Ransomware is uitgegroeid tot de meest ontwrichtende digitale dreiging voor Nederlandse overheidsorganisaties. NCSC-cijfers tonen aan dat de gemiddelde uitval na een aanval drie weken bedraagt en dat herstelkosten ver boven de miljoen euro uitkomen. Dezelfde rapporten laten een verschuiving zien van massale spamcampagnes naar geavanceerde operaties waarin aanvallers maandenlang onopgemerkt blijven en tegelijkertijd data, referenties en back-ups misbruiken. Voor CIO's en CISO's binnen de publieke sector betekent dit dat identiteitslagen, dataopslag, OT-omgevingen en ketenpartners vanaf het eerste ontwerp onder Zero Trust-regie moeten staan.
De NIS2-richtlijn en de Nederlandse Baseline voor Veilige Cloud maken het onmogelijk om ransomware louter als technisch risico te beschouwen. Artikel 21 verplicht aantoonbare bedrijfscontinuiteit en artikel 23 eist meldingen binnen 24 uur zodra vitale processen geraakt worden. Tegelijkertijd dwingen double-extortion-tactieken organisaties om incidentcommunicatie, privacy-impact en bestuurlijke besluitvorming vooraf uit te werken. Wie dat nalaat, betaalt niet alleen losgeld maar ook bestuurlijke sancties en reputatieschade.
Deze gids vertaalt het internationale dreigingsbeeld naar concrete maatregelen voor Microsoft 365, Azure en hybride infrastructuren. Je leest hoe de kill chain zich ontwikkelt, waarom Zero Trust de enige houdbare preventiestrategie is, welke geavanceerde mogelijkheden Microsoft Defender for Endpoint biedt, hoe je onveranderlijke back-ups ontwerpt en hoe je een incidentresponsprogramma opbouwt dat zowel technisch als juridisch standhoudt. Iedere sectie sluit aan op auditplichten en de geleerde lessen uit recente incidenten bij Nederlandse ministeries, gemeenten en vitale leveranciers.
Deze ransomwaregids richt zich op securitymanagers, CIO's, CISO's en crisisteams die verantwoordelijk zijn voor kritieke processen binnen de Nederlandse overheid. Je krijgt een volledig beeld van het dreigingslandschap, Zero Trust-controles, Microsoft Defender-mogelijkheden, backup-architecturen en incidentresponsrituelen die aantoonbaar voldoen aan de Nederlandse Baseline voor Veilige Cloud en NIS2.
Activeer Controlled Folder Access en Attack Surface Reduction-regels via Intune voor alle werkplekken, inclusief tijdelijke projectlaptops. Combineer dit met een noodprocedure waarmee je binnen vijf minuten een device isoleert in Defender for Endpoint en een runbook dat het herstel van de gebruiker beschrijft. Organisaties die deze combinatie testen tijdens lokale debug- en oefensessies voorkomen dat noodmaatregelen voor het eerst worden uitgevoerd tijdens een echte ransomwarecrisis.
Ransomware Threat Landscape 2025: Actors, TTPs & Target Selection
Het dreigingslandschap rond ransomware werd in 2024 opnieuw gedefinieerd door de combinatie van offensieve innovatie en industriële professionalisering. Waar aanvallen vroeger willekeurig waren, richten criminele syndicaten zich nu op ministeries, provincies, waterschappen en vitale leveranciers die afhankelijk zijn van Microsoft 365 en hybride Azure-omgevingen. Het resultaat is een constante stroom aan pogingen waarin kwetsbaarheden, phishingcampagnes, initial-accessbrokers en economische chantage elkaar versterken. Nederlandse organisaties merken dat de klassieke perimeterverdediging niet langer werkt, omdat aanvallers zich wekenlang voorbereiden, partners compromitteren en tegelijk op zoek gaan naar verzekeringspolissen, back-ups en kroonjuweelsystemen.
De eerste golf ransomware, grofweg tussen 2013 en 2017, bestond uit opportunistische campagnes waarin miljoenen phishingmails tegelijk werden verstuurd. Malware zoals CryptoLocker en WannaCry gebruikte relatief eenvoudige AES-versleuteling, vroeg enkele honderden dollars aan losgeld en richtte zich vooral op consumenten en kleinere bedrijven. Hoewel veel organisaties de dreiging destijds konden afwenden met antivirus en fatsoenlijke back-ups, vormde deze periode het startpunt voor de industrialisering van afpersing: criminelen zagen dat geautomatiseerde versleuteling schaalbaar was en ontdekten dat cryptovaluta anonieme betalingen mogelijk maakten.
Tussen 2018 en 2021 ontstond de tweede golf, vaak aangeduid als big-game hunting. Groepen als Ryuk, Maze en REvil combineerden spear phishing, brute-force-aanvallen op RDP en kwetsbaarheden in edge-systemen zoals VPN-gateways. Ze gebruikten hybride encryptie (RSA en AES), eisten miljoenen euro's en voerden double extortion in: data werd eerst buitgemaakt en vervolgens versleuteld, waardoor slachtoffers zowel operationele stilstand als een datalek moesten melden. Nederlandse gemeenten en ziekenhuizen werden in deze periode vaker doelwit omdat zij complexe IT-landschappen hadden, maar beperkte detectiecapaciteit.
Sinds 2022 bevinden we ons in de derde golf, waarin ransomware-as-a-servicekartels domineren. LockBit 3.0, BlackCat/ALPHV, Cl0p en Akira opereren als multinationals met eigen helpdesks, affiliateprogramma's en bugbountyprogramma's. Zij kopen toegang bij initial-accessbrokers, gebruiken zero-days zoals de MOVEit-kwetsbaarheid, schakelen living-off-the-land-instrumenten in en combineren encryptie met DDoS-aanvallen en reputatiedreiging. Losgeldbedragen lopen op tot tientallen miljoenen euro's, vaak uitbetaald in Monero. Deze golf is gevaarlijk voor Nederlandse overheden omdat één campagne meerdere ministeries en leveranciers tegelijk kan chanteren.
LockBit 3.0 illustreert deze aanpak treffend. De groep gebruikt brute-force-aanvallen op VPN, misbruikt tokens voor privilege escalation en schakelt beveiligingsproducten uit voordat versleuteling start. De eigen StealBit-tool stuurt datasets binnen enkele minuten naar buitenlandse infrastructuur, waarna slachtoffers op een leaksiteteller verschijnen die aftelt naar openbaarmaking. Organisaties zonder onveranderlijke back-ups of zonder volledige logging voelen zich daardoor gedwongen om te betalen, ondanks het officiële beleid om geen losgeld te voldoen.
BlackCat en Akira richten zich nadrukkelijk op kritieke infrastructuur, omdat zij beschikken over modules voor Windows, Linux en hypervisoromgevingen. De malware is geschreven in moderne talen zoals Rust, waardoor traditionele antivirussignatures weinig effect hebben. Cl0p bewijst hoe supply-chain-aanvallen werken: één MOVEit-kwetsbaarheid resulteerde in duizenden slachtoffers, waaronder Nederlandse overheidsinstellingen die gevoelige registers uitbesteed hadden. Deze groepen combineren technische vaardigheden met juridische intimidatie door te dreigen met AVG-boetes of openbaarmaking bij toezichthouders.
Achter iedere succesvolle aanval schuilt een volledig MITRE ATT&CK-scenario. De kill chain start meestal met initial access via phishing of een kwetsbaar edge-systeem, gevolgd door PowerShell-executies, geplande taken en toegangstokenmisbruik. Daarna volgen het uitschakelen van Defender-services, het verwijderen van shadow copies, het dumpen van referenties uit LSASS en het kopiëren van domeincontrollers. Tot slot plant de actor ransomware op fileservers, SharePoint-synchronisatieworkstations en hypervisors om de encryptie gelijktijdig te starten. Zonder telemetrie uit Defender for Endpoint, Defender for Identity en Sentinel kan de aanvaller deze stappen doorlopen zonder noemenswaardige alarmen.
Voor Nederlandse organisaties is het essentieel om het dreigingsbeeld te combineren met eigen risicoanalyses. Inventariseer welke processen geen uur stil mogen vallen, welke leveranciers privileged toegang hebben en welke datasets een dubbele afpersing aantrekkelijk maken. Gebruik threat intelligence van het NCSC, Microsoft Threat Intelligence en sectorale ISAC's om indicatoren en TTP's te actualiseren en zorg dat testomgevingen beschikbaar zijn voor lokale debugsessies waarin kill-chain-simulaties worden uitgevoerd. Alleen organisaties die het landschap begrijpen, kunnen hun preventie-, detectie- en responsprogramma's gericht aanscherpen.
Prevention Layer 1: Zero Trust Architecture tegen Ransomware
Een effectieve preventiestrategie tegen ransomware begint bij het erkennen dat verdediging in de cloud, on-premises en in de keten onlosmakelijk met elkaar verbonden zijn. Het NIST Cybersecurity Framework beschrijft identificeren, beschermen, detecteren, reageren en herstellen; Zero Trust operationaliseert deze functies door elke toegang expliciet te verifiëren en ieder netwerk als onbetrouwbaar te behandelen. Voor Nederlandse overheidsinstanties betekent dit dat architecten niet alleen technische maatregelen ontwerpen, maar ook processen vastleggen voor toezicht, audittrail en crisiscommunicatie.
Identiteit vormt de eerste laag. Meervoudige authenticatie voor alle gebruikers is geen beleidsoptie maar een wettelijke vereiste, omdat het gros van de ransomware-incidenten begint met buitgemaakte referenties. Gebruik Conditional Access om elke cloudapplicatie MFA af te dwingen en voeg phishing-resistente methoden toe voor beheerders, zoals FIDO2 of certificaatgebaseerde authenticatie. Door de signaaldata uit Entra ID te koppelen aan Defender for Cloud Apps zie je onmiddellijk wanneer een inlog afkomstig is van een onbekende locatie, een TOR-exitnode of een niet-conform apparaat.
Versterk deze laag met Privileged Identity Management. Just-in-Time-toegang voor domein-, tenant- en platformbeheerders zorgt ervoor dat er geen permanente adminaccounts zijn die ransomware kan misbruiken voor massale encryptie. Combineer PIM met Azure Key Vault voor het beheer van serviceaccounts en richt goedkeuringsflows in waarmee security officers elke escalatie expliciet accorderen. Deze werkwijze creëert auditbare logs die nodig zijn voor BIO- en NIS2-audits.
Conditional Access gaat verder dan MFA alleen. Configureer aanmeldingsrisico's, apparaatcompliance, sessielimieten en beleid voor noodaccounts. Wanneer een medewerker vanuit een onbekende locatie inlogt of een device zonder actuele Defender-signatuur gebruikt, wordt toegang geblokkeerd of gematigd. Zo verklein je de kans dat een aanvaller met gestolen referenties de omgeving binnenkomt, zelfs als de oorspronkelijke gebruiker MFA accepteert onder dwang.
Least privilege is de tweede pijler. Maak gebruik van role-based access control binnen Azure, delen van SharePoint en fileservers zodat gebruikers enkel toegang hebben tot de informatie die zij nodig hebben. Documentbeheer krijgt zijn eigen segment, terwijl gevoelige registraties in aparte workloads draaien met versleutelde opslag en aparte beheerdersgroepen. Wanneer ransomware via een standaardaccount wordt uitgevoerd, raakt het alleen de datasets waarvoor dat account rechten heeft; daarmee schakel je de klassieke domino-effecten uit.
Netwerksegmentatie en microsegmentatie zijn aanvullend noodzakelijk. Gebruik Azure Firewall, Network Security Groups en software-defined networking om beheer, productie en test strikt te scheiden. Koppel segmentatie aan geautomatiseerde controles die nagaan of noodaccounts of nieuwe servers per ongeluk in het verkeerde netwerkdeel terechtkomen. Door beheernetwerken uitsluitend toegankelijk te maken vanaf Privileged Access Workstations kan een aanvaller zich niet eenvoudig verplaatsen zodra één werkplek gecompromitteerd is.
Zero Trust vereist bovendien een assume-breach-houding. Telemetrie uit Defender for Endpoint, Defender for Identity, Defender for Cloud Apps en Sentinel moet worden samengebracht in één SOC-proces. Gedragsanalyses herkennen patronen die specifiek zijn voor ransomware, zoals massale bestandsaanpassingen, het wissen van shadow copies of het plotseling uitschakelen van antivirusdiensten. Richt automatische isolatie in: wanneer Defender een massale encryptie detecteert, wordt het apparaat direct gequarantaineerd en wordt het account geblokkeerd.
Tot slot moet preventie verankerd worden in governance. Stel duidelijke KPI's vast, zoals het percentage apparaten met Attack Surface Reduction ingeschakeld, het aantal gebruikers met tijdelijke adminrechten en het aantal netwerken dat volledig gesegmenteerd is. Rapporteer deze cijfers maandelijks aan CIO en CISO, leg afwijkingen vast in het risicoregister en koppel verbetervoorstellen aan het portfoliobudget. Door deze transparantie te combineren met frequente tabletop-oefeningen blijft Zero Trust geen papieren concept maar een aantoonbaar werkend preventiemodel.
Defender for Endpoint: Ransomware-Specific Protection Mechanisms
Microsoft Defender for Endpoint vormt het zenuwstelsel van de eindpuntverdediging tegen ransomware. Het platform combineert anti-malware, gedragsanalyse, aanvaloppervlakreductie en geautomatiseerde respons in één agent die zowel op Windows 10/11 als op Windows Server draait. Voor Nederlandse overheidsorganisaties is het cruciaal om Defender niet te beschouwen als enkel antivirus, maar als een policy-gedreven controle die rechtstreeks gekoppeld is aan NIS2-eisen rond detectie, logging en respons.
Controlled Folder Access is de meest onderschatte bouwsteen. De functie bewaakt standaardmappen zoals Documenten, Afbeeldingen en Desktop en blokkeert onbekende processen zodra zij gevoelige bestanden willen wijzigen. Anders dan traditionele antivirus kijkt Controlled Folder Access niet naar signatures maar naar gedrag; zelfs onbekende varianten van LockBit of Akira kunnen daardoor geen encryptie uitvoeren. Organisaties die de functie breed uitrollen en testen met reguliere bedrijfsapplicaties zien dat het overgrote deel van de gebruikersdata onaangetast blijft, zelfs wanneer een phishingmail een payload heeft afgeleverd.
Configuratie verloopt idealiter via Intune of een modern managementplatform. Maak een Attack Surface Reduction-profiel aan en schakel Controlled Folder Access, exploit guard en kernregels in die macro's, verdachte scripts en niet-geautoriseerde uitvoerbare bestanden blokkeren. Voeg aangepaste mappen toe voor teamsites, lokale Git-repositories of tijdelijke projectshares die niet standaard beschermd zijn. Werk samen met functioneel beheerders om noodzakelijke applicaties te whitelisten en gebruik lokale debugsessies om elke wijziging vooraf te toetsen zodat productie niet verrast wordt.
Aanvullende Attack Surface Reduction-regels vullen Controlled Folder Access aan door typische voorbereidingsstappen van ransomware te blokkeren. Voorbeelden zijn het verhinderen van Office-applicaties die child-processen starten, het blokkeren van verhulde scripts en het stoppen van credential access via LSASS. Deze regels verkleinen de kans dat een aanvaller een foothold uitbouwt nadat een gebruiker toch op een kwaadaardige link heeft geklikt. Omdat de regels uitgebreide logging genereren, kunnen SOC-analisten precies achterhalen welke processen zijn tegengehouden en of een actor nieuwe varianten probeert.
Tamper Protection zorgt ervoor dat ransomware Defender niet eenvoudig uitschakelt. Wanneer de functie actief is, kunnen zelfs lokale beheerders de antimalware-engine niet uitzetten zonder Intune-policy of beveiligde registry-aanpassingen. Combineer dit met EDR in block mode, zodat het systeem gedetecteerde ransomwarefamilies meteen blokkeert, ook op apparaten die nog niet volledig up-to-date zijn. Deze combinatie is essentieel voor laptops die tijdelijk offline werken of zich buiten het overheidsnetwerk bevinden.
Automated Investigation and Response versnelt de reactietijd. Zodra Defender for Endpoint een verdacht patroon ziet, start de functie een onderzoek dat processen beëindigt, bestanden analyseert en persistente artefacten verwijdert. Security-analisten krijgen een verhaallijn waarin elke stap van de aanval wordt uitgelegd, inclusief MITRE-koppeling. Door Automated Investigation and Response te integreren met Microsoft Sentinel kunnen runbooks een apparaat automatisch isoleren, het betrokken account blokkeren en een ticket aanmaken in het ITSM-systeem, allemaal binnen de tijdlijnen die de Nederlandse Baseline voor Veilige Cloud voorschrijft voor kritieke dreigingen.
Een volwassen inzet van Defender vereist bovendien continue validatie. Richt maandelijks tests in waarin beveiligingsspecialisten gecontroleerde ransomware-simulaties draaien in een sandbox of dedicated testtenant. Controleer of waarschuwingen binnen de SLA in het SOC-dashboard verschijnen, of isolatiecommando's werken en of herstelprocedures voor gebruikers duidelijk zijn. Besteed speciale aandacht aan werkstations van bestuurders en projectteams met verhoogde privileges; zij moeten dezelfde streng gecontroleerde policies ontvangen, ondanks politieke druk om uitzonderingen toe te staan.
Om beheerders te helpen bij het aantonen van de effectiviteit blijft het nuttig om af en toe bewust een Controlled Folder Access-testscript te draaien. Onderstaand PowerShell-script is vertaald naar het Nederlands en simuleert op gecontroleerde wijze een encryptiepoging. Gebruik het uitsluitend in een lab- of debuginstelling en documenteer de resultaten zodat auditors kunnen zien dat de beveiliging daadwerkelijk werkt.
Backup Architecture: Immutable Backups & 3-2-1 Rule voor Ransomware Recovery
Geen ransomwarestrategie is compleet zonder robuuste back-ups. Aanvallers weten dat een organisatie pas echt onder druk staat wanneer zowel productie als back-upbestanden zijn vernietigd. Daarom richten moderne campagnes zich op het wissen van shadow copies, het stelen van backup-accounts, het versleutelen van netwerkshares en het misbruiken van beheerportals. Een solide architectuur veronderstelt dat de aanvaller reeds in de omgeving aanwezig is en dat elke back-upactie onder het vierogenprincipe valt.
Het moderne 3-2-1-1-model vormt de basis: drie kopieën van de gegevens, opgeslagen op twee verschillende mediatypen, waarvan minimaal één buiten de primaire locatie en één onveranderlijk of offline. Dit model is geen theoretische best practice maar een directe vertaling van NIS2-artikel 21, dat aantoonbare beschikbaarheid eist. Noteer in het informatiebeveiligingsmanagementsysteem welke data onder welke retentie valt, wie verantwoordelijk is voor de controles en hoe de resultaten worden gerapporteerd aan het bestuur.
Azure biedt meerdere voorzieningen om deze eisen te borgen. Recovery Services Vaults hebben standaard soft delete, waardoor verwijderde back-ups nog veertien dagen beschikbaar blijven. Multi-user authorization verplicht een tweede goedkeurder voor risicovolle acties zoals het uitschakelen van soft delete of het verwijderen van retentiebeleid. De immutability-optie vergrendelt het kluismodel volledig: zelfs een eigenaar met volledige rechten kan de back-ups niet verwijderen zolang de retentieperiode loopt. Voor kritieke ketens adviseert het NCSC om immutability te combineren met dedicated beheeraccounts die uitsluitend via Privileged Identity Management worden geactiveerd.
Segmentatie is eveneens cruciaal. Plaats back-upservers in een eigen netwerkzone zonder directe internettoegang en gebruik private endpoints voor verkeer tussen workloads en Recovery Services Vaults. Opslagaccounts die back-ups bevatten moeten worden beveiligd met versleuteling, firewallregels, Defender for Storage en logische toegangsscheiding. Bewaar beheerwachtwoorden in een gecertificeerde geheimenkluis en automatiseer rotatie, zodat criminelen geen statische referenties kunnen misbruiken.
Voor Microsoft 365 volstaan de standaardretenties niet. De prullenbak van SharePoint of versiebeheer van OneDrive helpt alleen zolang niet alle versies versleuteld zijn of de prullenbak niet is geleegd. Gebruik daarom een aanvullende backupoplossing die data exporteert naar een onveranderlijke storage-locatie, losgekoppeld van de primaire tenant. Let erop dat de oplossing over eigen authenticatie beschikt, point-in-time herstel ondersteunt en granulair kan terugzetten op mailbox-, teamsite- of bestandsniveau. Oplossingen zoals Veeam, Commvault, Rubrik of AvePoint voldoen aan deze eisen mits zij zijn ingericht op WORM-opslag of immutabele Linux-repositories.
Back-ups hebben pas waarde wanneer zij aantoonbaar werken. Plan kwartaaldrills waarin productieachtige systemen gericht worden hersteld. Simuleer een aanval, bepaal het herstelpunt, voer een restore uit naar een aparte resourcegroep of testtenant en valideer applicatief dat de omgeving bruikbaar is. Leg detectietijd, containmentduur, hersteluitval en RPO/RTO transparant vast in dashboards en bespreek deze cijfers in het crisisoverleg.
Naast deze technische oefencyclus hoort ook een bestuurlijk ritme. Laat CIO, CISO en proceseigenaren minstens eenmaal per jaar een sessie bijwonen waarin de resultaten van hersteltests, kwetsbaarheden in backup-ketens en verbetervoorstellen worden gepresenteerd. Koppel deze bevindingen aan de risicoregisters, auditbevindingen en de roadmap van de Nederlandse Baseline voor Veilige Cloud, zodat back-ups niet worden gezien als puur operationele IT-taak, maar als essentieel onderdeel van continuïteits- en risicomanagement.
Dezelfde druk geldt voor documentatie. Auditbewijzen moeten laten zien dat retentiebeleid niet zonder goedkeuring kan worden aangepast, dat hersteltests zijn uitgevoerd en dat afwijkingen zijn opgevolgd. Onderstaande hersteltemplate kan als basis dienen voor zulke oefeningen. Vul het formulier tijdens iedere drill in, laat het ondertekenen door security en operations en archiveer het in het continu-verbeterdossier.
Ransomware Incident Response: Playbook voor Contained Breach
Een incidentresponsplan is de laatste verdedigingslaag wanneer preventie en detectie tekortschieten. Het doel is om schade te beperken, bewijs veilig te stellen, bestuurders te informeren en binnen de wettelijke termijnen te rapporteren. Zonder concreet draaiboek verzandt de organisatie in improvisatie, wat leidt tot extra downtime, verlies van bewijs en onnodige reputatieschade.
De eerste fase draait om snelle detectie en triage. Ransomware laat zich zien via Defender-for-Endpoint-waarschuwingen, Sentinel-correlaties of meldingen van gebruikers die versleutelde documenten zien. SOC-analisten verifiëren het alarm, leggen timestamps vast en bepalen het initiële bereik: gaat het om één laptop of staan er al fileservers op de lijst? Documenteer direct welke acties al zijn uitgevoerd, want deze notities vormen de basis voor het uiteindelijke forensische rapport en de melding aan het NCSC.
Vervolgens start containment. Apparaten worden met één klik geïsoleerd, betrokken accounts worden geblokkeerd en alle actieve sessies in Microsoft 365 en Azure worden beëindigd. Netwerksegmentatie wordt aangescherpt door firewallregels tijdelijk te verstrengen en gedeelde schijven los te koppelen. Tegelijkertijd schakelt men de backupinfrastructuur in leesmodus om te voorkomen dat de aanvaller ook daar encryptie uitvoert. Communicatie is cruciaal: informeer bestuur en communicatieafdeling onmiddellijk zodat zij voorbereid zijn op mogelijke mediavragen.
Herstel van vertrouwen in de identiteitslaag komt daarna. Wachtwoorden van alle betrokken gebruikers, serviceaccounts en beheerrollen worden direct gereset of opnieuw uitgerold via Privileged Identity Management. OAuth-tokens en app-registraties die misbruikt kunnen worden, worden ingetrokken. Parallel hieraan verzamelen forensische specialisten de Defender-investigatiepakketten, logbestanden en snapshots van relevante systemen. Zij reconstrueren hoe de aanvaller binnenkwam, welke privileges zijn verhoogd en of er data is buitgemaakt.
De derde fase draait om eradication. Alle geïdentificeerde malwarecomponenten, geplande taken en registrywijzigingen worden verwijderd; systemen met twijfel worden volledig opnieuw opgebouwd vanaf een schoon image. Pas wanneer het SOC bevestigt dat er geen actieve dreiging meer is en de back-ups schoon zijn, start de organisatie met herstel.
Tijdens de herstelbeslissing staan drie opties open. De voorkeur gaat altijd uit naar het terugzetten van onveranderlijke back-ups. Controleer de integriteit, kies een herstelpunt net vóór de aanval en breng systemen gecontroleerd terug online. Gratis decryptietools uit initiatieven zoals NoMoreRansom kunnen uitkomst bieden voor oudere families, maar zijn zelden beschikbaar voor moderne varianten. Het betalen van losgeld blijft een laatste redmiddel; vooraf dienen juridische, bestuurlijke en ethische afwegingen te worden vastgelegd, inclusief de melding aan opsporingsdiensten. Documenteer in alle gevallen de Recovery Time Objective en Recovery Point Objective, zodat bestuurders weten hoeveel tijd en data verloren zijn gegaan.
Communicatie en meldplichten lopen parallel aan de technische werkzaamheden. Onder NIS2 geldt dat een significante ransomwareaanval binnen 24 uur als vroege waarschuwing bij het NCSC wordt gemeld, na 72 uur gevolgd door een uitgebreid rapport en binnen een maand afgesloten met een eindrapport inclusief root-causeanalyse en maatregelen. Privacyteams beoordelen of er sprake is van een datalek in de zin van de AVG en bereiden meldingen aan Autoriteit Persoonsgegevens en betrokken burgers voor. Zorg dat elke melding aansluit op hetzelfde feitenrelaas om inconsistenties te voorkomen.
Na de technische afronding volgt de evaluatie. Organisaties leggen vast wat goed ging, welke beslissingen te laat kwamen en welke proceswijzigingen nodig zijn. Geleerde lessen worden vertaald naar concrete acties op de veiligheidsroadmap, voorzien van budget en eigenaar. Door deze cyclus elk jaar of na ieder groot incident te herhalen, groeit de volwassenheid van het incidentresponsprogramma en voldoet de organisatie aantoonbaar aan de eisen van de Nederlandse Baseline voor Veilige Cloud.
Ransomware blijft de meest significante operationele dreiging voor Nederlandse organisaties in 2025. De evolutie van opportunistische malware naar geavanceerde campagnes vraagt om een fundamenteel andere benadering waarin identiteiten, endpoints, netwerken en back-ups als één ecosysteem worden behandeld. Organisaties die Zero Trust implementeren, Defender-capaciteiten volledig benutten, onveranderlijke back-ups beheren en een geoefend incidentresponsprogramma hebben, verkorten hun uitval van weken naar uren.
De Nederlandse Baseline voor Veilige Cloud en NIS2 maken deze aanpak bovendien afdwingbaar. Ze eisen aantoonbare preventie, detectie, herstel en rapportage. Door de in dit artikel beschreven maatregelen te verankeren in architectuurprincipes, beheerprocessen, drills en rapportages ontstaat een verdedigingslijn die audits doorstaat en vooral de continuïteit van publieke dienstverlening beschermt. Begin vandaag met het testen van de kritischste scenario's, documenteer verbeteracties en houd bestuurders betrokken; zo verander je ransomware van een existentiële dreiging in een beheersbaar risico.