Chinese cyberaanvalskracht evenaart die van de Verenigde Staten, melden veiligheidsanalisten deze week. Het gaat om staatsgecontroleerde groepen die wereldwijd opereren. Europa en Nederland zijn een belangrijk doelwit. Het motief is spionage, economische winst en druk op vitale infrastructuur.
China bereikt cyberpariteit
China bouwde de afgelopen jaren een breed arsenaal aan digitale aanvalsmiddelen op. Staatsgesteunde teams combineren technische kennis met sterke organisatie en lange adem. Ze werken stil en geduldig om toegang te krijgen en te behouden. Dat maakt detectie moeilijk en herstel traag.
De focus ligt op strategische sectoren zoals halfgeleiders, telecom en energie. Ook kennisinstellingen en overheden staan op de radar. In Europa raken deze doelen direct aan concurrentiekracht en nationale veiligheid. Nederland voelt dit via het chip-ecosysteem rond ASML en toeleveranciers.
Bekende groepen gebruiken “living off the land”-technieken, waarbij ze normale systeemfuncties misbruiken. Dat laat minder sporen achter in logbestanden. Ook supplychains worden aangevallen om via leveranciers binnen te komen. De dreiging is daardoor breder dan één enkel bedrijf.
AI versterkt aanvalsketens
Generatieve AI, zoals GPT-4 van OpenAI en Llama 3 van Meta, helpt aanvallers overtuigende teksten te schrijven. Phishingmails klinken vloeiend in het Nederlands en lijken persoonlijk. Code-assistenten versnellen het maken van kwaadaardige scripts. Dit verlaagt de drempel voor minder ervaren aanvallers.
Machine learning wordt ingezet om zwakke plekken sneller te vinden. Algoritmen doorzoeken publiek broncode, configuraties en lekken op inloggegevens. Vertaal- en samenvattingsmodellen, zoals Qwen (Alibaba) of ERNIE (Baidu), helpen bij lokale aanpassing. Daardoor worden campagnes schaalbaar en doelgerichter.
Ook informatie-invloedsoperaties krijgen een impuls door deepfakes, oftewel realistisch ogende nepvideo’s of audio. Platforms scherpen hun regels aan, maar moderatie blijft lastig. De Europese Digital Services Act geeft toezichthouders extra middelen. De aankomende Europese AI-verordening verplicht bovendien duidelijker labeling van synthetische media.
Een zero-day is een onbekend lek in software waarvoor nog geen update bestaat. Aanvallers hebben dan een voorsprong, omdat verdedigers het gat nog niet kennen.
Europese infrastructuur kwetsbaar
Vitale infrastructuur, zoals elektriciteit, water en zorg, draait vaak op oudere systemen. Deze operationele technologie (OT) is lastig te patchen en te segmenteren. Aanvallers misbruiken standaardbeheertools om ongezien te blijven. Uitval kan zo weken duren en ketenschade veroorzaken.
De haven van Rotterdam, Europese datacenters en 5G-netwerken zijn aantrekkelijke doelen. Verstoring raakt direct de economie en logistiek. Ook clouddiensten vormen een single point of failure voor veel organisaties. Redundantie en oefening in noodprocedures zijn daarom cruciaal.
ENISA, het Europese agentschap voor cybersecurity, waarschuwt voor stijgende geopolitieke risico’s. Nederlandse partijen zoals AIVD, MIVD en NCSC delen vergelijkbare signalen. Kennisdiefstal bij universiteiten en R&D-afdelingen blijft een belangrijk doel. De AVG verplicht organisaties om hierop passende beveiliging en dataminimalisatie toe te passen.
Wetgeving en AI‑verordening
NIS2 verhoogt de lat voor duizenden Nederlandse organisaties. Zij moeten risico’s aantoonbaar beheersen, leveranciers toetsen en incidenten snel melden. De nationale implementatiewet is op het moment van schrijven in voorbereiding. Verwacht wordt dat toezichthouders strenger gaan handhaven en samenwerken.
De Europese AI-verordening (AI Act) stelt regels voor hoogrisico-systemen, onder meer in kritieke infrastructuur. Leveranciers moeten risicobeoordelingen, logging en menselijke controle borgen. Voor generatieve AI gelden transparantieplichten, bijvoorbeeld rond deepfakes. Dit raakt zowel ontwikkelaars als gebruikers van AI-toepassingen in beveiliging.
De AVG blijft een harde ondergrens bij datalekken door spionage of ransomware. Encryptie, toegangsbeheer en dataminimalisatie zijn niet vrijblijvend. Meldplichten en documentatie-eisen vragen om voorbereiding en oefening. Boetes en reputatieschade volgen vaak pas ná operationele verstoring.
Acties voor Nederlandse organisaties
Breng kroonjuwelen en afhankelijkheden in kaart en versnel patchbeheer. Implementeer zero-trust, met segmentatie tussen IT en OT. Schakel standaardbeheertools streng af, log uitgebreid en bewaar logs langer. Test detectie van “living off the land”-activiteiten expliciet.
Voer phishing-resistente MFA in, zoals FIDO2. Beperk adminrechten en gebruik hardware-tokens voor beheerders. Vraag van leveranciers een SBOM en duidelijke update-afspraken. Leg beveiligingseisen contractueel vast en audit regelmatig.
Oefen incidentrespons met realistische scenario’s, inclusief communicatie en juridische stappen. Deel dreigingsinformatie via NCSC, het Digital Trust Center en sectorale ISAC’s. Maak een plan voor continuïteit bij langdurige uitval van cloud of toeleveranciers. Zo wordt de impact van geavanceerde cyberaanvallen beheersbaar.
