NLdigital: Serie grote hacks is geen toeval, maar nieuw plateau

Het lijstje met recente slachtoffers is lang en divers: telecomprovider Odido (6,2 miljoen gestolen klantgegevens), de gemeente Epe (datalek van vrijwel alle inwoners), ChipSoft (ransomware-aanval bij de grootste EPD-leverancier van Nederlandse ziekenhuizen), Basic-Fit (een miljoen gedupeerde leden) en de hack van het Canvas-onderwijssysteem bij 44 instellingen. Schreuder benadrukt dat het traditionele draaiboek na een hack – waarin het getroffen bedrijf beterschap belooft, de politiek om strengere wetten roept en juristen massaclaims voorbereiden – zijn langste tijd heeft gehad. Meer regels gaan het probleem niet oplossen.

Gekantelde aanvallerseconomie

De kern van de verandering ligt in de snelheid en schaalbaarheid van cyberaanvallen. Waar een hacker voorheen dagen of weken handmatig naar kwetsbaarheden moest zoeken, automatiseren AI-tools dit proces nu volledig. Aanvallen is daardoor vele malen goedkoper geworden en de drempel voor cybercriminelen is drastisch verlaagd.

Cijfers uit het recente Mandiant M-Trends rapport van Google onderstrepen deze zorgwekkende trend. Waar organisaties in 2018 nog gemiddeld 63 dagen de tijd hadden om een bekend lek te dichten voordat er misbruik van werd gemaakt, worden kwetsbaarheden tegenwoordig gemiddeld zeven dagen vóór de officiële release van een softwarepatch al actief misbruikt. Ook de onderlinge samenwerking tussen cybercriminelen verloopt razendsnel: de tijd die een hacker in 2022 nodig had om toegang over te dragen aan een ransomware-partner bedroeg gemiddeld 8 uur; in 2025 was dit geslonken naar slechts 22 seconden.

Aan de verdedigingskant biedt AI weliswaar krachtige tegenstoot – zo vond het nieuwste AI-model Claude Mythos van Anthropic in één testronde twaalf keer zoveel kwetsbaarheden in Firefox als zijn voorganger – maar deze hoogwaardige verdediging is kostbaar. Bovendien vallen dezelfde AI-coding agents onvermijdelijk ook in handen van kwaadwillenden.

Basisbeveiliging blijft achter

Ondanks de geavanceerde technologie achter de aanvallen, legt Schreuder de vinger op een zere plek: bij geen van de recente grote hacks was de gebruikte techniek fundamenteel nieuw. In vrijwel alle gevallen kregen aanvallers toegang via gestolen inloggegevens, te ruime toegangsrechten, ontbrekende netwerksegmentatie en phishing.

Volgens NLdigital biedt een strikte naleving van de vijf basisprincipes van het Nationaal Cybersecurity Centrum (NCSC) – risico's in kaart brengen, veilig gedrag stimuleren, systemen beschermen, toegang beheren en voorbereid zijn op incidenten – nog altijd de beste bescherming. Wat AI verandert, is niet de richting van wat organisaties moeten doen, maar de urgentie. Organisaties worden vandaag de dag niet meer aangevallen omdat ze specifiek interessant zijn, maar simpelweg omdat ze geautomatiseerd vindbaar en 'hackbaar' zijn.

Oproep tot actie

NLdigital roept alle schakels in de keten op om het oude script overboord te gooien en cybersecurity te verschuiven van operationele IT naar strategisch risicobeheer in de boardroom:

IT-leveranciers moeten eerlijk zijn over restrisico’s en de verwachting wegnemen dat IT ooit "honderd procent veilig" is.

Afnemers moeten leveranciers niet selecteren op marketingbeloftes, maar op transparantie, continuïteit en de snelheid waarmee zij bij een incident gezamenlijk kunnen optrekken.

De overheid moet het tempo rondom nationale initiatieven, zoals het Cyberweerbaarheidsnetwerk, fors opschroeven en in Europa het voortouw nemen in het debat over AI-aangedreven dreigingen.

"Dit is het nieuwe normaal, geen tijdelijke uitschieter", waarschuwt Schreuder. Bestuurders moeten zich volgens hem niet langer afvragen of ze aan de regels voldoen, maar of hun organisatie morgen in staat is snel weer op te krabbelen als het onvermijdelijk misgaat.