Logging: To Be or Not To Be

Niet alleen is het onmogelijk om forensisch vast te stellen wat er precies is gebeurd, ook verdwijnt het bewijs dat vóór het incident alles op orde was. Er is geen aantoonbare compliance meer, geen verifieerbare governance en geen objectieve onderbouwing dat er geen sprake was van nalatigheid. In de huidige juridische realiteit is dat vaak doorslaggevender dan de oorzaak van het incident zelf.

Van IT-hulpmiddel naar bestuurlijke realiteit

Lange tijd werd logging gezien als een technisch hulpmiddel. Iets voor beheerders, auditors en securityteams. Handig, noodzakelijk zelfs, maar zelden een onderwerp voor de bestuurskamer. Die tijd ligt achter ons.

Met de invoering van Europese wetgeving zoals NIS2, DORA, GDPR, de Data Act en EU e-Evidence is cybersecurity expliciet een bestuurlijke verantwoordelijkheid geworden. Bestuurders kunnen zich niet langer verschuilen achter techniek of leveranciers. Zij moeten aantoonbaar kunnen maken dat risico’s structureel zijn beheerst, dat governanceprocessen functioneerden en dat er adequaat is gehandeld toen het erop aankwam.

Papier alleen is daarbij niet genoeg. Beleidsdocumenten, frameworks en risicoregisters hebben geen juridische waarde wanneer zij niet worden ondersteund door objectief verifieerbare data. Logging is daarmee verschoven van een operationeel hulpmiddel naar het fundament onder bestuurlijke ‘due diligence’.

Het moment waarop alles kantelt

Na een incident stellen toezichthouders, verzekeraars en soms rechters uiteindelijk maar één vraag: wat kun je bewijzen? Wanneer logging ontbreekt of aantoonbaar beïnvloedbaar is geweest, kan niet meer worden vastgesteld welke beveiligingsmaatregelen actief waren, of compliance daadwerkelijk was geborgd en of processen correct zijn gevolgd. Zelfs als een organisatie alles goed geregeld had, verdwijnt die realiteit samen met de logs.

Het gevolg is een juridisch vacuüm. Goed bestuur verandert achteraf in onbewezen bestuur. En onbewezen bestuur wordt al snel gezien als onvoldoende bestuur.

De grenzen van traditionele SIEM

Veel organisaties vertrouwen op SIEM-oplossingen als ruggengraat van hun securitystrategie. Voor detectie en incidentrespons zijn die systemen onmisbaar. Maar zodra logging een juridische functie krijgt, worden hun beperkingen pijnlijk zichtbaar.

Een vaak vergeten realiteit is dat logs zich meestal bevinden binnen hetzelfde administratieve domein als de rest van de IT-infrastructuur. Dat betekent dat beheerders — bewust of onbewust — de mogelijkheid hebben om logdata te wijzigen, te verwijderen of te overschrijven. Dit is geen theoretisch risico. Tijdens het Libor-schandaal bleek dat medewerkers met beheerdersrechten bij onder meer Rabobank logbestanden manipuleerden om ongeoorloofde handelsactiviteiten te verhullen. Juist omdat de logging niet onafhankelijk was vastgelegd, werd reconstructie achteraf complex en juridisch diffuus. Voor lezers die deze zaak minder scherp op het netvlies hebben: het Libor-schandaal leidde wereldwijd tot miljardenboetes en liet zien hoe kwetsbaar financiële systemen worden zodra de audit trail zelf onderdeel wordt van de fraude.

Van aantonen fraude naar counterparty risk

Dat dit probleem zich niet beperkt tot financiële fraude door insiders, bleek jaren later opnieuw bij grootschalige cyberincidenten. Bij de ransomware-aanval op Colonial Pipeline in 2021, die leidde tot de tijdelijke stillegging van een van de belangrijkste brandstofleidingen van de Verenigde Staten, werd duidelijk hoe kwetsbaar logging is tijdens een crisis. Niet alleen systemen werden versleuteld; ook de beschikbare audit trails bleken onvolledig en moeilijk te reconstrueren. Daardoor bleef lange tijd onduidelijk welke systemen precies waren geraakt, welke data was benaderd en in welk tijdsvenster de aanvallers actief waren geweest. Ondanks moderne security tooling ontbrak een onweerlegbaar, onafhankelijk vastgelegd feitenrelaas.

Deze voorbeelden maken duidelijk dat logging die zich binnen hetzelfde operationele domein bevindt — of dat nu on‑premise is of binnen één en dezelfde cloudomgeving — altijd vatbaar blijft voor twijfel. Dat geldt dus ook wanneer organisaties vertrouwen op grote cloudproviders: zolang logging, opslag en beheer binnen hetzelfde administratieve en juridische domein vallen, blijft beïnvloeding in theorie mogelijk.

Daarmee raakt logging direct aan het debat over soevereine clouds en introduceert zij een vaak onderschat risico: counterparty risk. Niet alleen de vraag waar data staat is relevant, maar vooral wie de feitelijke controle heeft over de bewijslast. Kan een cloudleverancier — bewust of onbewust — logdata aanpassen, filteren of onvolledig leveren om eigen tekortkomingen, storingen of beveiligingsincidenten te maskeren? Zodra die vraag niet ondubbelzinnig met ‘nee’ kan worden beantwoord, verdampt de juridische bewijskracht van die logging.

De digitale Blackbox als antwoord

Geïnspireerd op de luchtvaart introduceert Digicorp Labs het concept van een digitale Blackbox. Net als een flight recorder functioneert deze volledig los van operationele IT- en SIEM-omgevingen. De Blackbox legt onveranderlijk vast wat er feitelijk is gebeurd, welke beveiligings- en compliance‑maatregelen actief waren en welke acties zijn ondernomen door mensen, systemen of autonome agents.

Cruciaal daarbij is dat niet alleen incidenten worden vastgelegd, maar juist ook de staat van governance en risicobeheersing vóórdat het misging. In aansprakelijkheidskwesties blijkt dat onderscheid essentieel. Niet de vraag wat er fout ging, maar of aantoonbaar is dat het vóór dat moment goed geregeld was, is vaak doorslaggevend.

Logging als juridisch bewijs

Binnen deze Blackbox wordt elke logregel cryptografisch gehasht, voorzien van een exacte timestamp en aantoonbaar verzegeld in een open blockchain. Daarmee ontstaat een logginglaag die aantoonbaar niet te manipuleren is en onafhankelijk kan worden geverifieerd. Intussen is er een patent verleend op deze innovatieve, blockchain ondersteunde wijze van het bewijzen van zowel data vastlegging alsmede het data-eigenaarschap van de functionaris of het systeem die de data goedkeurde. Zie mijn blog hierover ‘NFD: het geboortebewijs van data’.

De innovatieve vastlegging van de data zelf is gebaseerd op het Hitachi Content Platform van Hitachi, een Japanse technologie-onderneming en nadrukkelijk geen Amerikaanse hyperscaler. Daarmee valt de opslag buiten het bereik van Amerikaanse wetgeving zoals de Cloud Act. Het platform is ontworpen voor compliance en langdurige dataconservering over tientallen jaren, waardoor bewijslast juridisch houdbaar blijft over de volledige wettelijke bewaartermijn, ongeacht veranderingen in infrastructuur, leveranciers of technologie.

Compliance zonder verlammende kosten

Wetgeving schrijft lange bewaartermijnen voor, maar vereist niet dat alle data permanent direct beschikbaar is. Door logging slim te segmenteren over verschillende opslaglagen kan compliance worden gerealiseerd zonder kostenexplosie. Data die nodig is voor directe incidentrespons blijft snel toegankelijk, terwijl audit‑ en reconstructiedata kostenefficiënt wordt opgeslagen en wettelijke bewaarplichtdata veilig wordt bewaard binnen de juiste jurisdicties. Zo blijven data‑soevereiniteit en governance structureel geborgd.

Veel organisaties zijn afhankelijk van legacy‑systemen die niet eenvoudig te migreren zijn. Dat is begrijpelijk, maar juridisch geen excuus. Ook hier geldt dat bestaande logging kan worden behouden, afgeschermd en onafhankelijk verzegeld. Zo blijven bedrijfskritische processen operationeel, terwijl de bewijslast voldoet aan moderne wetgeving.

De weg voorwaarts

In een juridisch verzwaarde digitale realiteit is logging geen ondersteunende IT‑functie meer. Het is een bestuurlijke verdedigingslinie. Wie zijn logging verliest, verliest niet alleen inzicht in wat er misging, maar ook het bewijs dat het vóór dat moment goed geregeld was. Het verschil tussen uitleggen en bewijzen bepaalt steeds vaker de uitkomst van toezicht, aansprakelijkheid en vertrouwen.

Niet verklaren wat er is gebeurd. Maar aantonen wat wél op orde was.

Door: Hans Timmerman (foto)