De meeste cyberaanvallen slagen niet zozeer omdat criminelen zo slim zijn maar door pure verwaarlozing van de basale cybersecurity-hygiëne. Achterstallig it-onderhoud, zwakke identiteitsbeveiliging en gebrekkige monitoring vormen onder andere de echte oorzaak.
Dit blijkt uit het ‘2026 Hunt & Hackett Trend Report‘ van het Nederlandse cyberbeveiligingsbedrijf van Ronald Prins en Jurjen Harskamp. Ook de geruchtmakende hack bij Odido deed twijfels ontstaan over de identiteitsbeveiliging en monitoring daar. En het Forum Standaardisatie signaleert dat het veel overheden maar niet lukt om hun internetdomeinen veilig te configureren.
Het nieuwe trendrapport laat zien dat relatief eenvoudige aanvalstechnieken al een grote impact kunnen hebben op organisaties. Dit terwijl de complexiteit van de dreigingen in hoog tempo toeneemt. In de meeste gevallen waren de gebruikte technieken al lang bekend, uitvoerig gedocumenteerd en detecteerbaar met de juiste controles.
Stapelen
In ingewikkelde it- en ot-omgevingen blijkt het lastig voor organisaties om die controles structureel en op grote schaal te implementeren en te onderhouden. Volgens Jurjen Harskamp van Hunt & Hackett is het dan geenszins eenvoudig om alles veilig te houden. ‘In de loop der tijd stapelen kwetsbaarheden zich op door legacy-systemen, ingebedde componenten en complexe afhankelijkheden die vaak slechts gedeeltelijk worden begrepen. Omdat systemen gelaagd en onderling verbonden zijn, kan het oplossen van één kwetsbaarheid elders gevolgen hebben. Juist van deze hiaten en vertragingen maken aanvallers gebruik.’
Van de ‘Incident Response‑cases’ uit 2025, die voor het rapport werden geanalyseerd, was 71 procent financieel gemotiveerd. Ransomware kwam het meest voor (43 procent), gevolgd door mailfraude (29 procent).
Verder blijkt dat aanvallers vooral misbruik maken van zwakke plekken in de identiteitsbeveiliging; precies zoals bij Odido gebeurde. Overigens heeft het telecombedrijf nog steeds weinig over het datalek bekendgemaakt.
Vier prioriteiten
Het rapport van Hunt & Hackett benoemt vier prioriteiten die het risico direct verlagen:
- Versterk identiteitsbeveiliging
Beperk overmatige toegangsrechten, bescherm beheerdersaccounts en dwing sterke multifactor-authenticatie af;
- Beperk blootstelling
Patch internet-gerichte systemen snel en verwijder onnodige diensten van het publieke internet;
- Vergroot zichtbaarheid
Zorg dat kritieke systemen security-logs genereren, monitor deze actief en bewaar deze lang genoeg voor incidentonderzoek, proactieve detectie en threat hunting;
- Test respons
Oefen response-scenario’s en zorg dat forensisch bewijs snel veiliggesteld kan worden.
De open deur als open deur.
En als je afsluit, dan sleutel niet onder mat leggen.
Maar de 71% financiele motivatie doet me afvragen of de rest een aparte hobby heeft.
“complexe afhankelijkheden die vaak slechts gedeeltelijk worden begrepen.”
Beetje het euvel van moderne tijd: systemen en interactie.
Ik ken iemand die vindt dat je in dat geval gewoon beter moet definieren: definieer zaken die gebaseerd zijn op zaken die je al gedefinieerd hebt. Zodoende zou alles begrijpelijk worden.
Maar als je die vraagt naar een praktijkvoorbeeld, begint die meteen te schelden.
Dat doet de deur dicht.
AI lost alles op behalve slecht gedocumenteerde systemen, de valsheidsscore in het configuratie management vraagt hierdoor vaak om reversed engineering. Legacy is tenslotte gewoon de erfenis van een beleid als we kijken naar de reconstructie van waardeketens. Legacy-systemen zijn namelijk de beslissingen uit 2007, de uitzonderingen uit 2012, de tijdelijke koppelingen uit 2016 en de juridische workarounds uit 2019. En niets van dit alles is terugvertaald naar een CMDB-waarheid, een IAM-beleid, een dataclassificatie en lifecycle governance. SOA done wrong als het om een definitie van waanzin gaat.
De waan van de dag in het patch management is hierdoor als een heidebrand blussen met een emmertje water. Van open deur naar open systemen is het niet een kwetsbaarheidsprobleem maar een kenbaarheidsprobleem want kwetsbaarheden kun je scannen. Omdat systemen gelaagd en onderling verbonden zijn, kan het oplossen van één kwetsbaarheid elders gevolgen hebben. En regressietesten kosten tijd waardoor aanvallers in het voordeel zijn, het niet aanbrengen van beveiligingsupdates omdat functionaliteit op een bug geschreven is laat vooral de ramen wagenwijd openstaan. En een sterke identiteitsbeveiliging maar domme gebruikers laat de deur op een kier staan.
De 29% met een aparte hobby zijn vaak indirect financieel gemotiveerd, de jagers op bugs die hun beloning op een andere manier claimen. Deze onderzoekers hebben hun reputatie niet te danken aan media aandacht maar aan code analyse en reversed engineering en dwingen (onder responsible disclosure regimes) organisaties in de praktijk tot het bijhouden van een register met reeds bekende kwetsbaarheden. Want veel incidenten zijn gewoon een geaccepteerd risico, achterstallig cyberhygiëne als beleid gaat tenslotte grotendeels om onderhoud.
Risico is een wel gepatchte server en de nog niet gepatchte server noemt men legacy 😉
Of eigenlijk de hele CMDB, ook wel historisch archief genoemd.
Interesssant hoor, al die CI en owners die alleen de ouwelui in de orginanisatie nog kennen,
van naam dan. En dan volgt vast een verhaal over vroeger. Als je pech hebt, iets met ponskaarten
Maar The proof is in the pudding, testen dus.
Die regressietesten hoeven helemaal niet zoveel tijd te kosten.
Moet je wel je infra en diensten onder controle hebben, dependencies enzo.
En de AI spiegel van Neregeb is daarbij wat anders dan een progressietest.
Een wijziging levert een progressietest op, die je naderhand in de regressietest moet toevoegen.
Als je die progressietest automatiseert in de regressie ben je er al.