Jochem Smit is Senior Crisis Management Trainer bij CCRC en brengt zijn ervaring rechtstreeks mee uit de praktijk van ransomware-incidenten. Bij Northwave ging hij als een van de vier senior crisismanagers mee op grote cyberincidenten. “Dat zijn allemaal ransomware cases geweest.”
In die situaties ligt de bedrijfsinfrastructuur deels of volledig plat en komen organisaties, vaak via hun verzekeraar, razendsnel uit bij externe hulp om weer veilig, schoon en operationeel te worden. In dit interview vertelt Jochem wat hij in het heetst van de strijd ziet gebeuren, waarom oefening het verschil maakt en welke rollen vrijwel altijd ontbreken wanneer het erop aankomt.
Ransomware voelt eerst technisch, maar wordt binnen uren bestuurlijk
Ransomware-aanvallen beginnen vaak als een IT-probleem, maar veranderen vrijwel meteen in een bedrijfscrisis. Niet alleen vallen systemen uit, maar ook HR, finance en logistiek. Bij één incident in Duitsland werd hij gebeld toen “alles al plat lag: van de financiële tot de HR-afdeling, en dus ook alles in productie. Dus niks deed het meer.”
Wanneer je dan binnenkomt, voel je wat dat betekent voor een organisatie. “Ik zou bijna zeggen dat 80 procent van de mensen al naar huis gestuurd was, omdat heel veel mensen niets konden doen. Productiehallen waren verlaten; er was één crisisruimte waar senior managers en bestuur probeerden een overlegstructuur neer te zetten, en de IT-afdeling draaide op maximale toeren. Mensen werden zelfs teruggehaald van vakantie.”
Daar zit meteen een belangrijk punt van Jochem: veel organisaties onderschatten de schaal en de duur van zo’n situatie. Anderhalve tot 2 weken is best case om weer wat controle te hebben, maar het kan ook een maand duren. En voordat alle functionaliteit terug is, praat je over maanden. De crisis is dan niet een korte piek, maar een langdurige belasting van mensen, processen en besluitvorming.
De business wil door, security wil zeker weten
Eén van de spannendste fricties in vrijwel elk incident zit volgens Jochem tussen security en business. Security wil een ‘allesomvattende 100 procent zekere oplossing’ neerzetten, maar dat kost tijd, geld en energie. De business kijkt anders: we moeten draaien. Soms omdat productie stilvalt, soms omdat er een overname speelt, soms omdat klantverplichtingen druk zetten.
“Die mismatch is vooral groot. Veiligheid is vaak niet de doorslaggevende factor, maar ‘zo snel mogelijk weer in productie zijn tegen alle kosten’ wel. Daardoor worden er concessies gedaan: niet alles wordt opnieuw en veilig opgebouwd, maar er wordt gekozen voor ‘weer werkend krijgen’, ondanks risico’s. De gevolgen kunnen dan enorm zijn.”
Dat is ook precies waarom Jochem oefenen zo belangrijk vindt: omdat dit soort afwegingen niet alleen technisch zijn. Het zijn bedrijfsbesluiten met directe impact op omzet, continuïteit, governance en reputatie.
De nasleep is vaak erger dan de aanval
Wat Jochem het meest raakt in ransomware-incidenten is niet alleen de eerste hectiek, maar vooral wat er daarna gebeurt. Hij vertelt dat zij veel onderzoek hebben gedaan naar de periode na incidenten. “Daaruit blijkt gewoon dat die nasleep vele malen erger is dan wat je eigenlijk in die eerste twee, drie weken meemaakt.”
Mensen houden er vaak slaapproblemen, concentratieproblemen en schuldgevoelens aan over. Soms zijn de gevolgen zelfs extreem. En er zijn mensen die na zo’n ervaring nooit meer terug willen naar een organisatie waar dit opnieuw kan gebeuren. Het leermoment dat daaruit getrokken is hard en praktisch: “Je moet in de crisis mensen beschermen tegen hun eigen ‘goede bedoelingen’. Bedrijven willen vaak doorduwen, gas geven en denken: morgen zijn we weer online. Maar dat werkt niet zo.”
Hoe maak je een oefening écht: laat mensen voelen wat het voor hun betekent
Jochem gelooft volledig in oefenen. “Iedereen die zo’n situatie mee heeft gemaakt zal altijd zeggen: hadden we maar meer geoefend.” Maar hij weet ook hoe lastig het is om stress en urgentie na te bootsen in een veilige trainingssetting. Zijn oplossing: het moet passen bij de mensen tegenover je. “Scenario’s hoeven niet één-op-één overeen te komen, maar je moet wél de vertaling maken naar wat het voor die organisatie betekent. Anders haken mensen af met: dit gebeurt ons niet, dit is niet van toepassing, we zouden het anders oplossen. Dan merk je gewoon dat je mensen niet echt hebt geraakt waar ze de pijn zouden voelen.”
Besluitvorming: wijs een beslisser aan en train die rol
Als het gaat om crisisbesluitvorming, zegt Jochem: “Begin met benoemen wie beslist. Met naam en toenaam. En wijs een back-up aan. Niet automatisch de directeur, maar iemand die de werkvloer snapt en de verantwoordelijkheid kan dragen. Vervolgens train je die persoon op de momenten waarop het misgaat: het eerste signaal, het begin van een incident, het moment dat het klein lijkt maar snel groot kan worden. Dat is precies het moment waarop veel mensen denken: dit is nog klein. Maar dat is juíst het moment waarop handelen impact kan beperken.” In trainingen laat hij die rol voelen, wat het betekent om bijvoorbeeld productie stil te leggen: wanneer doe je dat wel, wanneer niet, wat zijn de (financiële) gevolgen, en hoe leg je dat uit?
Wat hij in de praktijk vaak fout ziet gaan, is hiërarchie die besluitvorming vertraagt. Keuzes worden omhoog geëscaleerd, terwijl die personen er soms te ver vanaf staan. Zijn voorkeur: “Iemand in het bedrijf die durft te zeggen: dit is het risico; ik heb een ja of nee nodig. Of zelfs: Ik zeg ja, ben jij akkoord met de gevolgen?”
De rol die bijna altijd ontbreekt: de logger
Tot slot noemt Jochem een rol die hij zelden goed ingevuld ziet, zelfs niet bij corporates met een formeel crisisteam: een dedicated scribe (hier zijn meerdere benamingen voor; binnen CCRC gebruiken we de term ‘logger’). Niet iemand die ‘ook nog even notuleert’, maar iemand die snapt wat er gebeurt, vastlegt wie wat zegt, welke keuzes volgen en welke acties waar liggen. En die bovendien de intrigerende vragen stelt als het team afdwaalt.
Hij beschrijft hoe een goede logger een crisisteam letterlijk kan optillen: “Je haalt zo’n team uit de hectiek, terug naar overzicht, en checkt of er echt oordeelsvorming is geweest of dat iedereen ‘als een stel blinde kippen zonder kop’ achter één oplossing aanrent. Daarnaast levert het iets op dat steeds belangrijker wordt: een audit trail. Voor verzekeraars, voor wet- en regelgeving en voor verantwoording achteraf.” Daarom moet je die rol volgens hem ook trainen en tools of templates geven. Liefst offline, zodat je niet afhankelijk bent van systemen die er niet zijn.