Ransomware tabletop-scenario: hoe een goede oefening eruitziet
Elk securityteam draait vroeg of laat een ransomware-tabletop. De meeste draaien een zwakke: "je bestanden zijn versleuteld, wat doe je?" — gevolgd door drie kwartier waarin mensen in algemene termen beschrijven wat ze waarschijnlijk zouden doen. Geen klok, geen escalatie, geen beslissing die iemand fout kan doen.
Een goed ransomware-scenario is anders gebouwd. Dit is de anatomie.
Waarom ransomware het juiste eerste scenario is
Ransomware is het zeldzame scenario dat elke laag van de organisatie tegelijk belast: het SOC (detectie, containment), IT (herstel, back-ups), legal (meldplichten, de rechtmatigheid van betalen), communicatie (klanten, pers) en het bestuur (betalen of niet — een beslissing die niemand anders kan nemen). Het is bovendien universeel begrepen: niemand aan tafel heeft uitleg over de dreiging nodig.
Precies die breedte is waarom een luie versie faalt. Als het scenario de niet-technische rollen niet dwingt te handelen, zitten zij het uur uit als publiek.
Anatomie van een sterk scenario: de ground truth
Voordat er één inject wordt geschreven, heeft het scenario een intern consistente set feiten nodig — de ground truth: wat er werkelijk gebeurd is, wanneer, met welke systemen, en wat op elk moment waar is, ongeacht of het team het al ontdekt heeft.
Een degelijke ransomware-ground-truth specificeert:
- Het toegangspunt — een gephisht leveranciersaccount, drie weken geleden, met de verblijftijd besteed aan verkenning en credential harvesting.
- De blast radius — welke van jouw bedrijfssystemen versleuteld zijn (benoem ze: het ERP, de fileservers, het e-commerce-platform), en welke niet.
- De back-upstatus — back-ups bestaan, maar de laatste geverifieerde restore is ouder dan iedereen dacht, en verificatie kost uren.
- De exfiltratievraag — er ís data klaargezet en verplaatst vóór de versleuteling; het bewijs staat in de logs, maar alleen als iemand kijkt.
- Het gedrag van de aanvaller — losgeldbedrag (gekalibreerd op je omzet — een echte eis is een laag enkelcijferig percentage van de jaaromzet, geen filmgetal), deadline en een leksite-dreiging.
De ground truth houdt de oefening eerlijk: antwoorden van de facilitator en AI-rollenspelers blijven consistent omdat de feiten vastliggen, en de debrief kan scoren tegen wat werkelijk waar was.
Een voorbeeld-inject-tijdlijn (60 minuten)
| Tijd | Inject | Landt bij |
|---|---|---|
| T+0 | EDR-alert: massale bestandsmodificatie op twee finance-fileservers | SOC |
| T+5 | Helpdesktickets: gebruikers kunnen bestanden niet openen; vreemde extensie | IT |
| T+12 | Losgeldbrief gevonden op een serverdesktop — deadline 72u, lekdreiging | SOC → allen |
| T+20 | CFO meldt dat het ERP plat ligt; maandafsluiting is morgen | Bestuur/IT |
| T+28 | Logfragment toont grote uitgaande transfer van 3 dagen geleden | SOC |
| T+35 | Journalist mailt: "We horen dat jullie geraakt zijn door ransomware. Reactie?" | Communicatie |
| T+42 | Back-upbeheerder: laatste geverifieerde restore is 3 weken oud; verificatie kost 12u | IT |
| T+50 | Verzekeraar vraagt of de onderhandeling al loopt; legal wijst op de meldkloks | Legal/Bestuur |
Let op het patroon: elke inject richt zich op een specifieke rol, de ernst stijgt, en de tweede helft wordt gedomineerd door beslissingen, niet door detectie.
De beslismomenten die ertoe doen
Een ransomware-oefening verdient zijn tijd op vijf beslissingen:
- Isoleren of observeren? Systemen offline halen beëindigt de toegang van de aanvaller — én de maandafsluiting. Iemand moet die afweging expliciet bezitten.
- Wanneer start de meldplicht? Exfiltratiebewijs verandert "een IT-incident" in een meldplichtig datalek. Het team moet het moment markeren waarop de NIS2-waarschuwing van 24 uur en de AVG-klok van 72 uur starten — en niet achteraf ontdekken dat ze gisteren al liepen.
- Betalen, onderhandelen of weigeren? De bestuursbeslissing. De oefening moet een standpunt afdwingen met een deadline; "we zouden onze verzekeraar raadplegen" telt niet als eindantwoord.
- Wat vertellen we klanten, en wanneer? Zwijgen heeft een prijs; voorbarige verklaringen ook. Communicatie moet tijdens de oefening iets échts opstellen.
- Wanneer zijn we 'hersteld'? Terugzetten vanaf mogelijk gecompromitteerde back-ups is een beslissing, geen taak.
Rollen buiten IT
De minimale bezetting voor een ransomware-tabletop die de organisatie toetst in plaats van het SOC: incident lead, SOC/security-analist, IT/infrastructuur, jurist, communicatie en één bestuurder met betalingsbevoegdheid. Krijg je geen zes mensen bij elkaar? Precies hier houden AI-rollenspelers de oefening heel — de menselijke spelers ervaren alsnog het ongeduld van de CFO en de deadline van de journalist, ook als die rollen door agents worden gespeeld.
Hoe goed eruitziet in de debrief
Sterke uitkomsten om op te letten: de isolatiebeslissing viel binnen vijftien minuten met uitgesproken onderbouwing; het exfiltratiebewijs triggerde de meldplichtdiscussie zonder aansporing; communicatie had een holding statement klaar vóór de deadline van de journalist; het betalingsstandpunt is besloten en gedocumenteerd; en — het waardevolst — een lijst plekken waar het IR-plan zweeg (wie bezit de leksite-dreiging? kent het plan de verificatietijd van de back-ups?).
Variaties die herhaaloefeningen scherp houden
Zodra het team het standaardscenario aankan, rouleer je de druk: de back-ups blijken óók versleuteld; de aanvaller benadert een medewerker rechtstreeks; het incident valt op vrijdagavond met het halve team onbereikbaar; er arriveert een tweede losgeldbrief van een andere groep — is die echt? Elke variant maakt het spiergeheugen van de vorige keer op precies één plek ongeldig, en dat houdt de oefening eerlijk.
Een ransomware-tabletop is de goedkoopste generale repetitie die je ooit krijgt voor de duurste dag die je organisatie kan meemaken. Bouw hem op een echte ground truth, dwing de vijf beslissingen af, en schrijf op waar het plan je in de steek liet — die lijst is het echte product van de oefening.
Veelgestelde vragen
Moet het scenario een losgeldbeslissing bevatten?
Ja — het is de waardevolste beslissing om te oefenen, omdat ze niet gedelegeerd kan worden en de meeste organisaties hun standpunt nooit hebben besproken. De oefening moet de beslissing afdwingen met een deadline en een ongemakkelijk bedrag, gekalibreerd op je omzet.
Hoe technisch moet een ransomware-tabletop zijn?
Technisch genoeg dat de SOC-rol echt werk heeft (alerts, logfragmenten, IOC's), maar het hart van de oefening zijn beslissingen: isoleren of observeren, betalen of weigeren, wanneer melden. Als alleen technische mensen aan het woord zijn, benut het scenario het format onvoldoende.
Moeten de back-ups falen in het scenario?
Gedeeltelijk, ja. Volledig intacte back-ups halen het centrale dilemma weg; volledig vernietigde back-ups halen de hoop weg en drukken de betrokkenheid. De sterkste variant: back-ups bestaan, maar verificatie kost 12 uur en de laatste cyclus is mogelijk ook geraakt.
Wanneer moet je toezichthouders informeren bij een ransomware-incident?
Onder NIS2 vereist een significant incident een vroegtijdige waarschuwing binnen 24 uur en een incidentmelding binnen 72 uur; zijn er persoonsgegevens gelekt, dan loopt parallel de AVG-melding van 72 uur bij de Autoriteit Persoonsgegevens. De oefening moet het team laten beslissen wanneer die klokken starten.
Hoe scoor je prestaties in een ransomware-oefening?
Tegen je eigen incident response plan: zijn de voorgeschreven stappen genomen, in de juiste volgorde, door de juiste rol, op tijd? Voeg reactietijden per inject toe en competenties als besluitvorming en communicatie. Scoor tegen het plan, niet tegen perfectie — afwijkingen onthullen vaak plandefecten, en dat is een bevinding, geen fout.
Klaar om het zelf te oefenen?
Genereer in minuten een tabletop-oefening op maat van jouw organisatie.
Aan de slagLees ook
NIS2 artikel 21: wat de oefenverplichting echt van je vraagt
NIS2 vraagt niet alleen om technische maatregelen. Artikel 21 verwacht dat je tóétst of je organisatie kan reageren — en dat je het kunt bewijzen. Dit betekent het in de praktijk.
Tabletop-oefening organiseren: een stappenplan
Van doelstellingen tot debrief: de zeven stappen van een tabletop-oefening die écht verandert hoe je team reageert — en de fouten die de meeste oefeningen plat slaan.
AI-gedreven vs door consultants geleide tabletop-oefeningen: een eerlijke vergelijking
Consultant-tabletops kosten duizenden euro's en gebeuren één keer per jaar. AI-gedreven oefeningen kosten een abonnement en gebeuren maandelijks. Waar elk model wint — zonder verkooppraat.