Volgens het Key Figures 2025 rapport van het CCB blijft ransomware een van de belangrijkste dreigingen voor Belgische organisaties. In bedrijven ligt de focus nog vaak op hoe zo’n aanval binnenkomt. Zo’n root cause analyse helpt inderdaad om de nodige correctiemaatregelen te treffen. Maar wie met ransomware geconfronteerd wordt, weet dat dat uiteindelijk niet de juiste vraag is.
De vraag is wat er gebeurt wanneer de aanval effectief impact heeft. En dat punt ligt bijna altijd op dezelfde plek: de data. Op het moment dat data ontoegankelijk wordt, remt een organisatie af. Of komt zelfs volledig tot stilstand. En vanaf dat moment verschuift de discussie automatisch naar storage.
Dat is ook de reden waarom storage de afgelopen jaren een veel actievere rol is gaan spelen in cybersecurity. Niet als vervanging van bestaande beveiliging, maar als een noodzakelijke laatste (en steeds vaker eerste) verdedigingslaag.
Een eerste stap daarin is immutability. Geen klassieke backups die overschreven kunnen worden, maar snapshots die simpelweg niet aangepast kunnen worden. Bij IBM gebeurt dat via safeguarded copies: kopieën die volledig geïsoleerd worden opgeslagen en niet toegankelijk zijn voor applicaties.
Dat principe is eenvoudig, maar krachtig. Als niemand aan die data kan, kan ze ook niet gecompromitteerd worden. Het geeft organisaties iets wat in security vaak ontbreekt: zekerheid.
Maar alleen beschermen volstaat niet. Je moet ook weten wanneer er iets fout loopt, en liefst zo snel mogelijk. Daar zie je een tweede belangrijke evolutie. Detectie verschuift van aparte tools naar de storage zelf. Niet als extra laag er bovenop, maar geïntegreerd in het systeem.
Bij IBM FlashSystem gebeurt een eerste analyse rechtstreeks op de drives. Dataoperaties worden gemonitord op afwijkende patronen zoals plotse encryptie, en lokaal herkend. Die signalen worden vervolgens gecorreleerd in de cloud (IBM Storage Insights), waardoor je niet alleen een detectie krijgt, maar ook context en snelle alerting.
Het grote voordeel is dat de analyse zelf meeloopt met de normale datastroom, zonder scans of extra belasting. In plaats van minuten of uren gaat het vandaag richting realtime detectie. En dat maakt een verschil, want ransomware is geen probleem dat je achteraf oplost. Je moet het zo snel mogelijk stoppen.
Dankzij de onaangetaste safeguarded copy wordt recovery dan een beheersbare oefening. Je keert simpelweg terug naar een geïsoleerde datakopie die buiten bereik is gebleven van de aanval.
Wat je vandaag ziet, is dat die verdedigingslaag verder evolueert. Waar de focus vandaag vooral ligt op ransomware, zal die detectie in de nabije toekomst uitbreiden naar bredere dreigingen zoals datadiefstal en destructieve aanvallen zoals wiperware.
En dat maakt één ding duidelijk. Storage is niet langer de plek waar data gewoon staat. Het is de plek waar beslist wordt of een organisatie bestand is tegen een aanval of niet.