Barracuda Networks heeft deze week een uitbreiding van zijn cybersecurityplatform aangekondigd. Het pakket focust op bescherming van e-mail, netwerktoegang en risico’s rond kunstmatige intelligentie. De vernieuwing is beschikbaar voor klanten in Europa en daarbuiten. Doel is om organisaties weerbaarder te maken en te helpen voldoen aan regels zoals de AVG, NIS2 en de Europese AI-verordening, inclusief gevolgen voor overheid en zorg.
E-mail blijft grootste ingang
E-mail is nog steeds het startpunt van veel aanvallen, zoals phishing en misleiding van medewerkers. Barracuda legt extra nadruk op het opsporen van verdachte patronen in berichten en links. Daarbij worden afwijkingen in schrijfstijl en afzendergedrag meegewogen om misbruik sneller te vinden.
Het platform biedt bescherming tegen accountovernames, waarbij een aanvaller inlogt op een echt account en vanuit daar fraude pleegt. Zulke aanvallen zijn lastig te zien, omdat ze legitiem lijken. Door in te grijpen op basis van gedrag, zoals plotselinge regels in de inbox of ongebruikelijke inloglocaties, kan schade worden beperkt.
Voor Europese organisaties is naleving van de AVG cruciaal. Dat vraagt om dataminimalisatie, versleuteling van inhoud en controle over bewaartermijnen. Barracuda ondersteunt dit met beleid voor dataverliespreventie (DLP), waarmee gevoelige gegevens zoals BSN of IBAN worden tegengehouden in uitgaande e-mail.
Netwerkbeveiliging wordt samengetrokken
Het platform trekt netwerkfuncties samen in één beheerlaag. Denk aan firewalling, beveiligde toegang op basis van identiteit en segmentatie van systemen. Zero trust, waarbij niemand standaard wordt vertrouwd en elke toegang apart wordt gevalideerd, is hierbij het uitgangspunt.
Die bundeling moet hybride werken en multicloud eenvoudiger beschermen. Eén centrale plek voor beleid en logging verkleint fouten en versnelt reactie op incidenten. Dit sluit aan bij de NIS2-richtlijn, die meer eisen stelt aan tijdige detectie en rapportage van aanvallen.
Voor Nederlandse instellingen in zorg en overheid helpt zo’n aanpak bij eisen uit NEN 7510 en de BIO. Denk aan volledige logregistratie, aantoonbare veranderingen in beleid en functiescheiding. Ook leveranciersketens krijgen hiermee beter zicht op risico’s tussen locaties en partners.
AI-risico’s krijgen eigen kaders
Steeds meer medewerkers gebruiken generatieve systemen, zoals Microsoft 365 Copilot of ChatGPT. Dat brengt risico’s mee, zoals het per ongeluk delen van gevoelige data of sturing van het systeem via “prompt injectie” (misleidende opdrachten). Barracuda voegt zichtbaarheid en beleid toe om dit gebruik te begrenzen en te controleren.
Het platform belooft signalen van AI-gegenereerde phishing te herkennen, zoals massaal hergebruik van zinsbouw of timing. Ook komen er rapportages die laten zien welke afdelingen data delen met externe AI-diensten. Organisaties kunnen daarop regels instellen, bijvoorbeeld om vertrouwelijke documenten te blokkeren.
De Europese AI-verordening treedt gefaseerd in werking in 2025 en 2026. Veel kantoorassistenten vallen onder een lager risiconiveau, maar vereisen wel transparantie en passende beveiliging. Functies als auditlogs, toegangsbeheer en DLP helpen om aan die plichten te voldoen.
AI-risico betekent in de praktijk: verlies van controle over data, misleidende uitkomsten en moeilijk te herleiden beslissingen. Beleid, logging en dataminimalisatie beperken dit risico.
Europese regels sturen keuzes
De AVG vereist dataverwerking met duidelijke doelen, minimale inzage en sterke versleuteling. Wie beveiligingslogs, e-mailkopieën of modelfeedback opslaat, moet borgen dat dit binnen de EU kan en dat er verwerkersovereenkomsten zijn. Organisaties doen er goed aan te vragen naar EU-datacenters en bewaartermijnen.
NIS2 brengt voor veel sectoren meldplichten en eisen aan cyberhygiëne. Centrale detectie en respons, vaak XDR genoemd (dreigingen verzamelen uit meerdere systemen), kan die plicht praktisch invullen. Een samenhangend platform vermindert ook het aantal losse tools en daarmee beheerlast.
Voor publieke organisaties geldt extra aandacht voor inkoop en DPIA’s (gegevensbeschermingseffectbeoordelingen). Bij inzet van AI-functies moet duidelijk zijn welke gegevens worden verwerkt en met welk doel. Heldere documentatie en testresultaten zijn daarom noodzakelijk bij implementatie.
Wat nog onduidelijk blijft
Niet alle prestatiecijfers zijn openbaar op het moment van schrijven. Denk aan foutpositieven bij e-mailfilters of de nauwkeurigheid van AI-herkenning. Onafhankelijke tests of certificeringen zouden hier meer inzicht geven.
Ook is van belang waar precies logdata en analyses worden opgeslagen. Voor sommige organisaties is EU-datasoevereiniteit een harde eis. Heldere keuzes voor datalocatie en sleutelbeheer (wie heeft de sleutels) zijn dan doorslaggevend.
Implementatie vraagt bovendien om goed veranderbeheer. Beleid werkt alleen als medewerkers weten wat mag en wat niet, zeker rond generatieve systemen. Training, phish-simulaties en periodieke audits blijven dus nodig, ook met een uitgebreid platform.
Gevolgen voor Nederlandse organisaties
Bedrijven en instellingen die sterk leunen op Microsoft 365 profiteren van strakkere e-mail- en toegangscontrole. Denk aan scholen, gemeenten en zorgaanbieders die veel samenwerken in de cloud. Voor hen kan één platform het beheer versimpelen en sneller bewijs leveren bij audits.
Tegelijk moeten zij kritisch kijken naar koppelingen met bestaande SIEM- of SOC-diensten. Dubbele alerts of ontbrekende integraties kosten tijd en geld. Een gefaseerde uitrol, met heldere meetpunten per risicogebied, verkleint die kans.
Tot slot vraagt het AI-deel om duidelijke spelregels voor medewerkers. Een intern beleid voor gebruik van Copilot of andere assistenten, ondersteund door technische blokkades en logging, voorkomt dat vertrouwelijke informatie weglekt. Daarmee sluiten techniek en governance beter op elkaar aan.
