Als je bedrijf morgenochtend gegijzeld is — betaal je?

350.000 bedrijven. Eén IT‑dienstverlener. Eén klik. En dan staat er een getal op je scherm: $5.000.000. Wat doe je? De antwoorden die je nú geeft, bepalen straks je overlevingskansen.

Het is een donderdagochtend in december. Bij honderden accountantskantoren, medische laboratoria en advocatenfirma’s door heel Frankrijk komen medewerkers het kantoor in — en niets werkt. Servers zijn vergrendeld. Dossiers onbereikbaar. Salarissen kunnen niet worden verwerkt.

De oorzaak ligt niet bij henzelf. Hun IT‑dienstverlener Coaxis is in de nacht van 7 december 2023 volledig platgelegd door een ransomware‑aanval. En omdat Coaxis de volledige IT‑infrastructuur van zijn klanten beheert, liggen op dat moment ook 350.000 organisaties stil.

Dat is de keerzijde van uitbesteding die zelden in een contract staat: als je dienstverlener valt, val je mee. De aanvaller was Lockbit, op dat moment de meest productieve ransomwaregroep ter wereld. De eis: vijf miljoen dollar.

Dit is geen hypothetisch scenario. Dit is de realiteit van 2024 en 2025. En de vraag die je je als bestuurder moet stellen, is niet of dit jou kan overkomen — maar wat je doet op het moment dat het wél gebeurt.

De verkeerde vraag

Organisaties stellen zichzelf na een ransomware‑aanval vrijwel altijd dezelfde vraag: betalen we, of niet? Dat is begrijpelijk. Maar het is de verkeerde vraag op het verkeerde moment.

De juiste vragen had je maanden eerder moeten stellen. Hoe lang kun je overleven zonder toegang tot je systemen? Wie neemt welke beslissing, en op basis van welke informatie? Heb je offline back‑ups die de aanvaller niet kon bereiken? En wat communiceer je naar je klanten in de eerste 24 uur?

Coaxis koos er uiteindelijk voor niet te betalen. Niet uit ideologische overtuiging, maar op basis van een nuchter oordeel: betalen vergroot de kans dat je opnieuw doelwit wordt, financiert criminele infrastructuur en biedt geen garantie op volledig herstel van je bedrijfsprocessen. In plaats daarvan bouwde Coaxis zijn volledige IT‑omgeving binnen één maand opnieuw op — mede dankzij offline back‑ups die buiten bereik van de aanvallers waren gebleven.

Absolute preventie bestaat niet. Wat telt, is hoeveel schade je kunt absorberen — en hoe snel je daarna weer overeind komt.

Betalen of herbouwen: wat de cijfers je niet vertellen

Wie betaalt, koopt tijd. Niet meer dan dat. Betaling aan gesanctioneerde groepen maakt je in steeds meer jurisdicties juridisch kwetsbaar. Lockbit hanteerde bovendien een tactiek die bekendstaat als double extortion: naast versleuteling dreigden zij ook gestolen data publiek te maken.

In het geval van Coaxis bleek die dreiging uiteindelijk een bluf — er was helemaal geen data buitgemaakt. Maar dat wist je pas achteraf, weken later, nadat rechercheurs de systemen van Lockbit hadden geïnfiltreerd.

Ondertussen hadden de klanten van Coaxis geen boodschap aan die nuance. Salarissen werden niet uitbetaald. Patiëntendossiers waren onbereikbaar. Medewerkers die zelf niets hadden misdaan, belden wanhopig naar hun werkgever — die op zijn beurt niets kon doen, omdat de IT‑partner platlag. Sommigen werden bedreigd.

De menselijke tol van één aanval op één schakel in de keten sijpelde zo door naar honderdduizenden mensen.

Afweging bij een ransomware-incident

Het gesprek dat je met je klanten moet voeren

Voor IT‑dienstverleners en andere organisaties met een breed klantenportfolio is dit vaak het moeilijkste onderdeel. Coaxis was niet alleen zelf slachtoffer, maar droeg ook de verantwoordelijkheid voor de continuïteit van duizenden andere bedrijven. Op het moment dat Coaxis werd geraakt, kwam de hele keten onder druk te staan.

De casus laat zien dat open communicatie geen PR‑keuze is, maar een operationele noodzaak. Klanten die begrijpen wat er speelt, kunnen zelf aanvullende maatregelen nemen. Klanten die niets horen, vullen het ontstane vacuüm met geruchten en paniek — en haken af zodra ze die mogelijkheid krijgen.

De boodschap hoeft niet volledig te zijn op dag één. Maar ze moet wel eerlijk zijn. We zijn getroffen. Dit is wat we weten. Dit is wat we doen. Dit is wanneer we je opnieuw informeren. Vier zinnen die vertrouwen bewaren, terwijl alles onder druk staat.

De menselijke factor — en waarom technologie alleen niet helpt

De aanval op Coaxis begon niet met een geavanceerde zero‑day. Hij begon met een phishingmail. Een medewerker van een van de klanten klikte op een link, vulde zijn inloggegevens in op een vervalste website en gaf de aanvallers daarmee de sleutel tot het hele netwerk. Wachtwoord: waarschijnlijk de naam van een kind, met een cijfer en een uitroepteken. Lockbit was binnen.

Dit is de paradox van moderne cybersecurity: de meest geavanceerde aanvalsgroepen ter wereld maken vooral misbruik van menselijke gewoonten. Haast. Vertrouwen. Voorspelbaarheid. Geen enkele firewall beschermt daartegen zonder de juiste bewustwordingscultuur. En geen enkele IT‑dienstverlener kan zijn klanten volledig beschermen als die klanten zelf de deur openzetten.

Don’t Go to the Police: de aanval op Coaxis, van binnen

Orange Cyberdefense was betrokken bij het onderzoek naar Lockbit. In de documentaire Don’t Go to the Police wordt de aanval op Coaxis van binnenuit gereconstrueerd — van de eerste tekenen van onraad vroeg in de ochtend van 7 december tot de internationale politieoperatie die het netwerk van Lockbit uiteindelijk ontmantelde.

Je ziet hoe één phishingmail escaleerde tot een crisis die 350.000 bedrijven trof, hoe de beslissing om niet te betalen er van binnenuit uitzag, en hoe een undercoveragent een technisch sollicitatiegesprek doorstond bij Lockbit zelf.

Dit is cybersecurity zonder het glossy laagje — en precies daarom verplichte kijkstof voor iedereen die verantwoordelijkheid draagt voor een organisatie.