Twee weken lang werd Omrin gegijzeld door Russische hackers. Er werd geen cent betaald

In dit artikel:

Afvalbeheerder Omrin, de grootste verwerker in Noord-Nederland, heeft in oktober twee weken lang last gehad van een ransomware-aanval waardoor de IT-systemen werden gegijzeld en meer dan 1 terabyte aan bestanden openbaar raakte. De aanval begon in de nacht van zondag 12 oktober, toen de consignatiedienst verdachte datastromen ontdekte; het netwerk werd meteen afgesloten om verdere verspreiding te voorkomen. Veel gevoelige bestanden van medewerkers — salarissen, woonadressen en kopieën van identiteitsbewijzen — bleken vanaf centrale servers te zijn geëxfiltreerd; later kwam ook naar voren dat per ongeluk opgeslagen persoonsgegevens van inwoners van Schiermonnikoog, waaronder burgerservicenummers, in de dataset zaten.

De aanval werd gekoppeld aan de Russische ransomwaregroep Qilin, die sinds 2023 actief is en al vaker Nederlandse organisaties trof. Qilin eiste contact en dreigde data openbaar te maken; nadat Omrin geen betalingsvoorstel deed, publiceerde de groep op 28 oktober ruim een terabyte aan gestolen gegevens. Omrin zegt nooit losgeld te hebben betaald: enerzijds wegens praktische prioriteiten tijdens de eerste kritieke uren, anderzijds uit principiële overwegingen omdat het bedrijf met publiek geld werkt en betaling moeilijk te verantwoorden was.

Operationele continuïteit stond hoog op de prioriteitenlijst. Dankzij eerder ingevoerde scheiding tussen fabriekssystemen en het kantoornetwerk konden de verwerkingslocaties doorwerken; dat voorkwam grote omzetverliezen. Wel moesten veel processen handmatig en op papier worden uitgevoerd: routes en weegregistraties werden op formulieren bijgehouden, recyclingwinkels waren tijdelijk gesloten en de afvalapp en online kalender lagen er enige dagen uit. Medewerkers en managers haastten zich naar kantoren en vergaderden vaak digitaal of vanaf ongewone locaties (onder meer in het Rijksmuseum en Wildlands) om de logistiek te herstellen.

Omrin schakelde beveiligingsspecialisten van Fox-IT in; het Nationaal Cyber Security Centrum bood ook hulp aan, maar concludeerde dat Omrin al de juiste stappen zette. Forensisch onderzoek toonde hoe omvangrijk de toegang was — aanvallers konden in veel persoonlijke werkbestanden graven omdat medewerkers back-ups en documenten centraal op servers opslaan. Cruciaal was dat productie-installaties eerder al van het kantoornetwerk waren losgekoppeld; dat voorkwam sabotage van vitale processen.

De gevolgen voor medewerkers zijn ingrijpend: sommige personeelsleden troffen zeer gevoelige documenten van zichzelf aan in de gelekte data en maken zich zorgen over identiteitsfraude. Omrin biedt ondersteuning en maatwerk voor getroffenen; gemeenten vergoeden het vervangen van gestolen reisdocumenten, hoewel het onderliggende burgerservicenummer hetzelfde blijft. De directie benadrukt dat men probeert het schuldgevoel bij medewerkers weg te nemen en dat volledige veiligheid niet te garanderen is.

De zaak illustreert breder het risico van cybercriminaliteit op vitale en publieke diensten. Qilin opereert waarschijnlijk vanuit Rusland en onderhoudt volgens analisten nauwe banden met radicaal georganiseerde criminele infrastructuren; bewijzen voor directe staatsinmenging ontbreken, maar gegevens uit aanvallen kunnen wel worden doorgegeven. Securityadviseurs waarschuwen dat het betalen van losgeld geen garantie biedt voor volledige terugtrekking of datalekverwijdering en dat criminelen data ook stil kunnen verkopen of delen.

Tijdlijn korte punten: aanval 12 oktober; afvalophaalactiviteiten bleven grotendeels doorgaan; app en kalender waren binnen tien tot twee weken grotendeels hersteld; Qilin claimde de aanval en publiceerde op 25–28 oktober bestanden; 1 november bleek dat ook BSN’s van Schiermonnikoog in de gelekte dataset zaten. Omrin benadrukt dat de acute operationele schade beperkt bleef door snelle noodmaatregelen en bestaande netwerksegmentatie, maar dat de vertrouwens- en privacyimpact voor medewerkers en betrokken inwoners groot is.