Op vrijdagavond om 18.45 uur kreeg de IT-manager van een middelgrote Nederlandse gemeente een zenuwachtig telefoontje van de applicatiespecialist: netwerkshares waren plotseling onbruikbaar, de achtergrondafbeeldingen op servers waren vervangen door een losgeldbrief en bestandsnamen eindigden op een onbekende extensie. Binnen enkele minuten bleek dat niet alleen de primaire fileserver was geraakt, maar ook de back-upomgeving. De gemeente, die we om privacyredenen Gemeente X noemen, telt 80.000 inwoners en levert via Microsoft 365, Dynamics en lokale applicaties vrijwel alle burgerdiensten. Plotseling stond alles stil.
De daaropvolgende zestien dagen vormden een uitputtende mix van forensisch onderzoek, bestuurlijke besluitvorming, noodprocessen voor burgerzaken en gesprekken met toezichthouders. Deze case study beschrijft die periode zonder opsmuk. Het is geen glansrijk succesverhaal maar een eerlijke reconstructie van foutieve aannames, ontbrekende controles, moedige keuzes en een uiteindelijke heropbouw op basis van de Nederlandse Baseline voor Veilige Cloud, de BIO en Wbni-verplichtingen. Namen en enkele operationele details zijn geanonimiseerd, maar de tijdslijn, de worstelingen en de lessen zijn accuraat weergegeven.
Waarom is het belangrijk dit verhaal te delen? Binnen de overheid leeft nog te vaak het idee dat voldoende tooling automatisch tot veiligheid leidt en dat incidenten vooral bij anderen gebeuren. Gemeente X besloot transparant te zijn zodat andere gemeenten, waterschappen en uitvoeringsorganisaties kunnen leren voordat zij zelf met gijzelsoftware te maken krijgen. De leiders van de gemeente betrekken dit verhaal inmiddels standaard in hun portefeuillebespreking met de gemeenteraad, juist omdat het laat zien dat investeren in detectie, immutable back-ups en geoefende crisisteams geen luxe is, maar een voorwaarde om vitale dienstverlening en vertrouwen van inwoners te beschermen.
Je krijgt een ongefilterde blik op hoe een Nederlandse gemeente een ransomwarecrisis heeft beleefd: de volledige tijdslijn van binnendringing tot encryptie, de bestuurlijke keuzes in de eerste 72 uur, de technische obstakels bij herstel, de wettelijke meldplichten richting NCSC, AP en gemeenteraad, de financiële impact en vooral de structurele verbeteringen die de Nederlandse Baseline voor Veilige Cloud concreet maakten.
De eerste zestig minuten bepalen het verloop van de rest van de crisis. Gemeente X verloor drie kostbare uren aan overleg terwijl de gijzelsoftware zich verder verspreidde. Het nieuwe 'gouden-uur-protocol' schrijft nu voor dat binnen één uur drie acties aantoonbaar zijn uitgevoerd: netwerksegmentatie van getroffen systemen, activering van het incident response team en melding bij de gemeentesecretaris. Bestuurlijke afstemming volgt parallel, niet sequentieel.
Aanvalstijdlijn: 42 Dagen Onzichtbare Voetafdruk
De forensische reconstructie liet zien dat de aanvallers ruim zes weken ongezien aanwezig waren. Het incident begon ogenschijnlijk onschuldig met een factuurmail aan een medewerker van financiën waarin een macro-document verborgen zat. Omdat macro’s nog niet centraal waren geblokkeerd en het bewustwordingsprogramma niet verder kwam dan een jaarlijkse presentatie, werd de macro alsnog ingeschakeld. Een PowerShell-downloadscript haalde een backdoor binnen die zich nestelde in de gebruikersprofielmap en periodiek contact zocht met een command-and-controlserver. De klassieke antivirus zag niets omdat de payload elke 24 uur werd gehercompileerd. Dit moment staat inmiddels in het lesboek van de gemeente als het punt waarop goede endpointtelemetrie het verschil had kunnen maken.
Gedurende de daaropvolgende tien dagen volgde een stille verkenning. Met LDAP-queries en standaard Windows-hulpmiddelen werd de volledige Active Directory-structuur in kaart gebracht, inclusief de locatie van domeincontrollers, back-ups en dienstaccounts. Het netwerkverkeer leek op routineuze SMB-sessies; zonder gedragsanalyse viel het niet op. Ook het ontbreken van een SOC dat actief MITRE ATT&CK-technieken monitorde, betekende dat niemand de opeenvolging van inlogpogingen en share-enumeraties aan elkaar knoopte. In de Nederlandse Baseline voor Veilige Cloud wordt nadrukkelijk verzocht om correlatie tussen identiteits- en netwerklogs; deze koppeling ontbrak hier volledig.
De aanvallers vonden een dienstaccount voor een printapplicatie dat deel uitmaakte van de lokale beheerdersgroep op meerdere servers. Het wachtwoord bestond uit de gemeentenaam en het jaartal; een dictionary-aanval volstond om het te kraken. Met dat account werd binnen enkele minuten een Kerberos-ticket met domeinbeheerdersrechten aangemaakt. Vanaf dat moment konden ze beleid wijzigen, antivirusdiensten uitschakelen en eigen accounts bijschrijven in het Active Directory. Privileged Identity Management was nog niet uitgerold en er bestond geen proces voor periodieke hercertificering van dienstaccounts, waardoor niemand doorhad dat een zogenaamd low-risk-account ineens toegang had tot de kroonjuwelen.
In de weken daarna legden de aanvallers koppelingen naar tientallen servers via RDP en WMI, installeerden zij extra webshells voor redundantie en begonnen zij 120 gigabyte aan persoonsgegevens, jaarrekeningen en collegevoorstellen naar een buitenlandse opslagdienst te exfiltreren. Omdat dataresidency-alerting niet was ingericht en verkeer tijdens kantooruren plaatsvond, viel dit niet op. Het exfiltratiekanaal had eenvoudig kunnen worden gedetecteerd door DLP-regels in Microsoft Purview of firewallregels die bulkverkeer naar onbekende cloudopslag blokkeren. Het ontbreken daarvan maakte dat ook deze kans onbenut bleef.
Een week voor de uiteindelijke versleuteling richtten de aanvallers hun pijlen op de back-uplaag. Zij logden in op de Veeam-server, schakelden taken uit, verwijderden catalogi en versleutelden de nog beschikbare herstelpunten. Omdat beheeraccounts voor productie en back-up identiek waren, bestond er geen barrière. De monitoringconsole stuurde wel degelijk e-mails over uitgevallen jobs, maar deze kwamen in een gedeelde mailbox waar niemand tijdens de drukke begrotingsweek naar keek. In termen van de BIO was het controle-object "continuiteit en herstel" dusdanig kwetsbaar dat de organisatie feitelijk geen terugvaloptie had.
Op dag nul, een vrijdag rond 17.30 uur, activeerden de aanvallers een script dat overal tegelijk encryptie startte. Binnen anderhalf uur lagen de filecluster, de zaaksysteemdatabase, meerdere applicatieservers en zelfs de back-upserver plat. De timing vlak voor het weekend was bewust: sleutelfiguren waren al vertrokken of onderweg naar huis, en escalatie verliep daardoor traag. Detectie volgde pas om 18.45 uur toen de applicatiespecialist tijdens storingsonderzoek de afwijkende extensies zag. Tegen die tijd was de schade aangericht.
Het terugkijken op deze periode maakt pijnlijk duidelijk dat er meerdere detectiemomenten waren: extreem PowerShell-gebruik, plotselinge privilege-escalaties, mislukte back-uptaakjes en ongebruikelijke uitgaand verkeer. De gemeente beschikte wel over logregistratie, maar deze werd niet geconsolideerd of geanalyseerd. Er was geen Defender for Endpoint, geen Sentinel-workbooks en geen geautomatiseerde melding naar het crisisteam. De tijdslijn onderstreept daarmee hoe cruciaal het is om signalen niet alleen te verzamelen maar ze ook daadwerkelijk te interpreteren en te koppelen aan concrete responsacties.
Crisis Response: Eerste 72 Uur
Toen de aanval eenmaal was ontdekt, werd al snel zichtbaar hoe kwetsbaar een plan is dat alleen op papier bestaat. Hoewel er een incidentresponsdocument aanwezig was, had niemand het de afgelopen twee jaar geoefend. Telefoonnummers bleken verouderd, verantwoordelijkheden waren niet helder en de eerste uren bestonden uit parallelle besluiten zonder centrale regie. Terwijl de technisch beheerder servers van het netwerk haalde, probeerde de servicedesk het reguliere storingsproces te volgen en vroeg de communicatieadviseur of het college al was geïnformeerd. Die versnippering leidde tot dubbele meldingen en gemiste acties.
De eerste concrete maatregelen waren desondanks waardevol: netwerksegmentatie van de getroffen VLAN’s, het uitschakelen van VPN- en externe toegang, het resetten van alle beheerderswachtwoorden en het contact met een externe forensische partner. Pas later realiseerde het team zich dat deze stappen geen onderdeel waren van een vooraf getest draaiboek maar het resultaat van improvisatie. De gemeentesecretaris, als hoogste ambtenaar en voorzitter van het crisisteam, werd pas na ruim een uur betrokken. Daardoor ontbrak bestuurlijke dekking voor ingrijpende acties zoals het stilleggen van financiële processen.
Op zaterdagochtend kwam het volledige crisisteam bijeen: gemeentesecretaris, concerncontroller, CISO ad interim, IT-manager, juridische adviseur, communicatieadviseur, vertegenwoordigers van burgerzaken en de externe forensische specialisten. De eerste vraag was eenvoudig maar confronterend: wat werkt nog wel? Het antwoord bleek mager. De zaaksystemen, het sociaal domein, de uitgifte van paspoorten en rijbewijzen, het interne documentenplatform en de back-ups waren niet beschikbaar. Alleen Microsoft 365, telefonie en enkele SaaS-oplossingen functioneerden nog. Daarmee moest de gemeente voldoen aan informatierechten, aanleveringen in het kader van de Wet open overheid en de dagelijkse zorg voor inwoners.
De juridische dienst wees onmiddellijk op de meldplichten richting NCSC, Agentschap Telecom (nu Rijksinspectie Digitale Infrastructuur), de Autoriteit Persoonsgegevens en de gemeenteraad. Daarnaast moesten ketenpartners zoals het regionaal belastingkantoor en de omgevingsdienst weten dat gegevensuitwisseling tijdelijk niet mogelijk was. Deze wettelijke dimensie vergrootte de druk: een vertraagde melding kan worden gezien als nalatig, terwijl te veel informatie het forensische onderzoek kan verstoren. Uiteindelijk koos de gemeente voor een gefaseerde aanpak: binnen 24 uur een eerste melding met feitelijke informatie, gevolgd door dagelijkse updates zolang essentiële dienstverlening onderbroken bleef.
De discussie over het betalen van het losgeld was intens. De eis bedroeg 250.000 euro in cryptovaluta met de dreiging om gelekte persoonsgegevens te publiceren. Voorstanders wezen op de maatschappelijke schade als burgerzaken langer dan een week gesloten zou blijven. Tegenstanders benadrukten dat betaling de kans op herhaling vergroot, dat de decryptietools vaak gebrekkig werken en dat het rijksbrede standpunt van de politie en het NCSC luidt om niet te betalen. Juristen voegden toe dat sanctieregimes kunnen gelden; betalen aan een gesanctioneerde organisatie kan strafbaar zijn. De gemeentesecretaris hakte de knoop door: geen betaling, volledige focus op herstel.
Vanaf de derde dag ontstond ruimte voor structuur. De forensische partner had de command-and-controlinfrastructuur geïsoleerd, waardoor een schone omgeving kon worden opgebouwd. Er werd gekozen voor een driedelige strategie. Ten eerste werd een tijdelijke Microsoft 365-tenantuitbreiding ingericht voor documentuitwisseling, zodat dienstverleners met minimale middelen konden verderwerken. Ten tweede werden kritieke applicaties, zoals het burgerzakensysteem, versneld naar de cloudaanbieder gemigreerd en opnieuw ingericht met strengere Conditional Access-regels. Ten derde werden papieren processen geactiveerd voor huwelijksaangiften, overlijdensakten en subsidies; medewerkers kregen logistieke ondersteuning om formulieren fysiek veilig te bewaren en later digitaal vast te leggen.
Communicatie bleek minstens zo belangrijk als techniek. De website kreeg een duidelijke storingspagina met uitleg in begrijpelijke taal, verwijzingen naar alternatieve processen en updates op vaste tijden. Burgers konden via een speciaal telefoonnummer vragen stellen; het aantal klachten daalde substantieel nadat er openheid kwam. Lokale media kregen dagelijks een briefing, inclusief de bevestiging dat persoonsgegevens mogelijk waren ingezien maar dat er geen aanwijzingen waren voor misbruik op dat moment. Deze transparantie, hoe spannend ook, voorkwam speculatie en bood ruimte om te spreken over de structurele verbetermaatregelen die op stapel stonden.
Op dag vijf stopte de acute fase. Er was nog steeds sprake van beperkte dienstverlening, maar de gemeente beschikte weer over besluitvormingsoverleggen, een dagelijkse rapportage aan de bestuurlijke driehoek en een overzicht van prioriteiten. De eerste 72 uur hadden aangetoond dat techniek, governance en communicatie onlosmakelijk met elkaar verbonden zijn. Zonder geoefend crisisteam is zelfs de beste toolset onvoldoende, en zonder bestuurlijke rugdekking blijven technische teams aarzelen. De gemeente heeft deze inzichten inmiddels verwerkt in kwartaalbrede oefeningen waarbij zowel collegeleden als leveranciers deelnemen.
Recovery en Lessons Learned
Het volledige herstel vergde zestien dagen onafgebroken inzet van het eigen IT-team, externe specialisten en tijdelijke ondersteuning van buurgemeenten. De directe kosten kwamen uit op 890.000 euro voor forensisch onderzoek, hardwarevervanging, noodlicenties, juridisch advies en overuren. Indirecte schade door uitgestelde vergunningen, gemiste parkeergelden en reputatieverlies werd geschat op ruim 1,3 miljoen euro. Toch beschouwt de gemeenteraad het besluit om niet te betalen nog steeds als juist: de organisatie behield regie over het herstel en hoefde geen middelen over te maken naar criminelen.
Tijdens de post-incidentreview werden ruim twintig verbeterpunten benoemd. Het zwaartepunt lag op de back-uparchitectuur. Alle herstelpunten bleken schrijfbaar en bereikbaar met dezelfde domeinaccounts als productie. Inmiddels draait een nieuwe architectuur met immutable opslag in een aparte Azure-subscriptie, gescheiden beheerrollen, multifactor-authenticatie en retention van negentig dagen. Elke maand wordt een willekeurige applicatie daadwerkelijk uit back-up teruggezet in een geïsoleerd netwerk, zodat de gemeente zeker weet dat technische en organisatorische maatregelen blijven werken.
Detectie kreeg eveneens een grote impuls. De gemeente implementeerde Microsoft Defender for Endpoint, Defender for Identity en Defender for Cloud Apps en koppelde alle logs aan Microsoft Sentinel. In een gezamenlijke regeling met twee omliggende gemeenten werd een 24/7 SOC-contract afgesloten dat gebruikmaakt van MITRE ATT&CK use cases en automatische playbooks voor containment. Hierdoor is de dweltijd significant gedaald: verdachte processen of privilege-escalaties leiden nu binnen minuten tot een ticket én een belletje naar de piketfunctionaris. De investering lijkt fors, maar afgezet tegen de miljoenenstrop van het incident is de businesscase overtuigend.
Ook identity- en toegangsbeheer zijn volledig herzien. Alle beheerdersrollen zijn ondergebracht in Entra Privileged Identity Management met tijdsgebonden rechten en verplichte justification. Dienstaccounts hebben het absolute minimum aan toegangsrechten; wachtwoorden zijn langer, worden centraal bewaard in een kluis en worden elk kwartaal gerouleerd. Bovendien zijn phishing-resistente authenticatiemethoden ingevoerd voor iedereen met verhoogde rechten, waaronder FIDO2-sleutels voor beheerders van burgerzaken en financiën. Deze maatregelen sluiten direct aan op de eisen van de Nederlandse Baseline voor Veilige Cloud en de BIO-maatregelen ten aanzien van identiteitsbeheer.
Crisisorganisatie en communicatie kregen eveneens een upgrade. De gemeente heeft nu een integraal draaiboek waarin technische respons, juridische stappen, communicatie naar inwoners en de besluitvormingsstructuur zijn opgenomen. Elk kwartaal wordt een tabletopoefening uitgevoerd waarbij scenario’s worden geoefend zoals ransomware, insider threat en grootschalige SaaS-storing. De communicatieafdeling beschikt over vooraf goedgekeurde boodschappen voor verschillende situaties, inclusief instructies voor socialmediabeheer en een lijst van woordvoerders. Deze aanpak zorgt ervoor dat transparantie geen improvisatie meer is maar onderdeel van het gecontroleerde proces.
Een vaak onderschat aspect betrof de afhankelijkheden van leveranciers. Tijdens het incident bleek dat sommige on-premises applicaties onverwachte koppelingen hadden met verouderde servers, waardoor herstel steeds werd vertraagd. Inmiddels is er een actueel applicatielandschap met per keten inzicht in data, integraties, SLA’s en herstelprioriteiten. Nieuwe contracten bevatten nu verplichtingen rond beveiligingsaudits, logging, API-beveiliging en responstijden bij incidenten, zodat partners dezelfde lat hanteren als de gemeente zelf.
Tot slot is de menselijke factor grondig aangepakt. In plaats van jaarlijkse klassikale sessies krijgen medewerkers maandelijks korte microlearnings, gekoppeld aan realistische simulaties die variëren per doelgroep. Raadsleden en bestuurders ontvangen aparte briefings over hun rol tijdens incidenten. Nieuwe medewerkers tekenen bij indiensttreding voor het beveiligingsbeleid, begrijpen hoe zij incidenten melden en ondervinden hoe serieus de organisatie security neemt. De cultuur is verschoven van "IT lost het wel op" naar gedeelde verantwoordelijkheid. Twee jaar na het incident steeg de Microsoft Secure Score van 38 naar 82 procent, is er een vaste CISO die rechtstreeks aan de gemeentesecretaris rapporteert en zijn de regionale samenwerkingsverbanden uitgebreid met gezamenlijke inkoop van SOC-diensten en threat intelligence. Wat begon als een crisis, groeide uit tot een katalysator voor structurele vernieuwing binnen de gehele gemeentelijke kolom.
De ervaring van Gemeente X laat zien dat ransomware geen abstract risico is maar een concrete verstoring van dienstverlening, vertrouwen en continuiteit. Herstel is mogelijk, maar alleen tegen hoge kosten, langdurige druk en het risico op blijvende reputatieschade. De belangrijkste les is dat een moderne back-upstrategie, inclusief immutability, gescheiden beheer en bewezen herstelprocedures, het verschil maakt tussen wekenlange ontwrichting en een beheersbare storing. Net zo cruciaal is detectiesnelheid: hoe korter de dwell time, hoe kleiner de kans dat aanvallers back-ups wissen of data meenemen. Dat vraagt om geïntegreerde zichtbaarheid, automatische signalering en een SOC dat daadwerkelijk opvolgt.
Even belangrijk is het geoefend samenspel tussen techniek, bestuur en communicatie. Crisisteams moeten elkaar kennen, scenario’s doorleven en weten wie waarover beslist. Communicatie naar inwoners, toezichthouders en ketenpartners moet vooraf zijn voorbereid. Pas dan ontstaat ruimte om onder druk verstandige keuzes te maken, zoals het weigeren van losgeld en het versneld migreren van kritieke applicaties naar beheerste cloudomgevingen. Andere Nederlandse overheidsorganisaties hoeven niet te wachten op een incident om deze inzichten toe te passen. Door nu te investeren in de principes van de Nederlandse Baseline voor Veilige Cloud, kunnen zij veerkracht opbouwen en voorkomen dat een aanvaller de regie over dienstverlening overneemt.