Rebecca Lumley en Tom Moester (Hunt & Hackett) tijdens Cybersec Netherlands 2026
Jarenlang werd technische schuld (technical debt) vooral gezien als een intern it-vraagstuk. Legacy-systemen die nog een paar jaar mee moeten. Verouderde softwarecomponenten die voorlopig niet vervangen worden. Cloudomgevingen die sneller zijn gegroeid dan de governance daaromheen. En afhankelijkheden waarvan niemand precies weet waar ze zich bevinden.
Juist die ontwikkeling staat centraal op 9 en 10 september tijdens Cybersec Netherlands 2026, waar Tom Moester en Rebecca Lumley van Hunt & Hackett op dag twee de keynote ‘The painful cost of ‘we’ll fix it later’: how cybercriminals exploit technical debt for profit’ verzorgen. Hun centrale stelling is dat technische schuld allang niet meer alleen een operationeel of governancevraagstuk is. In een steeds verder digitaliserende economie vormt het een aantrekkelijk verdienmodel voor cybercriminelen die systematisch op zoek gaan naar organisaties waar achterstallig technisch onderhoud zich heeft vertaald in een groter aanvalsoppervlak.
In een tijd waarin organisaties onder druk staan om sneller te digitaliseren, wordt technische schuld vaak beschouwd als een onvermijdelijke consequentie van innovatie. Maar volgens steeds meer cybersecurityspecialisten verdient deze erfenis een andere benadering. Technische schuld is niet langer alleen een operationeel probleem. Het vormt een aantrekkelijk verdienmodel voor cybercriminelen.
Van kwetsbaarheid naar verdienmodel
Waar traditionele securityprogramma’s zich vaak richten op individuele kwetsbaarheden, ontstaat steeds meer aandacht voor de onderliggende oorzaken die systemen aantrekkelijk maken voor aanvallers. Niet één ontbrekende patch vormt het risico, maar een opeenstapeling van verouderde technologie, onvoldoende inzicht in afhankelijkheden en uitgestelde modernisering.
Dat is zichtbaar in vrijwel alle onderdelen van de digitale infrastructuur. Organisaties beheren tegenwoordig een combinatie van on-premises systemen, meerdere cloudplatformen, saas-diensten, ot-omgevingen, edge-devices en ai-integraties. Tegelijkertijd worden softwareketens steeds complexer. Een enkele applicatie kan afhankelijk zijn van honderden externe componenten en open-sourcebibliotheken. Het gevolg is een voortdurend groeiend aanvalsoppervlak waarin technische schuld zich vaak jarenlang ongemerkt ophoopt.
Professionelere cybercrime
Daar komt een tweede ontwikkeling bij. Cybercriminaliteit professionaliseert in hoog tempo. Aanvallers werken steeds vaker volgens een gespecialiseerd bedrijfsmodel waarbij verschillende groepen verantwoordelijk zijn voor specifieke onderdelen van een aanval.
Een belangrijke rol is daarbij weggelegd voor zogeheten Initial Access Brokers (IAB’s). Deze partijen richten zich uitsluitend op het identificeren van kwetsbare organisaties en het verkrijgen van toegang tot systemen. Die toegang wordt vervolgens doorverkocht aan ransomwaregroepen of andere criminele netwerken.
In deze markt vertegenwoordigt technische schuld een directe economische waarde. Verouderde systemen, slecht beheerde cloudomgevingen en vergeten digitale assets vormen een relatief goedkope manier om toegang tot organisaties te verkrijgen.
Ai versnelt zoektocht
Ook de opkomst van kunstmatige intelligentie verandert het speelveld. Securityteams zetten ai steeds vaker in voor detectie en analyse, maar dezelfde technologie kan ook door aanvallers worden ingezet.
Onderzoekers zien een ontwikkeling waarbij het identificeren van kwetsbare systemen steeds verder wordt geautomatiseerd. Hierdoor kunnen cybercriminelen sneller en op grotere schaal potentiële doelwitten selecteren. Niet elke kwetsbaarheid hoeft daarbij direct misbruikt te worden. Het gaat vooral om het vinden van omgevingen waarin verschillende vormen van technische schuld samenkomen en zo nieuwe aanvalspaden creëren.
Inzicht in digitale weerbaarheid
Voor bestuurders en securityverantwoordelijken betekent dit dat traditionele kwetsbaarheidsmanagementprogramma’s mogelijk niet langer voldoende zijn. Een hoge CVSS-score vertelt immers niet altijd welke systemen voor een aanvaller daadwerkelijk interessant zijn.
Steeds vaker ontstaat daarom de behoefte aan een bredere benadering waarin niet alleen individuele kwetsbaarheden worden beoordeeld, maar ook de onderliggende technische schuld, afhankelijkheden en potentiële aanvalsketens. De centrale vraag verschuift daarmee van ‘welke actor vormt een bedreiging?’ naar ‘welke onderdelen van onze omgeving maken ons aantrekkelijk voor aanvallers?’.
Cyberweerbaarheidsstrategie
Deze verschuiving staat centraal in de keynote ‘The painful cost of ‘we’ll fix it later’: how cybercriminals exploit technical debt for profit’ tijdens Cybersec Netherlands 2026. In hun presentatie laten Tom Moester en Rebecca Lumley zien hoe cybercriminelen technische schuld steeds vaker benaderen als een economisch exploiteerbaar bezit. Daarbij gaan zij onder meer in op de groei van gespecialiseerde cybercriminele markten, de rol van ai bij het identificeren van kwetsbare doelwitten en de vraag hoe organisaties technische schuld kunnen benaderen als onderdeel van hun cyberweerbaarheidsstrategie. Voor organisaties die hun digitale weerbaarheid willen versterken, is dat een discussie die verder gaat dan patchmanagement alleen. Want wie technische schuld uitsluitend als it-achterstallig onderhoud blijft zien, loopt het risico dat cybercriminelen de rekening uiteindelijk innen.
Bezoek Cybersec Netherlands 2026
Ontdek de nieuwste ontwikkelingen in cybersecurity tijdens Cybersec Netherlands op 9 en 10 september 2026 in Jaarbeurs Utrecht. Laat je inspireren door experts, praktijkcases en innovatieve oplossingen.
Registreer je gratis via deze link.
Meer informatie: klik hier.
