Vrijdagmiddag om 15.30 uur ontving het Nationaal Cyber Security Centrum (NCSC) een dringend beveiligingsadvies: in een populair enterprise-documentmanagementsysteem dat bij talloze Nederlandse overheidsorganisaties draait, was een kritieke remote code execution-kwetsbaarheid ontdekt. Het ging om een zero-day zonder beschikbare patch, met actieve exploitatiepogingen wereldwijd en een CVSS-score van 9,8 waardoor anonieme aanvallers willekeurige code konden uitvoeren. De eerste impactanalyse wees uit dat meer dan 180 ministeries, provincies en gemeenten het product gebruiken, met circa 2.400 kwetsbare servers, internettoegankelijke portalen en vertrouwelijke documenten binnen het bereik van aanvallers. Ondanks het naderende weekend startte direct een volledige crisisrespons om het exploitrisico in te dammen. Deze casestudy beschrijft de 72 uur durende noodoperatie en de lessen voor Nederlandse overheidsorganisaties rond zero-day-paraatheid, interorganisationele samenwerking, risicogestuurde prioritering, tijdelijke mitigerende maatregelen en crisiscommunicatie.
Vrijdag 15.30 u: advies ontvangen. Vrijdag 16.00-20.00 u: eerste exposure-analyse, crisisteam geactiveerd, ministeries geïnformeerd. Vrijdag 20.00-24.00 u: inventarisatie internetgerichte systemen en voorbereiding mitigerende maatregelen. Zaterdag 00.00-12.00 u: uitrol compensatiemaatregelen op risicovolste systemen en communicatie naar alle organisaties. Zaterdag 12.00-24.00 u: leverancier levert noodpatch, testen en uitrolplanning gestart. Zondag 00.00-18.00 u: patchgolf 1 voor internetgerichte kritieke systemen met intensieve monitoring. Maandag: patchgolf 2 voor interne kritieke systemen en terugkeer naar reguliere operatie met verscherpt toezicht.
Een actuele assetinventaris bleek doorslaggevend voor snelle blootstellingsanalyses. Organisaties met een actueel CMDB-overzicht identificeerden kwetsbare systemen binnen 2 tot 4 uur en konden onmiddellijk noodmaatregelen inzetten. Zonder inventaris duurde handmatige ontdekking 24 tot 48 uur, wat het aanvalsvenster gevaarlijk verlengde; één ministerie vond zelfs pas via noodscans een onbekende internetgerichte installatie. Sinds het incident zijn kwartaalcontroles, geautomatiseerde discovery-tools en versiebeheer in het CMDB verplicht gesteld. Investeren in assetmanagement betaalt zich uit zodra een zero-day zich aandient.
Initial Response: Eerste 8 Uur Crisis Activatie
Activering crisisteam en communicatie met stakeholders
De ontvangst van het NCSC-advies activeerde direct het crisisprotocol. Het Vulnerability Response Team analyseerde de leveranciersinformatie om de kwetsbaarheid en exploitvereisten te begrijpen, vergeleek deze met dreigingsinformatie die actieve aanvallen bevestigde en haalde extra inlichtingen op bij internationale partners zoals CISA en CERT-EU. De conclusie: een kritieke dreiging voor overheidssystemen die onmiddellijke samenwerking over organisaties heen vereiste, zelfs buiten kantooruren.
Binnen dertig minuten stond het crisisteam: de incidentcoördinator nam de leiding, technische specialisten verdiepten zich in exploit-details, communicatiespecialisten schreven meldingen en het coördinatieteam zocht direct contact met getroffen ministeries en uitvoeringsorganisaties. Om 17.00 uur ging via beveiligde kanalen de eerste waarschuwing uit met uitleg over ernst en impact, het verzoek om direct een blootstellingsanalyse te doen, voorlopige aanwijzingen (zoals het isoleren van internetgerichte systemen) en de aankondiging van een gezamenlijke call om 19.00 uur. Alle Rijksoverheidsministeries, provinciale organisaties, grote gemeenten en vitale aanbieders ontvingen de boodschap, die urgent maar feitelijk was om onnodige paniek te voorkomen.
Blootstellingsanalyse: kwetsbare systemen identificeren
In parallel voerden de organisaties eigen analyses uit om de omvang vast te stellen. Waar een actuele Configuration Management Database beschikbaar was, gaf een query binnen enkele uren inzicht in alle installaties. Geautomatiseerde scanners detecteerden productversies via het netwerk en vulden de resultaten aan. Zonder inventaris moesten teams handmatig inventariseren, versienummers controleren of configuraties nalopen om te bepalen of een installatie kwetsbaar was. Tijdens de zoektocht kwamen ook schaduw-IT-installaties bovendrijven die eerder niet bekend waren bij centrale IT.
Rond middernacht waren de resultaten verzameld: 2.400 bevestigde kwetsbare installaties bij meer dan 180 organisaties, waarvan circa 180 direct via internet bereikbaar waren en dus de hoogste prioriteit kregen. De overige 2.220 draaiden intern maar bleven gevoelig voor insiderdreiging of laterale beweging. Daarnaast kwamen 15 onbekende installaties aan het licht, wat het belang van volledige inventarisaties onderstreepte. De systemen werden ingedeeld in risicoklassen: Tier 1 (internetgerichte diensten en vertrouwelijke dossiers) vroeg onmiddellijke mitigerende maatregelen en patching, Tier 2 (interne maar kritieke systemen) moest binnen 24 uur worden aangepakt, Tier 3 binnen 48-72 uur en Tier 4 (ontwikkel- en testomgevingen) tijdens reguliere onderhoudsvensters.
Compensating Controls en Emergency Patching
Compensatiemaatregelen: bescherming vóór de patch
Omdat een officiële patch ontbrak, werden tijdelijke maatregelen uitgerold om kwetsbare systemen te beschermen. Opties waren volledige netwerkisolatie (effectief maar verstorend voor burgerservices), Web Application Firewall-regels die exploitpogingen filteren, virtuele patching via IPS-signaturen en toegangsbeperkingen tot vertrouwde IP-adressen. Zaterdag om 04.00 uur kwam aanvullende leveranciersrichtlijn beschikbaar met verdachte URL-patronen, configuratiewijzigingen en voorbeeldregels voor WAF/IPS.
Tussen 06.00 en 12.00 uur kregen alle Tier 1-systemen prioriteit. Waar mogelijk werden WAF-regels uitgerold zodat diensten online konden blijven, werden netwerktoegangen tijdelijk beperkt, extra logging en detectie aangezet en 24/7 SOC-bemensing geregeld om alarmsnel te onderzoeken. Uitdagingen waren het ontbreken van WAF-capaciteit bij enkele organisaties, complexe configuraties van gedistribueerde systemen en beperkte testmogelijkheden door de tijdsdruk. Toch was na 12 uur 95% van de hoogste risicosystemen voorzien van een effectieve mitigatie en bleef dienstverlening beschikbaar zonder bevestigde compromitteringen.
Noodpatching: versnelde uitrol
Zaterdag om 12.30 uur leverde de leverancier een noodpatch. Het NCSC reconstrueerde productieopstellingen in een testomgeving, controleerde functionaliteit, compatibiliteit met andere componenten en de daadwerkelijke beveiligingsfix. Rond 18.00 uur kwam het advies: implementeren met aandacht voor enkele specifieke configuratie-issues en back-outprocedures.
Vanaf 20.00 uur startte een gefaseerde uitrol. Patchgolf 1 (zaterdagavond tot zondagochtend) pakte alle internetgerichte kritieke systemen aan. Patchgolf 2 (zondag overdag) richtte zich op interne high-value systemen. Patchgolf 3 (maandag) behandelde de resterende Tier 3-systemen, gevolgd door patchgolf 4 (dinsdag-woensdag) voor lagere prioriteiten en testomgevingen. Waar mogelijk verliep distributie via WSUS en configuratiemanagement; elders was handmatige installatie nodig. Elke golf werd gevolgd door monitoring om problemen vroeg te signaleren en een landelijk supportteam hielp bij obstakels. Resultaat: 85% van de Tier 1-systemen was binnen 18 uur na disclosure gepatcht, 95% van alle Tier 1-2-systemen binnen 48 uur en volledige dekking binnen 96 uur, zonder gedetecteerde succesvolle exploits.
Deze casestudy laat zien dat de Nederlandse Rijksoverheid in staat is een kritieke zero-day-kwetsbaarheid te beheersen via een snel en gecoördineerd crisisproces. Succesfactoren waren bestaande overlegstructuren en de NCSC-coördinatie, inzicht in assets (hoe onvolledig ook), technische expertise voor analyse en mitigatie, een hechte leveranciersrelatie voor versnelde patchontwikkeling en risicogestuurde prioritering van schaarse middelen. De belangrijkste lessen: investeer in continue discovery zodat inventarissen actueel blijven, bouw vooraf uitgewerkte compensatieplaybooks, borg eenduidige escalatie- en communicatieprocessen, zorg dat alle systemen via geautomatiseerde patching beheerd kunnen worden en integreer business continuity zodat isolatiemaatregelen snel genomen worden. Sinds het incident zijn kwartaal-oefeningen, uitgebreidere WAF/IPS-dekking, snellere patchtestprocessen en verbeterde leveranciersafspraken ingevoerd. Zero-days blijven onvermijdelijk; de mate van voorbereiding bepaalt of ze beheersbaar blijven of uitlopen op een crisis. Deze respons bewijst dat gecoördineerd samenwerken, snel besluiten en leren van incidenten het verschil maken.