De schermen springen op zwart en op de server staat een uitnodiging voor een chat op het dark web. Voor veel ondernemers is het begin van een nachtmerrie, voor GM Innovation Inge van der Beijl haar dagelijkse werkterrein. Als psycholoog en crisisexpert bij Northwave voert zij namelijk onderhandelingen met criminele organisaties die opereren als strakke multinationals. Haar advies bij een aanval: Niet zelf gaan chatten. In dit menselijke schaakspel is elke snipper informatie namelijk letterlijk geld waard.
Van der Beijl is niet de gemiddelde security-expert. Met veertien jaar ervaring bij TNO en een missie naar Afghanistan achter de kiezen, weet ze wat het betekent om onder hoogspanning te werken. “Groen geverfd”, noemt ze haar tijd bij Defensie. Die stalen zenuwen zijn haar belangrijkste gereedschap wanneer ze nu, in 2026, aan de onderhandelingstafel zit met digitale criminelen.
De mythe van de ‘hacker op de zolderkamer’
Het eerste wat Van der Beijl rechtzet, is het romantische beeld van de eenzame hacker. Uit de beruchte Conti-leaks in 2022 bleek al hoe professioneel deze organisaties zijn. Een deel van zulke hackersgroepen is strak georganiseerd. Zo hebben ze een HR-afdeling, een softwareafdeling en krijgen werknemers gewoon vakantiedagen. “Het is soms net een echt bedrijf.”
Deze professionaliteit vertaalt zich naar de communicatie. Hackers presenteren zich vaak als zakelijke partners. Ze doen alsof ze je komen helpen, want zij hebben je beschermd tegen andere ellende en als je betaalt, krijg je een fantastisch pentest-rapport. Juist die zakelijke toon is een wapen. Het haalt de emotie uit het incident en doet het lijken op een eerlijke zakelijke transactie.
Inge van der Beijl – Northwave
Van de bakker op de hoek tot de multinational
Hoewel grote namen als Odido de krantenkoppen halen, is niemand meer veilig. De cybercrimineel is opportunistisch geworden. “Vroeger richtten ze zich vooral op de grote vissen, maar nu zakken ze af naar de laag daaronder”, legt van der Beijl uit. “Zo heb ik ook een architectenbureau met een handvol medewerkers ondersteund.” Voor de kleine ondernemer is de dreiging vaak anders, maar voor elk bedrijf geldt: als je onderdeel bent van een toeleveringsketen, ben je een doelwit. “Raak je één IT-leverancier, dan raak je er honderd.”
Hoewel de verschijningsvormen variëren, onderscheidt van der Beijl zes hoofdvormen van digitale dreiging die de kern van haar werkveld vormen. Daarbij gaat het om ransomwareaanvallen, Business Email Compromise en Nation State Attacks. Andere dreigingsvormen zijn supply chain attacks, insider threats en hacktivisme.
Eerstgenoemde is de meest verlammende variant. Je volledige bedrijfsvoering ligt stil doordat systemen zijn versleuteld. De aanvallers eisen losgeld in ruil voor de sleutel en dreigen vaak ook met het publiceren van gestolen data. Bij BEC nemen aanvallers stilletjes een mailbox over. Ze observeren de communicatie en slaan toe op een cruciaal moment, bijvoorbeeld door een factuurnummer aan te passen vlak voordat een grote betaling wordt gedaan. Bij aanvallen door statelijke actoren draait het niet om direct financieel gewin, maar om spionage en strategisch voordeel. Deze actoren nestelen zich onopgemerkt in netwerken om intellectueel eigendom of gevoelige data te ontvreemden of om alvast de nodige voorbereidingen te treffen voor toekomstige sabotage.
Bij een supply chain-attack compromitteren aanvallers een organisatie via kwetsbaarheden bij een vertrouwde derde partij, bijvoorbeeld een MSP of softwareleverancier. Door malware te injecteren in legitieme updates of diensten, wordt de beveiliging van het einddoel alsnog omzeild. Securityrisico’s veroorzaakt door (ex-)medewerkers of partners met geautoriseerde toegang zijn een vijfde bekende vorm van digitale dreiging. Dat varieert van kwaadwillige datadiefstal en spionage tot onbedoelde datalekken door menselijke fouten of nalatigheid. Hacktivisme is tot slot het inzetten van hackingtechnieken voor ideologische of politieke doeleinden. Het doel daarbij is niet financieel, maar het veroorzaken van reputatieschade of operationele verstoring om een maatschappelijk statement te maken.
De mist van de eerste 24 uur
In de hectiek van een aanval is de verleiding groot om direct conclusies te trekken, maar volgens haar is dat een recept voor reputatieschade. “In die eerste 24 uur weet je eigenlijk nog helemaal niets”, stelt ze nuchter. “Je weet dat er ongeautoriseerde toegang is, maar welke data er weg is en hoe groot de schade echt is, wordt vaak pas na dagen of zelfs weken duidelijk.”
Ze ziet dan ook twee uitersten in de markt. Waar het Openbaar Ministerie in 2025 direct naar buiten trad met de boodschap mogelijk weken offline te zijn, wachtte een partij als Clinical Diagnostics een maand met communiceren. De sleutel ligt volgens van der Beijl in het midden: “Communiceer alleen over feiten. Zodra je gaat gissen, verlies je je geloofwaardigheid.”
“Intern is extern”: de strategische fout van transparantie
Een rode draad in het gesprek is de kritiek op hoe bedrijven hun communicatie aanpakken. Ze noemt het een ‘maatschappelijke uitdaging’. Wanneer een bedrijf gehackt is, wil het vaak transparant zijn naar zijn klanten, partners en stakeholders. Die eerlijkheid wordt echter vaak tegen het bedrijf gebruikt.
“Bedrijven zetten op hun site dat ze twee weken platliggen. Voor een hacker is dat een goudmijn. Hij weet nu exact hoe groot zijn impact is en zal de losgeldsom geen cent laten zakken. Informatie is in dit spel letterlijk geld waard”, aldus Van der Beijl.
van der Beijl gruwelt van de klinische, juridische taal die grote spelers gebruiken. “Bedrijven verschuilen zich vaak achter klinische taal met standaardwaarschuwingen als ‘let op phishing’. Maar wat heb je daar als slachtoffer aan?” vraagt ze zich hardop af. “Phishing is tegenwoordig zo geraffineerd dat het niet meer te herkennen is aan een taalfout in een mail. Mensen willen weten wat de diefstal concreet voor hen betekent. Liggen mijn IBAN-gegevens op straat? Wie kan ik bellen voor hulp? De menselijke maat en de erkenning van de onzekerheid ontbreken vaak volledig in de crisiscommunicatie.”
Het schaakspel in de ‘War Room’
Als de onderhandelingen starten, verplaatst het gesprek zich naar schimmige hoeken van het internet: TOX-ID chats of speciaal ingerichte landingpages op het dark web. Het beeld van experts die 48 uur onafgebroken in een donkere kamer naar schermen turen, is volgens van der Beijl echter een Hollywood-beeld. “Criminelen slapen ook”, lacht ze.
Toch is de spanning in de ‘War Room’ tastbaar. Ze voert deze gesprekken altijd volgens het ‘four-eyes principle’. “We werken altijd met minimaal twee onderhandelaars. Terwijl de een de directie adviseert, focust de ander op de interactie met de crimineel. Daarbij controleer je elkaar natuurlijk. Je moet continu scenario-denken. Soms is het doel niet om te betalen, maar om tijd te winnen. Terwijl wij chatten, probeert het IT-team op de achtergrond de back-ups te herstellen. Elke minuut die ik de hacker aan de praat houd, is een minuut winst voor het herstel.”
“Een cruciaal inzicht in de ‘War Room’ is bovendien het principe van wederkerigheid”, legt ze uit. “In het begin voel je je als bedrijf vaak alleen maar slachtoffer, maar je moet beseffen dat de hacker jou ook nodig heeft om zijn ‘omzet’ te halen. Voor hem is dit een zakelijke transactie. Dat besef kantelt de machtsdynamiek. Je positie aan de onderhandelingstafel is immers sterker dan je als bedrijf in eerste instantie denkt. Je bent geen prooi die smeekt, maar een partij in een zakelijk conflict.”
Tijdens zo’n dialoog wordt de crimineel getest. “We vragen om bewijs. Kan hij een specifiek bestand ontsleutelen? Kan hij bewijzen hoeveel data hij echt heeft gestolen? Pas als die feiten op tafel liggen, kan een bestuurder een rationeel besluit nemen om over te gaan tot werkelijk onderhandelen en een eventuele betaling.” Daarbij is het voor Northwave geen taak om de hackers te ontmaskeren. “Wij delen alle sporen met de politie en internationale netwerken zoals Europol. Het ontmantelen van bendes laten we aan de opsporingsdiensten; onze focus ligt op de klant.”
Het duivelse dilemma: betalen of failliet?
In de basis is het standpunt van Northwave helder: doe geen zaken met criminelen. Er is echter een grijs gebied waar ethiek botst met voortbestaan. “Er is geen vangnet”, zegt van der Beijl nuchter. “Als een bedrijf 120 jaar bestaat en alles dreigt te verliezen omdat ze niet bij hun data kunnen, dan is betalen een bittere, maar reële optie.”
Het proces van onderhandelen is echter geen kwestie van simpelweg geld overmaken en de zaak sluiten. Ze legt uit dat er bij elke casus een diepgaande controle plaatsvindt op het specifieke bitcoin-adres van de aanvallers via een zogenaamde sanction screening. “We verifiëren of een adres of groepering, bijvoorbeeld het beruchte Lockbit, voorkomt op internationale sanctielijsten van de Verenigde Staten (OFAC) of het Verenigd Koninkrijk”, aldus van der Beijl.
Wanneer een hacker gelinkt kan worden aan een gesanctioneerde entiteit, is betalen simpelweg wettelijk verboden. “Dan is het een harde ‘no-go’, hoe groot de nood ook is.” Dit zorgvuldige proces, uitgevoerd onder toezicht van De Nederlandsche Bank (DNB), vormt de kern van de integriteit van de onderhandelaar. Dat moet helpen om ervoor te zorgen dat er geen losgeld vloeit naar terrorisme of staten op de zwarte lijst, ongeacht de enorme druk waaronder een slachtoffer op dat moment staat.
De toekomst: NIS2 en de digitale verkeersles
Met de komst van de NIS2-richtlijn verschuift cybersecurity eindelijk van de serverruimte naar de bestuurstafel, maar volgens van der Beijl moet de verandering nog veel dieper gaan. Ze pleit voor een fundamentele verschuiving in onze digitale weerbaarheid en stelt de oprichting van een ‘Digitaal Slachtofferloket’ voor.
“We leren kinderen op school wel hoe ze veilig moeten oversteken in het verkeer, maar terwijl online criminaliteit sneller groeit dan fysieke misdaad, leren we ze niet hoe ze veilig online moeten navigeren.” Hoewel de aanstelling van een staatssecretaris voor Digitale Zaken een hoopvolle eerste stap is, blijft er volgens haar een grote behoefte aan concrete hulp voor het individu. Dit slachtofferloket zou de broodnodige opvang moeten bieden voor de menselijke kant van een hack, zodat slachtoffers niet langer alleen staan in de digitale wildernis.
Haar laatste advies voor elk IT-team en elke directie? Oefen de chaos. “Een plan in een kluis is niets waard als je zo’n situatie nooit hebt doorgenomen en geoefend. En bewaar dat plan vooral fysiek. Want als de schermen op zwart gaan, is je digitale PDF onbereikbaar.”
Accepteer de chaos
Als laatste nabrander geeft van der Beijl een advies mee dat dwars tegen de natuur van veel bestuurders ingaat: accepteer de chaos. “In dit soort situaties heb je simpelweg te dealen met onzekerheid. Je gaat het nooit volledig kunnen voorkomen, dus je moet het omarmen.”
Volgens haar zijn de teams die het best functioneren de teams die hun menselijke kwetsbaarheid durven te tonen. “Durf tegen elkaar te zeggen: ‘jongens, we weten het nu even niet'”, schetst Van der Beijl. Pas als je die onzekerheid accepteert en van daaruit kijkt naar wat je wél weet, sta je als crisisteam echt sterk. “Onzekerheid is geen zwakte, maar een realiteit die je moet leren managen.”