Twee weken lang werd Omrin gegijzeld door Russische hackers. Er werd geen cent betaald

donderdag, 6 november 2025 (19:13) - Dagblad van het Noorden

In dit artikel:

Afvalverwerker Omrin uit Noord‑Nederland werd midden oktober twee weken lang gegijzeld door een ransomware‑aanval van de groep Qilin. De aanval begon in de nacht van zaterdag 12 op zondag 13 oktober, toen ongewone datastromen werden ontdekt en het netwerk direct offline werd gehaald. Meer dan een terabyte aan bestanden — duizenden documenten waaronder werknemerssalarissen, woonadressen en kopieën van identiteitsbewijzen — belandde uiteindelijk op het internet. Ook stonden per ongeluk burgerservicenummers van inwoners van Schiermonnikoog in de gelekte data; die waren door de gemeente onbedoeld met Omrin gedeeld.

Omrin is de grootste afvalverwerker in het noorden van Nederland, actief in vrijwel alle Friese gemeenten (met één uitzondering), delen van Groningen, Aalsmeer en straks ook Harderwijk voor de noord‑Veluwe. Operationeel verliep de aanval niet desastreus dankzij snelle ingrepen: het netwerk werd afgesloten, fabrieken waren vorig jaar al gescheiden van het kantoornetwerk en zo konden de dagelijkse inzamelingen doorgaan. Routes en weeggegevens moesten tijdelijk handmatig op papier worden uitgewerkt; recyclingwinkels moesten korte tijd dicht omdat betalingen niet konden worden verwerkt, en de afvalapp en -kalender lagen enkele dagen tot ruim een week plat.

De daders sloten zich aan bij de ransomwarebende Qilin, die sinds 2023 actief is en vermoedelijk vanuit Rusland opereert. Qilin plaatste op 25 oktober eerst claims en kort daarna fragmenten van bestanden online; op 28 oktober publiceerden ze uiteindelijk ruim 1 TB aan gestolen gegevens. Omrin heeft geen losgeld betaald en heeft ook geen direct contact met de hackers gezocht. De directie gaf aan dat betalen onwenselijk is met publiek geld en bovendien geen garantie biedt dat data niet alsnog wordt misbruikt of verkocht. Veiligheidsadvies werd ingewonnen bij het Nationaal Cyber Security Centrum; Omrin huurde het forensische beveiligingsbedrijf Fox‑IT in voor onderzoek en herstel.

Medewerkers en bestuur kwamen binnen uren in crisismodus: IT‑teams werkten op zondag op kantoor, managers vergaderden deels op afstand (enkele medewerkers belden in vanuit musea en een dierentuin) en cliënten en gemeenten werden geïnformeerd. Het bedrijf benadrukt dat cruciale redundantie — zoals de eerder doorgevoerde scheiding tussen fabrieks‑ en kantoornetwerken — cruciaal was om grootschalig productieverlies te voorkomen. De precieze manier van binnenkomst wordt door Omrin niet openbaar gemaakt; het lek zou inmiddels gedicht zijn.

De publicatie van persoonlijke en personeelsgegevens heeft bij medewerkers emotionele en praktische gevolgen. Enkele werknemers voelen zich schuldig of bang voor identiteitsfraude; de werkgever werkt aan individuele ondersteuning en praktische oplossingen. Voor inwoners van Schiermonnikoog is het probleem pijnlijker omdat BSN‑gegevens zichtbaar werden; de gemeente erkende dat die gegevens niet naar Omrin hadden mogen worden gestuurd.

Breder gezien laat de zaak zien hoe kwetsbaar ook essentiële, lokale infrastructuren zijn voor internationale cybercriminelen. Qilin en vergelijkbare bendes hanteren een patroon van gijzeling en publicatie om betaling af te dwingen; veiligheidsexperts waarschuwen dat betalen niet per se leidt tot herstel of verwijdering van gelekte data. Omrin zelf noemt de gebeurtenis een harde reminder van de kosten en risico’s van vijftien jaar digitalisering: functioneren zonder IT bleek mogelijk, maar arbeidsintensief. De organisatie werkt nu aan nazorg, verdere beveiliging en het lessen trekken uit de aanval.