Hack me if you can: een experiment van binnenuit3 min gelezen

Hack me if you can: een experiment van binnenuit

Wat gebeurt er als een medewerker op een foute link klikt? Volgt je team dan de juiste stappen? Jordan Gallant, junior security-consultant bij 2source4, voerde een ransomware-simulatie uit om precies dat te testen. Hij bouwde zijn eigen ransomware, verstuurde een phishingmail en keek toe hoe zijn collega’s reageerden. In deze blog deelt hij zijn verhaal — en de les die jouw organisatie hieruit kan trekken.

De opdracht: test onze incidentrespons

Het begon tijdens een ISO 27001-audit. Onze COO Jilles van den Bosch wilde weten of het team bij een securityincident de juiste stappen zou volgen zoals vastgelegd in onze procedures. Om dat realistisch te testen, zette Jilles bewust één Cloud PC klaar met minder beveiliging dan wij normaal hanteren. Een situatie die we bij veel organisaties tegenkomen. Mijn opdracht: bouw iets dat daar doorheen komt, en kijk wat er gebeurt.

Defender omzeilen? Makkelijker dan gedacht

Met een paar slimme trucs wist ik Microsoft Defender volledig te omzeilen. De details doen er niet toe, waar het om gaat is dat het me lukte met relatief simpele middelen. Ik bouwde mijn eigen ransomware, verpakte die op een manier die Defender niet herkende, en zette het bestand klaar achter een downloadlink.

Daarna stuurde ik een phishingmail. Onder de naam Peter Bloemers mailde ik het team dat ik een nieuwe audit-tool had die ze moesten uitproberen. De timing was perfect: iedereen wist dat we midden in een audit zaten. Jilles, die als enige van het experiment wist, voerde het bestand uit op zijn eigen machine om te zien wat er zou gebeuren. Binnen een paar seconden bevroor zijn scherm, waren muis en toetsenbord uitgeschakeld en kon hij alleen nog maar toekijken hoe al zijn bestanden werden versleuteld.

Paniek op kantoor

De rest van het team wist van niets. Toen Jilles alarm sloeg, stopte iedereen met werken en verzamelden we in de vergaderruimte voor een spoedoverleg: dit leek een serieuze situatie. Iedereen begon te onderzoeken wat er aan de hand was, maar niemand had door dat ík de aanvaller was.

Wat we leerden

Jilles’ werkstation had wel Microsoft Defender, maar niet onze MDR-oplossing. Die extra beveiligingslaag had het verdachte gedrag waarschijnlijk wel opgepikt. Maar de grootste les? Zelfs de beste technologie helpt niet als iemand op een foute link klikt.

Wat als dit bij een klant was gebeurd?

Stel je voor dat dit niet bij 2source4 was gebeurd, maar bij een productiebedrijf. Eén werkstation wordt geraakt en binnen een uur staat de hele lijn stil omdat systemen niet meer met elkaar communiceren. Chauffeurs kunnen niet laden, klanten krijgen geen leveringen, en de telefoon staat roodgloeiend.

Bij echte ransomware-aanvallen zien we dat organisaties soms dagen tot weken nodig hebben om te herstellen. Voor een bedrijf dat afhankelijk is van digitale processen, kan dat het verschil betekenen tussen overleven en omvallen.

Awareness die blijft hangen

Wat me opviel: het team reageerde meteen serieus. Niemand dacht “dat zal wel meevallen”, maar iedereen schakelde direct naar incidentmodus. Precies zoals het hoort. Dat is de kracht van een realistische simulatie: je ziet hoe mensen écht reageren, niet hoe ze denken dat ze zouden moeten reageren.

Ons team reageerde precies goed. Maar wij werken dagelijks met security. Bij veel organisaties is dat anders en dan maakt zo’n moment van paniek het verschil tussen snel handelen en kostbare vertraging. Effectieve awareness vraagt om meer dan een jaarlijkse training. Het gaat om regelmatige tests, korte herinneringen en een cultuur waarin collega’s elkaar durven aanspreken. Na dit experiment hebben we afgesproken om vaker interne simulaties te doen, niet om mensen te betrappen, maar om scherp te blijven.

De les voor directie en operations

Dit soort risico’s kun je niet volledig uitbesteden aan techniek of aan IT. Je moet ze actief managen. Dat betekent: weten waar je kwetsbaarheden zitten, regelmatig testen, en security onderdeel maken van je bedrijfscultuur. Interne simulaties zoals deze horen bij volwassen risicobeheersing. Ze laten zien waar je zwakke plekken zitten, voordat het écht fout gaat.

Benieuwd hoe kwetsbaar jouw organisatie is?

Benieuwd hoe 2source4 jouw organisatie kan helpen bij het verbeteren van de security? Neem contact met ons op voor een vrijblijvend gesprek. Samen maken we jouw IT-omgeving klaar voor de toekomst!