![Persoon geeft presentatie tijdens NLSecure[ID] event](http://images.ctfassets.net/zuadwp3l2xby/V8cjqP4uGkLflsolUWFfV/52120c0a4eddb47d68fb2885bd6d5f87/Leonie_van_der_Veen.JPG?fm=webp)
De hack en de eerste dagen
Addcomm verstuurt jaarlijks meer dan 250 miljoen transactionele berichten voor banken, verzekeraars, overheden en zorginstellingen. Denk aan gemeentelijke belastingaanslagen, pensioenoverzichten en facturen. Vertrouwen en informatiebeveiliging vormen de kern van het bedrijf.
Op 17 mei 2024 kwamen Leonie en haar collega’s erachter dat Addcomm was gehackt. Tijdens een noodzakelijke datacentermigratie was een server tijdelijk opengezet naar het internet. Aanvallers, die continu automatisch scannen op openstaande systemen, wisten hierdoor binnen te komen.
Gedurende ongeveer twee weken bewogen zij zich onder de radar door de omgeving. Ze verkenden het netwerk, verzamelden toegangsgegevens en ontvreemdden kleine stukjes data verspreid over verschillende systemen om detectie te voorkomen. Uiteindelijk werden systemen versleuteld en verscheen een ransom note.
De impact was groot. Tientallen klanten werden direct geraakt, met daarachter duizenden organisaties en potentieel miljoenen burgers. Productie lag stil en communicatie van klanten naar hun eigen klanten kwam onder druk te staan.
Het crisisteam werd direct geactiveerd. Forensische specialisten, een crisismanager, de cybersecurityverzekeraar, juristen en communicatieadviseurs werden ingeschakeld. Er werd contact onderhouden met de Autoriteit Persoonsgegevens. In de eerste 72 uur draaide alles om stabiliseren, analyseren en communiceren.
Wat Leonie het meest bijbleef, was het leiderschap dat nodig is in volledige onzekerheid. Niet alles weten, maar toch zichtbaar en standvastig blijven. “Leiderschap betekent niet dat je alle antwoorden hebt,” zegt ze. “Het betekent dat je rust en vertrouwen uitstraalt terwijl je zelf nog midden in het onderzoek zit.”
Vanaf het eerste moment koos Addcomm voor transparantie richting klanten: het ging namelijk om belangrijke data, van klanten en burgers. Juist daarom, benadrukt Leonie, kan je je niet veroorloven om informatie achter te houden.
De moeilijke keuze om te betalen
De aanvallers gebruikten een dubbele drukstrategie. Ze legden systemen plat én dreigden gestolen data openbaar te maken.
Voor Addcomm was het herstel van de IT-omgeving geen reden om te betalen. Die systemen konden zij zelf opnieuw opbouwen, en dat is ook gebeurd. De echte kwetsbaarheid zat ergens anders. Het bedrijf kon namelijk niet exact vaststellen welke data was ontvreemd en welke klanten daardoor geraakt waren. Zonder die informatie konden klanten hun eigen meldplicht richting toezichthouders en betrokkenen niet zorgvuldig uitvoeren.
Op advies van externe specialisten werd daarom een professionele onderhandelaar ingeschakeld en contact gelegd met de hackers. De betaling was niet bedoeld om systemen terug te krijgen, maar uitsluitend om verifieerbaar inzicht te krijgen in de buitgemaakte data. Met die informatie kon Addcomm precies vaststellen welke datasets waren geraakt en konden klanten hun eigen klanten gericht informeren.
“Twee jaar eerder had ik zonder twijfel gezegd dat ik nooit zou betalen,” zegt Leonie. In de realiteit van een crisis, waarin de verantwoordelijkheid voor klantdata centraal staat, bleek die afweging toch minder zwart-wit.
De 5 lessen van Addcomm
De cyberaanval heeft het bedrijf fundamenteel veranderd. Niet alleen technisch, maar ook strategisch en cultureel. “Je kunt alles op papier hebben staan,” zegt Leonie. “Maar pas als het je echt overkomt, begrijp je wat het betekent.”
De hack dwong Addcomm kritisch naar zichzelf te kijken. Wat werkte echt, waar zaten blinde vlekken en welke aannames bleken onjuist? Uit die periode van crisis en herstel formuleerde Leonie 5 kernlessen die sindsdien richtinggevend zijn voor de organisatie.
1. Security hoort aan de eettafel
Cybersecurity raakt niet alleen IT, maar ook strategie, reputatie en continuïteit. De hack maakte duidelijk dat beslissingen over security direct impact hebben op klanten, aandeelhouders en de toekomst van het bedrijf. Daarom moet de directie niet alleen geïnformeerd worden, maar inhoudelijk betrokken zijn. Security hoort structureel op bestuursniveau besproken te worden.
''Wij zijn een familiebedrijf en een pragmatische organisatie.” vertelt Leonie. “Ik ben verantwoordelijk voor sales, marketing en operatie. De CTO is mijn broer en medeaandeelhouder. Dan denk je al snel: dat zit wel goed, hij regelt dat. Nu weten we dat security een gedeelde verantwoordelijkheid moet zijn.”
2. Gedrag gaat boven beleid
Addcomm had certificeringen en procedures op orde. Toch ging het mis. Dat onderstreept dat beleid alleen niet voldoende is. Menselijk gedrag blijft de bepalende factor. Bewustzijn, training en een cultuur waarin mensen verantwoordelijkheid nemen en elkaar aanspreken, maken uiteindelijk het verschil.
3. De keten toont je kwetsbaarheid
Een organisatie is zo sterk als de zwakste schakel in de keten. Weet welke data je ontvangt, waarom je die ontvangt en hoe lang je die bewaart. Begrijp ook welke afhankelijkheden er zijn richting leveranciers en klanten. Veel kwetsbaarheden ontstaan niet binnen de eigen muren, maar in overdrachten en aannames in de keten.
4. Transparantie beschermt vertrouwen
In een crisis is communicatie geen reputatievraagstuk, maar een beveiligingsmaatregel. Door open te zijn over wat bekend is en wat nog niet, houd je regie en versterk je vertrouwen. Transparantie is moeilijk, maar stilzwijgen is riskanter.
5. Veiligheid is een teamsport
De complexiteit van cyberdreigingen vraagt om samenwerking. Geen enkele organisatie kan dit alleen oplossen. Interne samenwerking tussen afdelingen is cruciaal, net als het inschakelen van externe specialisten voor monitoring, forensisch onderzoek en advies. Veiligheid vraagt om collectieve verantwoordelijkheid.
Drie vragen aan jouw organisatie
Naar aanleiding van deze lessen heeft Leonie ook drie vragen geformuleerd, die iedere organisatie zichzelf zou moeten stellen.
- Staat cybersecurity maandelijks op de agenda van het directieoverleg?
- Weet je echt welke data je verwerkt en hoe je keten eruitziet?
- Weet je concreet wat er moet gebeuren in de eerste 72 uur van een cyberaanval?
Wie een van deze vragen niet volmondig met ja kan beantwoorden, heeft werk te doen.
De kernboodschap
De cyberaanval was zwaar, maar vormde ook een kantelpunt. Addcomm kwam er uiteindelijk sterker uit door verantwoordelijkheid te nemen, transparant te communiceren en structureel te veranderen.
De afsluitende boodschap van Leonie is helder: technologie houdt aanvallers buiten, gedrag houdt vertrouwen binnen.
