Ransomware-aanvallen vormen een van de meest ontwrichtende dreigingen voor Nederlandse overheidsorganisaties. Bij een geslaagde aanval worden gegevens versleuteld, kritieke digitale diensten stilgelegd en wordt vaak onder dreiging van publicatie van gevoelige informatie losgeld geëist. Dit raakt direct de continuïteit van publieke dienstverlening: vergunningverlening, basisregistraties, uitkeringen, zorg- en veiligheidsketens en interne bedrijfsvoering kunnen dagen tot soms weken worden verstoord. Voor burgers betekent dit uitval van loketten en digitale voorzieningen; voor bestuurders en ambtelijke top vormt het een aantasting van vertrouwen in de digitale overheid.
De afgelopen jaren hebben internationale incidenten, zoals de langdurige uitval van gemeentelijke dienstverlening in Amerikaanse steden, maar ook verstoringen bij Europese en Nederlandse gemeenten, uitvoeringsorganisaties en onderwijsinstellingen, laten zien hoe kwetsbaar overheden in de praktijk zijn. Ransomware-groepen opereren professioneel, werken met partnerprogramma’s en maken gebruik van een crimineel ecosysteem met initial access brokers, geldwassers en gestructureerde onderhandelingsprocessen. De economische balans slaat in hun voordeel uit: met relatief beperkte inspanning kunnen zij hoge losgeldbedragen eisen, terwijl betaling vaak plaatsvindt via moeilijk te traceren cryptovaluta.
Daarnaast is ransomware geëvolueerd van “alleen versleutelen” naar meervoudige afpersing. Bij double extortion wordt eerst data buitgemaakt en vervolgens de omgeving versleuteld; de aanvaller dreigt daarna met publicatie van de gegevens als er niet wordt betaald. In geavanceerde varianten wordt daar nog een derde component aan toegevoegd, bijvoorbeeld gerichte DDoS-aanvallen op publieke portals om de druk verder op te voeren. Voor overheidsorganisaties betekent dit niet alleen operationele ontwrichting, maar ook potentiële meldplichten onder de AVG, forse boetes bij onvoldoende gegevensbescherming en aanzienlijke reputatieschade als gevoelige burger- of veiligheidsinformatie openbaar wordt.
Veel organisaties investeren terecht in preventieve maatregelen zoals antivirus, e-mailfilters en firewalls. In de praktijk blijkt echter dat uitsluitend inzetten op preventie onvoldoende is. Aanvallers gebruiken zero-day kwetsbaarheden, misbruiken legitieme beheerhulpmiddelen en verschuilen zich in reguliere beheerstromen en software-updates. Daardoor is het realistisch om uit te gaan van het scenario dat een aanvaller vroeg of laat ergens binnenkomt. Ransomware-veerkracht vraagt daarom om een integrale benadering: sterke preventie om de kans op succesvolle aanvallen te verlagen, goede detectie om verdachte activiteiten vroegtijdig te signaleren, doordachte containment-maatregelen om de verspreiding te beperken én robuuste herstelcapaciteiten om diensten gecontroleerd en zonder losgeldbetalingen te kunnen herstellen.
Dit artikel biedt een strategisch raamwerk voor ransomware-verdediging en herstel specifiek voor Nederlandse overheidsorganisaties. We behandelen hoe u het aanvalsoppervlak verkleint, verdachte activiteiten vroegtijdig herkent, backups zodanig inricht dat zij een betrouwbaar laatste redmiddel vormen en hoe u herstelproces en organisatie zodanig voorbereidt dat essentiële diensten zo snel mogelijk weer veilig in de lucht komen. Het doel is niet een illusie van volledige veiligheid te schetsen, maar een realistisch en uitvoerbaar kader te bieden waarmee CISO’s, bestuurders en operationele teams de impact van onvermijdelijke incidenten maximaal kunnen beperken.
Dit artikel is bedoeld voor CISO’s, informatieveiligheidsadviseurs, incidentresponsemanagers, business continuity planners en IT-operations teams binnen Nederlandse overheidsorganisaties. We combineren preventieve beveiligingsmaatregelen, detectie- en monitoringcapaciteiten, backup- en herstelstrategieën en governance-afspraken tot één samenhangend raamwerk voor ransomware-veerkracht.
Voor een geloofwaardige herstelstrategie is het cruciaal dat ransomware back‑ups niet kan versleutelen of verwijderen. Moderne aanvalsgroepen richten zich expliciet op back-ups, omdat organisaties met intacte, betrouwbare back‑ups vaak geen losgeld hoeven te betalen. Door gebruik te maken van onveranderlijke opslag (bijvoorbeeld WORM-opslag, immutable tiers in Azure Backup of fysiek of logisch ‘air-gapped’ offline back‑ups) blijft ten minste één herstelpad buiten bereik van de aanvaller. Onderzoeken laten zien dat organisaties met onveranderlijke back‑ups in de overgrote meerderheid van de gevallen zelfstandig kunnen herstellen, terwijl organisaties met reguliere, wijzigbare back‑ups vaak ontdekken dat hun herstelpunten eveneens gecompromitteerd zijn.
Preventie en vroege detectie: aanvalsoppervlak verkleinen en afwijkingen herkennen
Strategische aanvalsoppervlak reductie als fundament voor ransomware verdediging
Een solide verdediging tegen ransomware begint met het systematisch verkleinen van het aanvalsoppervlak. Hoe minder toegangspunten een aanvaller heeft, hoe groter de kans dat een aanval vroegtijdig strandt voordat deze substantiële schade kan aanrichten. Voor Nederlandse overheidsorganisaties betekent dit een multi-lagige aanpak waarbij het consequent toepassen van beveiligingsupdates, het uitfaseren van verouderde systemen, het beperken van externe toegang en het minimaliseren van het aantal accounts met uitgebreide rechten centraal staan. Deze fundamentele maatregelen vormen de basis van een effectieve verdedigingsstrategie omdat veel succesvolle ransomware-incidenten beginnen met het misbruiken van al lang bekende kwetsbaarheden in publiek toegankelijke systemen die eenvoudig hadden kunnen worden verholpen door tijdige patching.
E-mail blijft in de praktijk een van de belangrijkste toegangsroutes voor ransomware binnen overheidsorganisaties. Gerichte phishingcampagnes combineren overtuigende, vaak persoonlijk gemaakte teksten met kwaadaardige bijlagen of links naar besmette websites die malware downloaden wanneer gebruikers erop klikken. Deze campagnes worden steeds geavanceerder en maken gebruik van social engineering technieken om medewerkers te misleiden. Daarom is een combinatie van technische maatregelen en structurele bewustwording essentieel. Geavanceerde e-mailbeveiliging analyseert bijlagen in een veilige sandbox-omgeving voordat deze aan gebruikers worden bezorgd, controleert koppelingen in real-time op kwaadaardig gedrag door deze eerst te volgen en te scannen, beoordeelt de afzender op basis van sender reputation en pas authenticatiestandaarden toe zoals SPF, DKIM en DMARC om e-mail spoofing tegen te gaan. Tegelijkertijd is structurele training van medewerkers onmisbaar, zodat zij verdachte berichten kunnen herkennen aan hand van specifieke indicatoren zoals ongebruikelijke afzenders, urgente taal of onverwachte verzoeken, deze kunnen melden via beveiligde kanalen, en niet uit angst of tijdsdruk toch op een verdachte link klikken of een macro inschakelen die malware kan activeren.
Ook endpoints verdienen specifieke aandacht in de strijd tegen ransomware. Moderne endpointbeveiliging gaat ver voorbij traditionele virusscanners die alleen bekende malware detecteren en kijkt naar gedragspatronen die wijzen op kwaadaardige activiteit: plotselinge massale bestandswijzigingen die suggereren dat versleuteling plaatsvindt, het ongebruikelijk starten van versleutelingsprocessen door gebruikersaccounts die normaal gesproken geen dergelijke activiteiten uitvoeren, pogingen om herstelpunten en shadow copies te verwijderen om back-ups te saboteren, of beheerhulpmiddelen zoals PowerShell of WMI op ongebruikelijke wijze aan te roepen om zichzelf uit te breiden. Oplossingen zoals Microsoft Defender for Endpoint kunnen dergelijke verdachte patronen signaleren door gebruik te maken van machine learning en gedragsanalyse, en automatisch ingrijpen door kwaadaardige processen te blokkeren, geïnfecteerde systemen te isoleren van het netwerk, en security teams te waarschuwen voor verdere analyse. In combinatie met application control regels die het uitvoeren van scripts, ongecodeerde macro's in Office-documenten en onbekende of ongetekende software beperken, wordt het aanvallers aanzienlijk moeilijker gemaakt om na een eerste voet aan de grond door te breken naar kritieke systemen en om ransomware op grote schaal te verspreiden.
Beheer van privileges vormt een tweede cruciale verdedigingslijn die voorkomt dat ransomware zich ongehinderd door de omgeving kan bewegen. Ransomware die start op een regulier werkstation met beperkte rechten kan pas echt grote schade aanrichten wanneer zij beheerrechten weet te verkrijgen en te misbruiken. Just-in-time privilege access management zorgt ervoor dat beheerrechten alleen worden toegekend wanneer dit daadwerkelijk nodig is voor een specifieke taak en automatisch worden ingetrokken zodra de taak is voltooid, waardoor het tijdvenster waarin rechten kunnen worden misbruikt minimaal blijft. Just-enough administration beperkt privileges verder door alleen de minimaal noodzakelijke rechten toe te kennen voor een specifieke activiteit, in plaats van volledige administratorrechten. Gescheiden beheeraccounts die uitsluitend worden gebruikt voor beheeractiviteiten en nooit voor dagelijkse werkzaamheden zoals e-mail of web browsing, verminderen de kans dat phishing-aanvallen direct beheeraccounts compromitteren. Streng afgeschermde beheerwerkplekken, ook wel privileged access workstations genoemd, zijn speciale systemen met extra beveiligingscontroles die uitsluitend worden gebruikt voor beheeractiviteiten en geen toegang hebben tot onbetrouwbare websites of e-mail. Multifactor-authenticatie voor alle beheeractiviteiten voegt een extra verificatielaag toe die voorkomt dat gestolen wachtwoorden kunnen worden gebruikt voor ongeautoriseerde toegang. Organisaties waarin veel medewerkers standaard lokale beheerrechten hebben op hun werkstations, beheerwachtwoorden worden hergebruikt tussen verschillende systemen, of vanuit beheeraccounts vrij op internet kan worden gebladerd en e-mail kan worden geopend, creëren onbedoeld een ideale voedingsbodem voor grootschalige verspreiding van ransomware die na een eerste infectie snel kan escaleren tot een organisatiebrede crisis.
Toch zullen aanvallers ondanks deze preventieve maatregelen soms vroeg of laat een manier vinden om binnen te komen, bijvoorbeeld door gebruik te maken van zero-day kwetsbaarheden, door misbruik te maken van legitieme beheerhulpmiddelen, of door zich te verschuilen in reguliere beheerstromen en software-updates. Daarom is het essentieel om afwijkend gedrag zo vroeg mogelijk te herkennen, nog voordat de versleuteling op grote schaal plaatsvindt en kritieke systemen worden gecompromitteerd. Dit vraagt om uitgebreide logging van alle relevante gebeurtenissen, centrale correlatie van deze loggegevens, en gerichte detectieregels in bijvoorbeeld een Security Information and Event Management (SIEM) oplossing zoals Microsoft Sentinel. Denk aan geavanceerde use-cases die detecteren wanneer er opvallende aanmeldpatronen optreden zoals inlogpogingen buiten normale werkuren, onverwachte toegang tot gedeelde schijven met gevoelige gegevens door accounts die normaal geen toegang hebben, het ineens benaderen van veel verschillende systemen door één account binnen korte tijd wat suggereert dat een account is gecompromitteerd, of het verzamelen van grote hoeveelheden bestanden in voorbereidingsmappen wat kan wijzen op voorbereiding voor versleuteling of exfiltratie. Door deze verschillende signalen intelligent te combineren en te verrijken met contextuele informatie zoals geografische locatie van de activiteit, tijdstip in relatie tot normale werkpatronen, en gevoeligheid van de betrokken systemen, ontstaat een veel completer beeld van potentiële bedreigingen waar security analisten gericht en effectief op kunnen acteren voordat schade wordt aangericht.
Een relatief eenvoudige maar uiterst effectieve maatregel die vaak over het hoofd wordt gezien is het strategisch gebruik van zogenoemde 'canary files' en honeypot tokens. Dit zijn bewust geplaatste, ogenschijnlijk interessante bestanden zoals documenten met namen als 'wachtwoorden.txt' of 'salarisgegevens.xlsx', of referenties naar systemen en accounts die in normale bedrijfsvoering nooit worden benaderd maar wel aantrekkelijk zijn voor aanvallers. Zodra een aanvaller of schadelijke software probeert toegang te krijgen tot deze valse bestanden of systemen, wordt automatisch een prioritaire melding gegenereerd bij het security operations center. Door dergelijke canaries en honeypots op strategische plekken te plaatsen – bijvoorbeeld in gedeelde mappen waar gevoelige documenten normaal zouden staan, nabij back-upomgevingen waar aanvallers vaak proberen back-ups te saboteren, in mappen met gevoelige gegevens, of als valse service accounts in Active Directory – krijgt de organisatie een vroegtijdig waarschuwingssignaal dat iemand zich ongeoorloofd door de omgeving beweegt, vaak nog voordat de werkelijke aanval op kritieke systemen begint. In combinatie met duidelijke procedures voor snelle incident respons die beschrijven wie moet worden gewaarschuwd, welke containment maatregelen moeten worden genomen, en hoe verdere escalatie plaatsvindt, kan zo proactief worden ingegrepen voordat ransomware daadwerkelijk essentiële gegevens versleutelt en kritieke diensten verstoort.
Herstelorchestratie: gecontroleerde dienstherstel en validatie
Gestructureerde herstelstrategie voor gecontroleerde dienstherstel na ransomware-aanvallen
Wanneer een ransomware-incident daadwerkelijk heeft geleid tot versleuteling van systemen of grootschalige verstoring van digitale diensten, verschuift de aandacht direct naar gecontroleerd herstel. Voor Nederlandse overheidsorganisaties kan dit gaan om tientallen tot honderden systemen, databases en applicaties, vaak met complexe onderlinge afhankelijkheden waarbij het falen van één systeem cascade-effecten kan hebben op andere kritieke processen. Zonder grondige voorbereiding ontstaat al snel chaos waarbij verschillende afdelingen om voorrang roepen voor hun systemen, technische teams onder druk ad-hoc keuzes maken zonder volledig zicht op de gevolgen, en bestuurders snel zicht verwachten op de impact en de route naar normalisatie van dienstverlening. Herstelorchestratie betekent dat het volledige herstelproces vooraf doordacht is in een uitgebreid disaster recovery plan, gedocumenteerd is in heldere procedures die beschrijven wie welke verantwoordelijkheden heeft, en regelmatig is geoefend in realistic scenario's, zodat onder hoge druk en in stressvolle omstandigheden gestructureerd en gecontroleerd kan worden gewerkt zonder dat cruciale stappen worden overgeslagen of verkeerde beslissingen worden genomen die de situatie kunnen verergeren.
Een belangrijk uitgangspunt voor effectief herstel is het werken met duidelijk gedefinieerde herstelniveaus die bepalen welke systemen als eerste moeten worden hersteld. Op het hoogste prioriteitsniveau staan diensten die direct essentieel zijn voor de veiligheid van burgers, de continuïteit van de rechtsstaat, of vitale maatschappelijke processen die geen langere uitval kunnen tolereren zonder ernstige gevolgen voor de samenleving. Voorbeelden hiervan zijn meldkamersystemen voor hulpdiensten die moeten kunnen reageren op noodsituaties, crisiscommunicatie systemen die burgers moeten kunnen informeren tijdens rampen of noodsituaties, of bepaalde ketenkoppelingen met andere overheden die noodzakelijk zijn voor grensoverschrijdende dienstverlening. Daaronder vallen kernprocessen die weliswaar tijdelijk kunnen worden opgevangen met handmatige noodprocedures of tijdelijke workarounds, maar binnen beperkte tijd weer digitaal beschikbaar moeten zijn om achterstanden te voorkomen, fouten door handmatige verwerking te vermijden, en de normale kwaliteit van dienstverlening te herstellen. Voorbeelden zijn vergunningverlening waarbij burgers tijdelijk kunnen worden geholpen via telefoon maar waar digitale systemen nodig zijn voor complexe aanvragen, sociale regelingen waar tijdelijk handmatige uitkeringen mogelijk zijn maar waar digitale systemen nodig zijn voor berekeningen en controle, of interne financiële processen zoals salarisbetalingen. Pas daarna volgen ondersteunende systemen zoals interne portals, documentmanagementsystemen, of administratieve systemen die langere uitval kunnen verdragen zonder directe impact op externe dienstverlening. Door deze prioritering vooraf in nauw overleg met lijnverantwoordelijken, ketenpartners en bestuurders vast te leggen in een business impact analysis, kunnen schaarse herstelcapaciteit en eventueel ingehuurde externe specialisten gericht en efficiënt worden ingezet waar ze het hardst nodig zijn, in plaats van dat tijd wordt verspild aan minder kritieke systemen terwijl essentiële diensten uitblijven.
Minstens zo belangrijk als prioritering is het kritisch bepalen welke back-ups betrouwbaar genoeg zijn om als uitgangspunt voor herstel te dienen zonder dat herhaalde versleuteling of verdere compromittering plaatsvindt. Ransomware zit vaak al weken of zelfs maanden in een omgeving voordat de versleuteling wordt geactiveerd, waardoor de aanvaller tijd heeft gehad om back-ups te saboteren, referenties te stelen, of persistente toegang in te bouwen. Daardoor is het zeker niet vanzelfsprekend dat de meest recente back-up automatisch als schoon kan worden beschouwd, zelfs als deze technisch gezien correct lijkt te zijn. Organisaties doen er verstandig aan om back-ups over een langere periode te bewaren – minimaal 30 dagen maar bij voorkeur 90 dagen of langer – en in hun disaster recovery plan op te nemen hoe zij, samen met forensische specialisten en incident response experts, de vermoedelijke tijdlijn van de aanval reconstrueren door analyse van logbestanden, netwerkactiviteit, en wijzigingen aan systemen. Op basis van deze forensische analyse kan worden vastgesteld wanneer de aanvaller waarschijnlijk voor het eerst toegang kreeg, welke systemen werden gecompromitteerd, en welke back-upmomenten met voldoende zekerheid als 'laatst bekende schone toestand' kunnen worden beschouwd die veilig kunnen worden gebruikt voor herstel zonder dat deze al zijn geïnfecteerd of gecompromitteerd. Deze analyse is tijdrovend maar absoluut essentieel omdat het herstellen vanaf een gecompromitteerde back-up betekent dat de aanval opnieuw kan beginnen zodra systemen weer online komen, wat resulteert in verloren tijd, verspilde middelen, en mogelijk nog grotere schade.
Herstel zou idealiter niet rechtstreeks plaatsvinden in de productieomgeving omdat dit te veel risico's met zich meebrengt. Door gebruik te maken van een geïsoleerde herstelomgeving die volledig is afgescheiden van het productienetwerk kunnen systemen eerst veilig worden teruggezet vanaf back-ups, grondig worden gescand op malware met behulp van meerdere antivirus engines en gedragsanalyse tools, en waar nodig direct worden gehard volgens aangescherpte beveiligingsrichtlijnen die zijn afgeleid van lessen uit het incident. Pas na deze uitgebreide verificatie en hardening worden systemen stapsgewijs, en bij voorkeur per logisch cluster of business proces, weer verbonden met het reguliere netwerk, waarbij elke stap zorgvuldig wordt gemonitord voordat de volgende stap wordt gezet. Hierbij is intensieve monitoring gedurende weken na herstel essentieel: ongebruikelijke netwerkcommunicatie naar onbekende bestemmingen, opnieuw opduikende indicatoren van compromis zoals verdachte authenticatiepogingen of ongeautoriseerde toegang, of verdacht gedrag van accounts zoals het uitvoeren van ongebruikelijke commando's, kunnen erop wijzen dat de aanvaller nog ergens aanwezig is in de omgeving of dat er nieuwe toegangspunten zijn gecreëerd. In dat geval moet het herstelproces direct worden gestopt en aangepast om verdere verspreiding te voorkomen, waarbij mogelijk een herstart van het forensische onderzoek nodig is om te bepalen hoe de aanvaller opnieuw toegang heeft gekregen en waar nog verborgen toegangspunten of backdoors aanwezig kunnen zijn.
Na de acute herstelfase waarbij systemen weer operationeel zijn gemaakt, volgt een kritieke periode van structurele versterking die ervoor zorgt dat de organisatie niet opnieuw slachtoffer wordt van een vergelijkbare aanval. Alle wachtwoorden van beheer- en dienstaccounts worden gewijzigd, zelfs als er geen bewijs is dat deze zijn gecompromitteerd, omdat dit een best practice is en omdat het onmogelijk is met absolute zekerheid te bepalen welke referenties zijn gestolen. Toegangsrechten worden grondig geaudit en opgeschoond door te identificeren welke accounts daadwerkelijk nog actief zijn, welke rechten nog nodig zijn voor legitieme werkzaamheden, en welke rechten kunnen worden ingetrokken zonder impact op functionaliteit. Kwetsbaarheden die in het incident een rol speelden, zoals ongepatched software, verkeerde configuraties, of zwakke authenticatie, worden onmiddellijk verholpen om te voorkomen dat dezelfde aanvalsroute opnieuw kan worden gebruikt. Logging en monitoring worden uitgebreid door extra logbronnen in te schakelen, detectieregels aan te scherpen op basis van geleerde patronen uit het incident, en alerting te verbeteren zodat toekomstige bedreigingen sneller worden opgemerkt. Ook de backup-inrichting zelf verdient kritische aandacht: zijn herstelprocedures daadwerkelijk uitvoerbaar binnen de tijd die het bestuur acceptabel vindt voor herstel van kritieke diensten, zijn er voldoende onveranderlijke herstelpunten beschikbaar die niet kunnen worden versleuteld of verwijderd door ransomware, en zijn de betrokken teams voldoende getraind in hun specifieke rollen tijdens een incident zodat zij weten wat van hen wordt verwacht zonder dat dit ad-hoc hoeft te worden uitgevogeld? Tot slot is een grondige post-incident evaluatie onmisbaar die niet alleen kijkt naar wat technisch misging, maar ook naar organisatorische en procesmatige aspecten. Door systematisch vast te leggen hoe de aanval kon slagen ondanks bestaande maatregelen, welke waarschuwingssignalen mogelijk zijn gemist of niet correct zijn geïnterpreteerd, welke maatregelen effectief waren in het beperken van de schade, en waar knelpunten zaten in besluitvorming, communicatie tussen teams, of coördinatie met externe partijen, ontstaat een concreet verbeterplan met actiepunten die de organisatie daadwerkelijk veerkrachtiger maken tegen toekomstige aanvallen. Zonder deze kritische reflectie en follow-up blijft herstel een eenmalige technische oefening die mogelijk tijdelijk succes oplevert, maar de organisatie niet structureel versterkt, waardoor de kans groot blijft dat een volgende aanval opnieuw grote schade kan aanrichten omdat de onderliggende kwetsbaarheden en procesmatige tekortkomingen niet zijn aangepakt.
Voor Nederlandse overheidsorganisaties is ransomware geen theoretisch risico, maar een concrete en terugkerende dreiging met potentieel grote gevolgen voor de maatschappij. Een toekomstbestendige aanpak vraagt om meer dan een verzameling losse maatregelen: het vergt een samenhangend raamwerk waarin preventie, detectie, respons en herstel elkaar versterken. Door het aanvalsoppervlak te verkleinen, beheerrechten strikt te reguleren, medewerkers weerbaar te maken tegen phishing en moderne endpoint- en e-mailbeveiliging in te zetten, wordt de kans op een succesvolle aanval aanzienlijk verkleind. Tegelijk moeten organisaties accepteren dat geen enkele verdedigingslijn waterdicht is, en dus investeren in vroege signalering van verdachte activiteiten en duidelijke procedures voor snelle containment.
Minstens zo belangrijk is een professionele herstelstrategie. Zonder betrouwbare, goed beschermde en periodiek geteste back-ups blijft er in feite geen alternatief over dan betalen of langdurige uitval accepteren. Door onveranderlijke back-ups, heldere prioriteiten voor welke diensten als eerste terug moeten en een gecontroleerd herstelproces te combineren, ontstaat een realistisch perspectief op herstel zonder losgeldbetalingen. Dit vergt voorbereiding in vredestijd: het in kaart brengen van ketenafhankelijkheden, het formaliseren van besluitvormingsroutes en het oefenen van scenario’s met zowel bestuur als operationele teams.
Ransomware-veerkracht is daarmee niet alleen een technisch vraagstuk, maar ook een organisatorische en bestuurlijke opgave. CISO’s, CIO’s, lijnmanagers en ketenpartners moeten gezamenlijk bepalen welk risiconiveau acceptabel is en welke investeringen nodig zijn om dat niveau te bereiken. Organisaties die nu investeren in geïntegreerde preventie-, detectie- en herstelcapaciteiten, verkorten niet alleen de hersteltijd bij incidenten, maar laten ook zien dat zij hun verantwoordelijkheid voor digitale publieke dienstverlening serieus nemen. Zij bouwen aan een overheid die, zelfs wanneer een aanval slaagt, in staat is essentiële diensten veilig en voorspelbaar te blijven leveren.