De serie grote hacks in een paar maanden is geen toeval
Odido in februari: 6,2 miljoen klantgegevens, inclusief BSN’s en kopieën van identiteitsbewijzen. De gemeente Epe in maart: vrijwel alle inwoners hun persoonsgegevens kwijt. ChipSoft in april: een ransomware-aanval bij de leverancier van het patiëntendossiersysteem van een groot deel van de Nederlandse ziekenhuizen. Basic-Fit, eveneens in april: een miljoen leden wereldwijd, waarvan rond de tweehonderdduizend in Nederland. En een week later het Canvas-systeem dat draait bij 44 Nederlandse onderwijsinstellingen. En dit zijn alleen Nederlandse voorbeelden en is zelfs daarvan nog niet eens de complete lijst.
Persoonlijke reflectie van Jelmer Schreuder, Public Policy Manager Cybersecurity bij NLdigital
Wie hier nog een serie ongelukkige incidenten in ziet, kijkt verkeerd. Dit is een patroon, dat zich bovendien wereldwijd afspeelt. En dat patroon zegt iets over hoe de wereld is veranderd, en wat dat van ons als digitale sector vraagt.
We moeten als maatschappij stoppen met het draaiboek dat na elke grote hack in werking treedt:
En de week erna begint het opnieuw, bij een andere organisatie, in een andere sector. Deze cyclus maakt niemand veiliger, extra wetgeving is bovendien niet eens nodig omdat de bestaande (en reeds geplande) nog niet eens goed ingevoerd is.
Het bestaande script gaat ervan uit dat een goed beveiligd bedrijf niet gehackt wordt. Die aanname klopt steeds minder. En zolang we het draaiboek blijven volgen, vermijden we de vragen die we eigenlijk moeten stellen.
De aanvallerseconomie is gekanteld
Cybersecurity had tot voor kort een vrij heldere economische logica: aanvallen kostte tijd. Een kwetsbaarheid begrijpen vroeg dagen, soms een week, van iemand die echt wist wat hij of zij deed. Pas dan kon er een werkende exploit komen. Voor verdedigers was dat tijd om te patchen, te monitoren, te reageren.
Die tijd hebben we niet meer. Een aanvaller gooit nu een kwetsbaarheid in een AI-tool, en heeft binnen uren een werkende exploit. De diepe expertise die eerder noodzakelijk was, is deels geautomatiseerd. Aanvallen is ordes van grootte goedkoper geworden, en de drempel om te beginnen is fors verlaagd. Volgens Googles Mandiant M-Trends rapport worden kwetsbaarheden inmiddels gemiddeld zeven dagen vóór het uitkomen van een patch al actief misbruikt. In 2018 hadden organisaties nog 63 dagen de tijd om te patchen.
Tegelijk zien we wat de nieuwste modellen kunnen aan de verdedigingskant. Anthropic’s nieuwste model, Claude Mythos, vond in één evaluatieronde 271 nieuwe kwetsbaarheden in Firefox. Het vorige topmodel vond er in vergelijkbaar werk 22. Twaalf keer zoveel.
Dat klinkt als goed nieuws, en is dat ook. Maar laten we eerlijk zijn over de andere kant. Dezelfde technologie die Mozilla helpt, kan ook ingezet worden door iemand met andere bedoelingen. AI-coding agents zijn een zegen voor ontwikkelaars, maar eveneens voor aanvallers. Anthropic heeft Mythos om die reden bewust (nog) niet algemeen vrijgegeven. Dat is een verantwoorde keuze, en ook een tijdelijke. Vergelijkbare capaciteiten komen onvermijdelijk breder beschikbaar: bij andere aanbieders, in open-source, of in gerichte cybersecurity-modellen die net zo goed in handen van aanvallers terechtkomen.
Verdediging op topniveau is nog steeds duur
Mythos kost vijf keer zoveel als zijn voorganger per token. Dat soort budgetten heeft niet elke organisatie. Laat staan de vele open source componenten die breed in gebruik zijn terwijl ze kostenloos beschikbaar zijn gemaakt. Of voor kleine organisaties die geconfronteerd worden met plotseling gestegen cybersecurity eisen. Het eerder genoemde M-Trends rapport laat bovendien zien hoe snel criminele samenwerking is geworden: waar een cybercrimineel in 2022 gemiddeld nog meer dan 8 uur deed over het overdragen van toegang aan een ransomware-partner, duurde dat in 2025 nog maar 22 seconden. We moeten nadenken over hoe we veilig blijven in deze plotselinge snelle omslag.
Dat vraagt om een ander mentaal model. Defense in depth, netwerksegmentatie, assume breach: het waren best practices voor de meest volwassen organisaties. Ze worden de minimumlat. Niet uit doemdenken, maar omdat de kans dat een aanvaller een keer binnenkomt fundamenteel hoger is geworden. De vraag is niet of dat gebeurt, maar wat er gebeurt als dat gebeurt.
Enerzijds is het antwoord relatief simpel: zo snel mogelijk patchen. Maar tegelijk moet je jouw procedures ook weerbaar maken tegen supply-chain aanvallen die mogelijk juist jouw leverancier aanvallen en de patches infecteren. Alleen snelheid is niet genoeg, juist in deze periode van snelle ontwikkeling is zorgvuldigheid belangrijker dan ooit.
Maar laten we eerlijk zijn: het basiswerk is nog vaak onvoldoende
Hier komt het ongemakkelijke deel. Bij geen van de recente grote hacks was de aanvalstechniek fundamenteel onbekend. Het gaat om gestolen credentials, te ruime toegangsrechten, ontbrekende segmentatie en phishing. Precies de zaken waartegen een goede implementatie van de NCSC-basisprincipes zou beschermen:
- Risico’s in kaart.
- Veilig gedrag.
- Systemen beschermen.
- Toegang beheren.
- Voorbereid zijn op incidenten.
Vijf basisprincipes, helder en breed gedragen opgeschreven. We hebben de oplossing al. Maar deze worden niet overal grondig en zorgvuldig uitgevoerd.
Wat AI verandert is niet de richting van wat we moeten doen. Het is de urgentie. Een organisatie kon vroeger met “we werken eraan” wegkomen, omdat de aanvaller toch nog tijd nodig had en misschien jouw organisatie toch niet als eerste zou proberen te hacken. Die tijd is er niet meer. En aanvallen kunnen dusdanig schalen dat iedereen vindbaar is. Een matig beveiligde organisatie staat nu binnen uren onder vuur, niet omdat ze interessant zijn om te hacken maar omdat ze hackbaar zijn. De vraag die bestuurders zich moeten stellen is niet “voldoen we aan de regels”, de vraag is “kunnen we morgen overeind blijven (en snel weer opkrabbelen) als het misgaat”.
Dit is het nieuwe normaal, geen tijdelijke uitschieter
Wie nu denkt dat we hier doorheen moeten en dan rust komt, begrijpt het patroon niet. De volgende generatie modellen komt eraan. De kosten voor aanvallers gaan verder omlaag. Gerichte cybersecurity-AI-modellen worden krachtiger en breder beschikbaar, de gereedschappen die op basis daarvan werken verbeteren nog eens verder. Dit is geen tijdelijke uitschieter, dit is een nieuw plateau.
Dat heeft consequenties voor wat de basis betekent. Patching en supply chain-controles moeten naar een nieuw niveau. Niet “structureel beleid hebben”, maar binnen uren kunnen handelen. Niet “leveranciers in een register hebben staan”, maar weten wat zij gisteren aan kwetsbaarheden hebben opgelost en wat dat voor jouw landschap betekent. Samenwerking tussen leveranciers, met afnemers en met overheid moet intensiever en concreter dan ze nu vaak is. Het een en ander (Cyberweerbaarheidsnetwerk, Cyclotron) staat in de steigers, maar krijgt een veel grotere urgentie dan het al had en moet meer organisaties betrekken.
Tijd om het oude script overboord te gooien
Aan onze leden:
Wees helder over wat je dienstverlening wel en niet omvat. Een klant die denkt dat zijn data “honderd procent veilig” is, is een klant die zich straks bedrogen voelt als het misgaat. Voer een eerlijk en open gesprek over restrisico, risicobereidheid en over wat de klant zelf moet doen. Klaar zijn voor als het mis gaat, incidentplannen, oefenen van de incidentplannen en defense-in-depth maatregelen zijn een noodzaak. En zorg dat de basis altijd op orde is en dat de klant ook weet welke risico’s ze zelf moeten afdekken.
Aan afnemers:
Staar je niet blind op marketingbeloftes, maar voer een grondig gesprek met je (potentiële) leveranciers. Begin met afrekenen op continuïteit, transparantie en samenwerking bij incidenten. Een leverancier die je op minuut één van een crisis aan de telefoon krijgt en die je ondersteunt, is meer waard dan een leverancier die beweert dat het niet kan gebeuren. Kijk kritisch naar je eigen organisatie en hoe weerbaar die is bij cybersecurity incidenten. Cybersecurity is een gedeelde verantwoordelijkheid, dus neem je eigen verantwoordelijkheid bij het implementeren van basisprincipes. Ga met de leverancier in gesprek als de dienstverlening niet voldoet.
Aan de overheid:
Het Cyberweerbaarheidsnetwerk is een goede stap, maar het tempo moet omhoog. En laten we als Nederland actiever meedoen en initiatief nemen voor het Europese gesprek over wat AI-aangedreven aanvallen betekenen voor de weerbaarheid die we collectief willen organiseren.
En aan ons allemaal:
Dit moet nu de boardroom in. Niet als doemverhaal, maar als investeringsvraagstuk. Cybersecurity hoort niet meer bij “operationele IT”. Het hoort bij strategisch risicobeheer, naast financiële en juridische risico’s. Dat vraagt om bestuurders die de juiste vragen stellen en CISO’s die de ruimte krijgen eerlijk antwoord te geven, ook als dat antwoord oncomfortabel is (en die dat zelf aanjagen indien nodig).
We moeten aan de slag, de richting is bekend. Laten we die weg inslaan, in plaats van te hopen niet zelf de volgende te zijn.
Het laatste nieuws
Week vd Digitalisering | Doe mee: dit is ons moment
Europa: geen kopieertaks op Spotify-downloads
Tweede Kamer neemt Cyberbeveiligingswet aan met belangrijke verbeteringen
CRA-meldplicht: wat moet je weten vóór 11 september 2026?
