that.

In my career in the security world, I learned one key lesson: compartmentalization remains the core of all security. In the physical world, this means sluices, lockable zones, and controlled recovery. In the digital world, it means logically separated systems, redundant paths, and managed fallback scenarios.

Only this prevents one incident from paralyzing an entire organization or supply chain.

Designing for Antifragility

Preparing for ransomware means assuming the worst, designing multiple fallback processes, and making your architecture antifragile.

Web3 and decentralized infrastructures are inherently better at compartmentalization.
Decoupled systems and distributed nodes reduce risks and increase recovery capability.

Fallback solutions must cover not only IT operations but also organization, energy supply, communication, and data storage.

Antifragile means: designed for disruption, but able to emerge stronger. The most important strategic choice is: what can safely remain in the central cloud, and what must truly be built antifragile? Which data, applications, communication channels, and employees are crucial for survival? Even that insight alone has enormous value.

Training to Survive

Digital resilience requires more than technology. It is also about sovereignty, decision-making, and communication. Who decides? Who executes? How do you communicate when everything is down?

You can only discover this by practicing. Not just with fire drills, but with IT outage scenarios and regular cyber wargames.

Organizations that take this seriously don’t just survive—they come out stronger from the battle.