De blinde vlek van de Nederlandse ICT
Het ministerie van Financiën dat maandenlang is geïnfiltreerd door hackers, een Amsterdammer die met een deepfake-foto 47 bankrekeningen opent en een Cybersecurityraad die alarm slaat. De digitale ontwrichting van Nederland is geen sciencefiction meer, maar de realiteit van de afgelopen maanden. In een radio-uitzending van People Work Technology op New Business Radio, gepresenteerd door Richard Bordes, bogen vier cybersecurity-experts zich over de prangende vraag: wie houdt de regie in de digitale storm?
De rode draad door het gesprek is even helder als verontrustend: de grootste kwetsbaarheid van Nederland ligt niet zozeer in de techniek, maar in het feit dat we de grip op onze eigen digitale binnenwereld aan het verliezen zijn.
Drie maanden radiostilte na overheids-hack
Witold Kepinski, al 25 jaar boegbeeld van Dutch IT Channel, trapte af met de hack bij het ministerie van Financiën. Inbrekers sloegen daar toe, maar de Tweede Kamer werd pas drie maanden later ingelicht. Hoewel critici spreken van een doofpot, nuanceert Kepinski de situatie: het kost simpelweg tijd om de schade in kaart te brengen.
Toch legt het incident een structureel probleem bloot. Hackers opereren geraffineerd: „Vaak zitten ze er al een week in en zijn ze de boel al aan het besnuffelen en stelen voordat er iets wordt opgemerkt.”
Dat de Cybersecurityraad 690 miljoen euro vrijmaakt om Nederland digitaal weerbaarder te maken, noemt Kepinski een bittere noodzaak. "Als je kijkt naar de waarde van onze datacenters, onze waterwerken en ons elektriciteitsnet, dan is dit een redelijke investering. Niets doen kost uiteindelijk vele malen meer."
De onzichtbare wildgroei van 'niet-menselijke' identiteiten
De meest fundamentele waarschuwing kwam van Jeroen Remie, specialist Identity & Access Management bij CIT Traction. Bedrijven zijn blind voor wie — of wát — er op hun netwerken actief is. Maar liefst 63 procent van de organisaties onderneemt pas actie op het gebied van toegangsbeheer ná een hack of een pijnlijke audit. Slechts 11 procent regelt dit structureel op bestuursniveau.
Remie vatte het probleem kernachtig samen: „Als je niet weet wie je vertrouwde binnenwereld is, kun je de boze buitenwereld ook niet buiten houden.”
De komst van kunstmatige intelligentie (AI) maakt deze blinde vlek levensgevaarlijk. Vroeger deelden IT-beheerders accounts uit aan werknemers als Jantje of Pietje. Vandaag de dag staat er tegenover één menselijke identiteit gemiddeld 144 niet-menselijke identiteiten, zoals AI-agents, softwarebots en geautomatiseerde applicaties. Als een hacker een AI-agent overneemt, is de schade niet meer te overzien. "Dan praten we niet meer over een incident waarbij de menselijke traagheid de schade nog enigszins beperkt. Een AI-agent kan binnen één minuut je hele bedrijfsdata weggeven."
Bedrijven moeten volgens Remie direct beginnen met 'discovery': het simpelweg in kaart brengen van welke digitale entiteiten er überhaupt in hun systemen rondlopen. Dat dit bittere ernst is, blijkt wel uit het feit dat techgigant Microsoft inmiddels exact dezelfde prioriteit stelt om het "Wilde Westen van AI-agents" te temmen.
Kwantumdreiging en duizenden verborgen lekken
Jos Schimmel, security strateeg bij Conscia Nederland, keek nog een stap verder in de toekomst. Hij waarschuwde voor de komst van de kwantumcomputer, die rond 2030 de huidige standaarden voor encryptie (databeveiliging) in één klap waardeloos zal maken. Bedrijven met gevoelige gegevens die lang houdbaar moeten blijven, zoals tech-pionier ASML, moeten hun systemen nu al 'kwantum-ready' maken.
Daarnaast onthulde Schimmel de impact van Claude Mythos, een nog niet openbaar topmodel van AI-ontwikkelaar Anthropic. Grote securitybedrijven kregen onlangs exclusieve toegang om deze AI los te laten op hun eigen softwarecode. Het resultaat was schokkend: de AI vond niet tientallen, maar duizenden kwetsbaarheden die al twintig jaar onopgemerkt in vertrouwde softwarepakketten zaten. Dat verklaart volgens Schimmel de huidige stormvloed aan software-updates en patches in de techwereld.
Ondanks deze dreigingen blijft Schimmel realistisch over de roep om Europese 'datasoevereiniteit': volledige onafhankelijkheid van de VS is voorlopig een illusie. De achterkant van onze IT-infrastructuur blijft buitenlands, al kunnen we er wel voor kiezen om de daadwerkelijke dataopslag strikt binnen de Europese grenzen te houden.
De taalbarrière in de boardroom
Waarom dringen deze urgente signalen zo moeilijk door tot de bedrijfstop? Volgens de experts praten IT-security professionals nog te vaak in onbegrijpelijke afkortingen. „Als je het niet kunt uitleggen aan je schoonmoeder, moet je terug naar de tekentafel”, stelde Schimmel scherp.
Remie voegde daaraan toe dat directies niet dom zijn, maar simpelweg overprikkeld. Ze hebben behoefte aan hapklare prioriteiten. "Als je naar een chirurg gaat, wil je ook niet weten welk type scalpel hij gebruikt; je wilt gewoon horen hoe je beter wordt."
Het uur werd afgesloten door Kevin Zwaan (QCyber), die als ethisch hacker dagelijks systemen binnendringt. Zijn conclusie was nuchter: "Ik ben nog nooit een bedrijf tegengekomen waar we niets vonden. Er is áltijd een zwakke plek, een link van een gewone gebruiker naar een beheerdersaccount, die wij kunnen uitbuiten." Zijn advies is dan ook helder: huur professionals in die denken zoals de aanvaller. Alleen door met de ogen van de vijand te kijken, kan Nederland zijn digitale voordeur effectief op slot houden.
Foto VLNR: HP van Tilburg (People Work Technology), Jeroen Remi (CIT Traction), Jos Schimmel (Conscia Nederland), Peter Reyneveld (Dutchit.com), Richard Bordes (People Work Technology), Witold Kepinski (Dutchit.com) en Kevin Zwaan (QCyber)
Meer over Cloud
Over Witold Kepinski
