AI-aanvallen bereiken recordhoogte

Cyberaanvallen bestaan niet langer uit afzonderlijke technieken, maar worden steeds vaker opgezet als gecoördineerde campagnes waarin AI, ransomware, identiteitsmisbruik en hybride IT-omgevingen doelbewust worden gecombineerd. Volgens het Cyber Security Report 2026 van Check Point Technologies verschuift het dreigingslandschap hierdoor fundamenteel: aanvallers winnen snelheid en schaal door automatisering en AI, terwijl veel organisaties nog werken met beveiligingsmodellen die zijn ontworpen voor afzonderlijke dreigingen. Nooit eerder zagen organisaties zoveel aanvallen, gemiddeld bijna 2000 per week per organisatie.

Hoewel in Nederland het aantal aanvallen beneden het gemiddelde blijft, groeide het aantal aanvallen per week wel met 38% naar 1167. De incidenten betroffen voornamelijk mogelijke datalekken, misbruik van toegangsrechten en manipulatie van AI-prompts. De belangrijkste doelwitten in Europe waren de sectoren onderwijs, telecom en overheid.

AI als volwaardige aanvalsvector

De invoering van AI binnen bedrijven verliep sneller dan de bijbehorende beveiligingsmaatregelen. Aanvallers hebben die achterstand benut. Uit gegevens die zijn verzameld uit AI-omgevingen van bedrijven blijkt dat 90% binnen een periode van drie maanden te maken kreeg met risicovolle interacties met AI-tools.

Ook de infrastructuur achter AI-systemen blijkt kwetsbaar. Onderzoek van Lakera, onderdeel van Check Point, naar duizenden MCP-servers toonde aan dat 40% onvoldoende beveiligd is, wat de potentiële impact van incidenten vergroot. AI-systemen maken steeds vaker deel uit van de operationele structuur van organisaties. Als ze falen, falen ze hevig en op grote schaal.

Ransomware versnelt door fragmentatie en automatisering

Het aantal ransomware-aanvallen bleef toenemen, terwijl deze steeds meer verspreid en geautomatiseerd werden. In 2025 werden ransomware-activiteiten vaker opgedeeld in kleinere, snellere en meer gespecialiseerde aanvallen die werden ondersteund door AI-automatisering. AI wordt ingezet om doelwitten te selecteren, te onderhandelen en druk op te voeren, vooral in scenario’s waar data-diefstal centraal staat.

Het resultaat was meer aanvallen, kortere aanwezigheid en hogere operationele druk op beveiligingsteams. Het rapport toont een stijging van 53% meer slachtoffers op jaarbasis en een stijging van 50% in nieuwe ransomware-as-a-service-groepen. Opvallend is dat deze ransomware-aanvallen zelden afhankelijk zijn van nieuwe kwetsbaarheden, maar vooral misbruik maken van bestaande toegangen en trage detectie.

Social engineering verlaat de inbox

E-mail was verantwoordelijk voor 82% van de levering van schadelijke bestanden, terwijl webgebaseerde aanvallen 18% vertegenwoordigden. Hoewel e-mail het belangrijkste kanaal blijft voor het verspreiden van malware, breiden aanvallers hun tactieken uit. Telefoonfraude, webgebaseerde aanvallen en misbruik van samenwerkingsplatformen worden steeds vaker gecombineerd in één gecoördineerde operatie.

Het rapport stelt vast dat multichannel social engineering toeneemt, waarbij vertrouwen, urgentie en automatisering samen worden ingezet om technische controles te omzeilen. ClickFix-campagnes, het misleiden van gebruikers om zélf schadelijke acties uit te voeren op hun computer, namen met ongeveer 500% toe.

Cyberoperaties zijn een vast onderdeel van geopolitieke conflicten

In 2025 werden cyberactiviteiten structureel ingezet ter ondersteuning van militaire en geopolitieke doelstellingen. Campagnes richten zich daarbij niet alleen op overheidsdoelwitten, maar ook op civiele systemen, cloud-omgevingen en essentiële infrastructuur. Artificiële intelligentie vergroot de schaal en snelheid van beïnvloedingsoperaties, terwijl civiele werkomgevingen steeds vaker worden benaderd om vertrouwen en continuïteit te ondermijnen. Onvoldoende beheerde digitale blootstelling kan zo snel uitmonden in strategisch nadeel.

Zahier Madhar, Enterprise Architect & Evangelist, Office of the CTO bij Check Point Software Technologies: “De explosieve groei van het aantal aanvallen heeft te maken met een samenloop van omstandigheden. De geopolitieke spanning zorgt ervoor dat state-actors steeds vaker en grotere campagnes gaan voeren. Daarnaast zijn we in Nederland een early adaptor van nieuwe technologieën. Hierdoor zie je dat bedrijven sneller stappen zetten op het gebied van AI, IOT en cloud. Dit zorgt er wel voor dat er nieuwe dreigingsfactoren geïntroduceerd worden, zoals de genoemde MCP-servers. Het is een noodzaak om deze te beveiligen omdat veel MCP-servers toegang geven tot API, data of tools. Dit zorgt voor nieuwe aanvalsfactoren. Het is daarom ook de taak van de CISO’s van deze organisaties om constant te onderzoeken welke nieuwe risico's digitalisering met zich meebrengt en hoe je deze het best kan adresseren.”

Hybride IT-omgevingen vergroten het risico

De grootste structurele kwetsbaarheid zit volgens het rapport niet in technologie, maar in complexiteit. De combinatie van cloud, lokale systemen en edge-infrastructuur creëert een versnipperd aanvalsoppervlak dat moeilijk consistent te beveiligen is. Aanvallers maken steeds vaker gebruik van slecht bewaakte edge-apparaten als eerste toegangspunt. Van daaruit verzamelen ze inloggegevens en bewegen ze lateraal door netwerken, vaak voordat afwijkend gedrag wordt opgemerkt.

Het volledige rapport is hier te vinden.