Je bent Freek, directeur van J&M Technologies, een Eindhovens bedrijf met nevenvestigingen in de VS en Azië. De zaken gaan goed, maar op een dag in 2026 word je geconfronteerd met een ransomwareaanval. Met voortdurend te weinig informatie probeer je je bedrijf door de crisis te leiden. Maak je de goede keuzes? Krijg je je bedrijf weer op de rit? En kun je voldoen aan de NIS2-richtlijnen die tegen die tijd van kracht zijn?
Hands-on Link Café
Dit scenario is geïnspireerd op een ransomeware response workshop die Mattijs Dijkstra en Francisco Dominguez van cybersecurityspecialist Hunt & Hackett gaven tijdens een hands-on sessie van het Link Café. Deelnemers kregen aan de hand van een geanonimiseerd scenario zeer praktische inzichten in wat erop ze af komt bij een ransomewareaanval en wat de gevolgen zijn van de keuzes die ze maakten. Een waardevolle les, want de maakindustrie is kwetsbaar voor cybercriminaliteit en stilstand kan grote gevolgen hebben. De bijeenkomst werd mede mogelijk gemaakt door Siemens Digital Industry Software.
Donderdag 22 oktober 2026
8:15 uur: Net als je met je eerste bakje koffie van de dag achter je bureau bent gaan zitten, komt systeembeheerder Patrick binnen.
‘Freek’, zegt hij. ‘Er is iets vreemds aan de hand. Ik heb een mailtje binnengekregen waarin wordt gesuggereerd dat we zijn gehackt. Ik weet nog niet of het waar is, maar ik dacht: laat ik voor de zekerheid gelijk even melding maken, want het lijkt echter dan al die spamberichten die we vaak ontvangen. En je weet het maar nooit.’
‘Goed dat je het gelijk aangeeft’, antwoord je. ‘Laten we om 11 uur even een meeting inschieten om te overleggen wat we kunnen doen.’
11:03 uur: Je hebt een paar mensen opgetrommeld voor een kort overleg. Het zekere voor het onzekere, maar het zal allemaal wel meevallen, toch?
‘Ik ben er wat verder ingedoken en ik moet bekennen dat er begin augustus een mailtje is binnengekomen waarin een cyberonderzoeker waarschuwde dat onze bedrijfsnaam werd genoemd op een darkwebforum’, zegt Patrick enigszins beschaamd. ‘Ik vrees dat ik dat bericht toen heb afgedaan als een veredeld verkooppraatje.’
Communicatiemanager Tessa komt binnen: ‘Sorry dat ik wat later ben, maar kijk.’ Op het grote scherm in de vergaderzaal cast ze een clip van het ochtendjournaal van Omroep Brabant: “Het lijkt erop dat J&M Technologies het slachtoffer is geworden van een cyberaanval”, zegt de nieuwslezer. “Speculaties daarover begonnen vanmorgen op social media nadat het Eindhovense bedrijf werd genoemd op een victimlijst op een darkwebforum. Het is niet bekend hoe ver de aanvallers in de systemen zijn doorgedrongen en of er losgeld is geëist.”
Terwijl de nieuwslezer doorgaat naar het volgende onderwerp, breekt het zweet je uit. Natuurlijk heb je wel eens gehoord dat andere bedrijven met cybercriminelen te maken hebben gehad, maar dat het jou zou overkomen, had je nooit serieus gedacht. Zo bijzonder is je technologie nou ook weer niet, toch?
Als je bent bekomen van de eerste klap, zeg je: ‘Patrick, zou jij eens in de IT-systemen kunnen kijken of we inderdaad zijn gehackt? Ik wil bewijs zien voordat we wat gaan doen.’
Patrick kijkt bedenkelijk: ‘Sorry, ik kan wel wat gaan rondspeuren, maar ik ben totaal geen expert op dit gebied. Misschien vernietig ik digitale sporen of trigger ik een tegenreactie van de hackers.’
Had je maar wat meer geïnvesteerd in cyberkennis, bedenk je je, maar daarvoor is het nu te laat. Omdat je het risico te groot acht dat eigen onderzoek meer kwaad dan goed doet, besluit je om externe expertise in te huren. Patrick heeft toevallig al eens met zo’n partij gesproken, dus je hoeft gelukkig niet te gaan googlen. Het kost wel een boel geld; je hoopt maar dat ze het waard zijn.
Vrijdag 23 oktober 2026
11:54 uur: Sinds gisterenmiddag zijn de experts van de ingehuurde partij op onderzoek uit in de softwaresystemen. Gevonden hebben ze nog niets concreet, vertellen ze je tijdens een tussentijds overleg.
‘We zijn bezig om de systemen veilig te stellen en er loopt een technisch onderzoek om te bepalen hoe ver de aanvallers zijn binnengedrongen’, aldus incident responder Marcel. ‘We hebben sporen gevonden. Indicators of compromise, noemen we dat, die niet door jullie systeembeheerder worden herkend. De exacte omvang van de hack is nog niet duidelijk. En ook niet of het jullie andere vestigingen heeft aangetast.’
Marcel stelt voor om de back-upsystemen los te koppelen. ‘Maar dan missen we belangrijke data’, werp je tegen. ‘Hoe lang gaat dat duren?’ Een alternatief lijkt er helaas niet te zijn.
Tessa steekt haar hand op: ‘Ik kreeg net telefoon van de toezichthouder. Ze willen weten wat er aan de hand is.’
Verbaasd kijk je naar Marcel. Hij knikt: ‘Binnen 24 uur nadat duidelijk is dat je bent aangevallen, moet je volgens de NIS2-richtlijn een officiële melding maken.’
‘Maar we weten nog helemaal niks’, roep je waarna je nog maar eens een paracetamol inneemt. Je lijkt de controle over je bedrijf helemaal kwijt te raken.
‘Nou’, relativeert Marcel. ‘We weten dat het een illegale hack is. Zoveel is inmiddels wel duidelijk. Voor de rest kunnen we best wat onzekerheden meegeven in dat rapport. Want veel is nog gewoon onduidelijk; dat begrijpen ze ook wel.’
‘Maak binnen een week 3,5 miljoen dollar aan bitcoins over naar het meegestuurde rekeningnummer en we trekken ons terug’
Maandag 26 oktober 2026
9:04 uur: Ook al hebben de experts en je systeembeheerder het hele weekend doorgewerkt, het onderzoek verloopt maar traag, vind je. Je begint je net af te vragen of ze al dat geld wel waard zijn, als een van je beste klanten belt. Ze heeft de berichten over de hack ook gelezen en gehoord. Je kent haar al jaren dus vertelt haar in vertrouwen wat er aan de hand. Als je net hebt opgehangen, klopt Tessa aan.
‘Ik denk dat het verstandig is om een officieel statement naar buiten te brengen’, zegt ze. ‘Op social media gaan er allerlei wilde verhalen rond. Hopelijk kunnen we de berichten enigszins controleren.’
Je overlegt met haar wat je gaat prijsgeven. Je wilt niet net doen alsof er niks aan de hand is, maar al je vuile was buitenhangen hoeft nou ook weer niet. Jullie besluiten het zo neutraal mogelijk te houden, te vertellen dat er een onderzoek loopt en dat verdere details in een later stadium naar buiten zullen worden gebracht.
De rest van de ochtend en middag bel je met een heel stel andere klanten om ze die situatie uit te doeken te doen. Helaas kun je ze nog weinig inhoudelijk vertellen. En al helemaal niet of de hackers via jouw systemen ook in hun systemen zijn binnengedrongen. Industrie 4.0 heeft ook een keerzijde, concludeer je. Je krijgt verschillende reacties terug, maar ze lijken het in ieder geval te waarderen dat je open kaart speelt.
Dinsdag 27 oktober 2026
10:13 uur: Tijdens het inmiddels dagelijkse overleg brengen Marcel en Patrick je op de hoogte van de voortgang van het onderzoek.
‘We weten nu dat de systemen in Europa en de VS zijn aangetast’, vertelt Patrick. ‘Die uit Azië hebben we nog niet aangeleverd gekregen; dat is dus nog even afwachten.’ Marcel vult aan: ‘Maar het lijkt verstandig om ervan uit te gaan dat ze toegang hebben tot alle systemen.’
‘Alle systemen? Maar bij ons zijn IT en OT toch goed van elkaar gescheiden’, werp je tegen.
‘Nou, voor het grootste deel wel, maar er is een technische onderlaag waar toch gegevens worden uitgewisseld’, weet Patrick.
Met heel veel pijn in je hart geef je aan de productiemanager de opdracht om alle machines in de fabriek stil te zetten. Preventief. Vanaf nu begint het serieus geld te kosten.
11:47 uur: Nog maar net van die klap hersteld, staat Tessa weer bij je bureau. Ze laat je een uitgeprint mailtje lezen:
“Beste Freek,
Green Bear hier. Zoals inmiddels duidelijk moge zijn, hebben we de systemen bij J&M Technologies gehackt. Maak binnen een week 3,5 miljoen dollar aan bitcoins over naar het meegestuurde rekeningnummer en we trekken ons terug. Beloofd.
Groeten
Ps. Zeg niet dat je dat niet kunt betalen, want we zien op jullie Amerikaanse rekening precies dat bedrag staan.”
De rillingen lopen je over je rug; dat geld had je inderdaad met hard werken bij elkaar gekregen voor een cruciale investering in de VS. Snel roep je iedereen weer bij elkaar, ook bedrijfsadvocaat Gerard.
12:11 uur: De grote vergaderzaal is volledig in beslag genomen door de onderzoekers. Aan de kleine overlegtafel in je eigen kantoor legt Marcel uit dat er grofweg twee mogelijkheden zijn: ‘Het lijkt erop dat we een veilige back-up zouden kunnen terugzetten, maar 100 procent zekerheid kan ik niet geven. En om eerlijk te zijn, kan ik dat eigenlijk nooit. The absence of evidence is no evidence of absence. Het alternatief is een root cause-analyse waarmee we zeker meer puzzelstukjes in handen krijgen en we de aanvallers een volgende keer misschien de loef kunnen afsteken.’
Je eerste reactie is om zo snel mogelijk je bedrijf weer op te starten. Elke dag stilstand kost je immers bakken met geld. Maar je hebt ook geen zin in een kat-en-muisspelletje met die hackers waarbij jij steeds achter de feiten moet blijven aanlopen. Mede op advies van Gerard en Marcel kies je daarom om vol in te zetten op een root cause-analyse. Er is ook nog wat tijd, denk je hoopvol.
12:53 uur: Vlak na de lunch zitten jullie alweer bij elkaar. Vanuit de autoriteiten is het verzoek gekomen voor een update. En, zo benadrukt Gerard nog maar eens: ‘Daartoe is J&M verplicht. Na 72 uur willen ze weten wat de ernst van de aanval is, hoe groot de impact is en wat de indicators of compromise zijn.’
Er zit niks anders op; een deel van hun tijd zullen Marcel en zijn crew moeten vrijmaken om dat rapport op te stellen.
Woensdag 28 oktober 2026
20:06 uur: Je zit het journaal te kijken, duimen draaiend dat er geen nieuws over de hack voorbijkomt, als je een appje van Tessa krijgt. Een journalist heeft een interview aangevraagd en ze vertelt dat hij al behoorlijk op de hoogte is van wat er speelt. Je rekt wat tijd door Tessa te laten antwoorden dat de journalist morgenochtend antwoord krijgt, met de hint dat hij wellicht een exclusief interview zal krijgen als hij even geduld heeft.
Donderdag 29 oktober 2026
7:46 uur: Meteen bij binnenkomst roep je Tessa en Gerard bij je. Wat te doen? Al snel is duidelijk dat het de beste optie is om te gaan praten.
Tessa: ‘Hij zei dat hij genoeg had om sowieso een artikel te publiceren. Als we een interview geven, hebben we tenminste nog invloed. Ook al zullen we niet alles in de hand hebben.’ Gerard knikt instemmend.
De rest van de ochtend bereid je je tot in de puntjes voor op het interview, je praat met de onderzoekers, van wie je de taal al redelijk begint te begrijpen, en je overlegt uitgebreid met Tessa en Gerard over wat je gaat vertellen – en wat niet – en hoe je het gaat zeggen.
14:25 uur: Het interview is goed verlopen. Je vraagt je wel af hoe de journalist over allerlei inside information beschikte. Heeft een van je klanten gelekt? Of heeft misschien een van je medewerkers zijn mond voorbij gepraat? Tijdens het interview besefte je met een schok dat je die voor het grootste deel nauwelijks hebt verteld wat er speelde en wat je van ze verwacht. Samen met Tessa stel je daarom snel een mail op die het hele bedrijf rondgaat.
Maandag 2 november 2026
8:30 uur: Nadat Marcel en zijn mensen nog een weekend hebben doorgewerkt, lijkt alles weer onder controle.
‘Nou ja, we kunnen zo’n 80 procent van de systemen weer opstarten’, nuanceert Marcel. ‘Het resterende deel zal nog wel wat meer voeten in aarde hebben. Maar jullie kunnen weer grotendeels aan de slag.’
Je slaakt een zucht van verlichting. De deadline is gehaald. Je nachtmerries over je zuurverdiende kapitaal overdragen aan een stelletje cybercriminelen zijn voorbij.
Dinsdag 3 november 2026
12:00 uur: Je staat in de grote vergaderzaal. Het is een behoorlijke chaos met laptops, kabels, schermen, maar het lijkt rustig. Totdat er ergens wat begint te piepen. Verschrikt kijk je naar Marcel, die bezorgd naar zijn dashboardmonitor kijkt.
‘Ik vrees dat we toch een klein stukje malware over het hoofd hebben gezien’, zegt Patrick. Maar Marcel zegt: ‘Nee, niet helemaal.’
‘Ik breng alleen maar slecht nieuws, lijkt het wel’, zegt Tessa die binnenkomt met een nieuwe mail van Green Bear.
“Leuk geprobeerd, Freek. Je was er bijna 🙂
Maar ik heb natuurlijk heel wat informatie over je bedrijf verzameld en dat zal ik naar buiten brengen als je niet betaalt. Je hebt een dag.
Toedels!”
12:11 uur: Terug op je kantoor zegt Patrick: ‘Mijn advies zou zijn om toch met de aanvallers in gesprek te gaan. Ik weet het nu ook niet meer.’
Marcel valt je systeembeheerder bij: ‘We winnen er in ieder geval tijd mee. En bedenk dat het voor Green Bear ook een businessmodel is. Ze willen gewoon geld zien voor de tijd die ze erin hebben gestoken.’
‘We hebben geen idee welke informatie ze hebben’, benadrukt Gerard die inbrengt dat het ook juridische consequenties heeft als je besluit te gaan betalen: ‘Overheidsklanten zullen wellicht afhaken als ze horen dat wij criminelen geld geven. En sowieso is het in een aantal landen verboden om ransom te betalen.’
Tessa denkt pragmatisch: ‘Weet iemand überhaupt hoe je bitcoins koopt? Hoe gaan we dat straks op de jaarrekening zetten? En wat vertellen we de buitenwereld?’
Je besluit er een nachtje over te slapen.
Woensdag 4 november 2026
5:16 uur: Van slapen is niet veel gekomen. ’s Ochtends in alle vroegte neem je het besluit: je gaat niet betalen. Je bedrijf zou die gigantische aderlating waarschijnlijk nooit meer te boven komen. De investering in de VS is namelijk cruciaal voor het voortbestaan van J&M Technologies. Dan maar leven met de gevolgen van de vrijgekomen bedrijfsdata, wat die ook mogen zijn.
7:36 uur: Op kantoor geef je Marcel en Patrick opdracht om door te gaan met het opschoon- en herstelplan. Hopelijk heb je de goede beslissing genomen…
De Network and Information Security directive (NIS2) is een Europese richtlijn die bedoeld is om de cyberbeveiliging en de weerbaarheid van essentiële diensten en bedrijven te verbeteren. Het is de opvolger van de eerste NIS-richtlijn, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen. Momenteel wordt NIS2 omgezet in nationale wetgeving. In Nederland is begin dit jaar een consultatieperiode gestart waarin iedereen input kan leveren over de wet-in-voorbereiding. Duidelijk is al wel dat bedrijven onder meer een zorgplicht hebben (verplichting tot eigen risicobeoordeling en passende beschermingsmaatregelen) en al binnen 24 uur melding moeten maken van incidenten. Bedrijven kunnen – en moeten – nu al aan de slag om hun infrastructuur te verstevigen.