Select your country

Belgium

China

Denmark

France

Germany

Maghreb & West Africa

Netherlands

Norway

South Africa

Spain

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Zoeken

  1. Netherlands
  2. Inspiratie
  3. Klantverhalen
  4. Amarant
| Pagina

Waarom Q-Park na 2017 nooit meer onderhandelt over cybersecurity

Cybersecurity

Share

Het alarm gaat af op een vrijdag. De WannaCry-ransomware verspreidt zich razendsnel door de netwerken van Q-Park, een van de grootste parkeerbedrijven van West-Europa. Betaalsystemen vallen uit, net als de automatische bediening van de slagbomen. In zeven landen staat het bedrijf op zijn kop. De schade was groot, maar de gevolgen hadden veel erger kunnen zijn. Hoe reageert een organisatie op zo’n moment? En belangrijker: wat doe je daarna anders?

Frank De Moor is die ochtend nog geen drie jaar CEO van Q-Park. Hij krijgt het nieuws via zijn IT-afdeling. In paniek raakt hij niet, maar staat wel direct op scherp. Zijn eerste beslissing is opvallend nuchter: hij laat alle slagbomen opendoen. Klanten kunnen gratis wegrijden. “Klanten komen altijd op de eerste plaats”, merkt hij op. “De omzetschade is een probleem voor later. Als je klanten niet terugkomen, heb je helemaal geen bedrijf meer.” Tom van Vooren, op dat moment interim-CISO bij Q-Park, herkent die redenering. “Je moet eerst reageren voordat je precies weet wat er is gebeurd. Daarbij mogen klanten zo min mogelijk hinder ondervinden.”

Had dit voorkomen kunnen worden?

Van Vooren is er eerlijk over. Naar zijn mening is de meerderheid van dit soort incidenten vermijdbaar. “Het is een kwestie van keuzes. Welke risico’s accepteer je als organisatie? En hoeveel wil je investeren om die risico’s te beperken?”

De Moor kijkt daar met dezelfde nuchterheid op terug. “Achteraf gezien hadden we dingen anders kunnen doen. Q-Park is een sterk gedecentraliseerd bedrijf. Maar dat model werkt niet voor cybersecurity. Dat moet je centraal regelen, non-negotiable. Dat was de grote les.”

Daar kwam nog iets bij. Na de aanval ontdekte Q-Park dat zelfs betaalde dienstverleners hun beloftes niet nakwamen. “We hadden antivirussoftware ingekocht voor onze parkeersystemen. Die bleek niet geïnstalleerd te zijn. We hadden het nooit gecontroleerd.” Dat inzicht leidde tot een fundamentele aanscherping in controlemechanismen rondom leveranciersmanagement.

Van decentralisatie naar centrale regie

De omslag in de praktijk ging veel verder. De Moor: “We hebben beslist dat cybersecurity niet meer ter discussie staat. Vroeger konden landen intern beslissen of ze bepaalde maatregelen namen. Dat is verleden tijd. De Franse afdeling, de Nederlandse, de Finse: iedereen volgt dezelfde aanpak. Dat klinkt simpel, maar het heeft echt wat gevergd om die cultuuromslag te maken.”

Van Vooren benadrukt dat de aanval ook iets positiefs opleverde: draagvlak. “Cybersecurity stond in de tijd voor het incident niet bovenaan de prioriteitenlijst. Na de crisis kregen we de steun van het senior management om door te pakken. We konden leveranciers onder druk zetten, investeringen doordrukken en structurele verbeteringen doorvoeren.”

Als eerste stap liet Q-Park samen met Orange Cyberdefense een Security Maturity Assessment uitvoeren. Dat gaf het bedrijf voor het eerst een helder beeld van waar ze stonden. Niet wat ze dachten dat er was, maar wat er daadwerkelijk was. Vanuit die nulmeting kon Q-Park een gerichte securitystrategie ontwikkelen.

Segmentatie, bewustwording en 48.000 kritieke assets

De meest tastbare verandering zit in de netwerkarchitectuur. Van Vooren: “In 2017 startte het probleem in Frankrijk en eindigde het in Finland. We hadden geen idee hoe het virus zich door ons netwerk had bewogen. Dat was de kern: geen segmentatie, geen zicht. Inmiddels kunnen we per parkeergarage, en zelfs per afzonderlijke lijn, systemen afschakelen zonder dat de hele locatie down gaat.”

Daarmee komen ook de schaaluitdagingen aan de oppervlakte. Q-Park beheert ruim 48.000 kritieke assets op zo’n 4.500 locaties en groeit gestaag. De Moor: “Per jaar voegen we ongeveer 150 nieuwe locaties toe, met zo’n 20.000 extra assets. Veel van de bedrijven die we overnemen hebben nooit nagedacht over cybersecurity.

De cultuur aanpassen is het moeilijkste deel, maar wel noodzakelijk.” Daarom investeert Q-Park zwaar in bewustwording. Alle medewerkers, van parkeerwachter tot directeur, volgen meerdere keren per jaar een verplichte cybersecuritytraining. De resultaten worden gemeten en gerapporteerd aan de CEO. “Als iemand de training niet doet, ondernemen we actie”, zegt De Moor. “Dat klinkt streng, maar de meeste van onze medewerkers werken in een parkeergarage en hebben weinig tot geen ervaring met IT. Juist daarom is training essentieel.”

De CISO als sparringpartner, niet als silo

Een van de hardste lessen gaat over de positie van de CISO in de organisatie. Die moet vooral benaderbaar zijn. De Moor: “Cybersecurity mag geen silo zijn. Als er iets is dat de hele organisatie raakt, dan is het dit onderwerp wel. Ik wil niet wachten op een maandelijks overleg om een vraag te kunnen stellen. Als de CISO drie weken moet wachten op het volgende formele moment, ben je al te laat.”

Van Vooren herkent het belang van die toegankelijkheid. “Een goede sparringpartner bij het senior management maakt het verschil. Niet alleen bij een crisis, maar ook bij strategische beslissingen: welke risico’s nemen we, waar leggen we de prioriteit, wat is de roadmap voor de komende jaren?”

Dat gaat soms ook over onpopulaire beslissingen. Zo besloot Q-Park op advies van de CISO de toegang tot ChatGPT te blokkeren en een eigen beveiligde omgeving in te richten voor AI-toepassingen. De Moor: “Niet iedereen was blij. Maar als jouw CISO zegt dat het nodig is, moet je hem steunen. Anders heeft die functie geen zin.”

Oefenen alsof het echt is

Voorbereiding is tegenwoordig een vast onderdeel van de aanpak. Q-Park houdt regelmatig tabletop-oefeningen, en die hebben een duidelijk doel. Van Vooren: “Ze zijn niet alleen waardevol voor de technische teams. Ze zijn juist bedoeld om het bewustzijn bij het senior management levend te houden. Na zo’n oefening denken mensen ook buiten de vergaderkamer na over de scenario’s en komen ze terug met aanbevelingen.”

De Moor wijst daarbij op een subtiel gevaar: kleine besparingen die grote gaten slaan. “Een fout ontstaat bijna altijd doordat iemand laag in de organisatie, zonder formeel mandaat, heeft besloten ergens op te bezuinigen. Die beslissingen zorgen voor de grootste kwetsbaarheden.”

De aanpak van vandaag verschilt fundamenteel van die van 2017. Q-Park beschikt nu over een SOC-team en werkt met specialisten van Orange Cyberdefense, die de organisatie door en door kennen. Van Vooren: “Vroeger moest je mensen bellen die geen idee hadden hoe onze omgeving eruitzag. Nu weet het team precies hoe onze systemen werken, wat normaal gedrag is en hoe snel we moeten schakelen als er iets misgaat.”

Frank De Moor en Tom van Vooren spraken tijdens een sessie op Orange Cyberdefense Live 2026 over hun ervaringen met de WannaCry-aanval van 2017 en de lessen die Q-Park sindsdien trok. Orange Cyberdefense ondersteunt Q-Park al meerdere jaren op het gebied van cybersecurity-strategie en -uitvoering.

 

Onze oplossingen

13 mei 2026

Documentaire: Don't Go to the Police

Lees meer

15 april 2026 | Blog

Zo leg je in vier weken een fundament voor je Incident Response Plan

Lees meer
24/7 incident hotline