Cybercriminele groepen maken in 2026 van aanvallen een lopende band. In Europa en Nederland verschuiven campagnes naar apps, API’s en DDoS-diensten. Dat gebeurt nu al, door goedkope tools, schaalbare cloudhosting en kunstmatige intelligentie. De Europese AI-verordening heeft gevolgen voor overheid en bedrijven die AI inzetten voor beveiliging.
Aanvallen worden productieprocessen
Cyberaanvallen lijken steeds meer op een industrieketen. Er zijn kant‑en‑klare pakketten voor phishing, ransomware en DDoS, vaak als abonnement. Groepen delen code, handleidingen en testomgevingen, en huren infrastructuur per uur. Zo kunnen zij sneller schakelen en meerdere sectoren tegelijk raken.
Apps en mobiele SDK’s vormen een groeipad voor misbruik. Criminelen verstoppen malafide code in advertentiekits of analytics‑pakketten, of misbruiken fouten in de toeleveringsketen. Build‑servers en update‑processen zijn daarbij een zwakke plek. Een fout in één bibliotheek kan duizenden apps besmetten.
De aanpak is modulair: eerst toegang krijgen, dan data stelen, dan afpersen of verstoren. Die stappen zijn nu los in te kopen als “as a service”. Daardoor daalt de drempel voor minder ervaren aanvallers. Het gevolg is meer campagnes met professionele uitvoering en hergebruikte tactieken.
API’s zijn hoofddoelwit
API’s zijn koppelvlakken waarmee systemen met elkaar praten. Ze vormen op het web het grootste deel van het verkeer en geven vaak direct toegang tot data. Aanvallers zoeken naar “shadow API’s” die niet in kaart zijn gebracht, of naar oude versies die nog online staan. Ook publiek gedeelde OpenAPI‑bestanden helpen hen endpoints te vinden.
Veel incidenten draaien om gebrekkige autorisatie. Bij Broken Object Level Authorization (BOLA) kan iemand door een ID in een URL te wijzigen andermans gegevens zien. Slecht ingestelde OAuth‑flows en te ruime tokens verergeren dit probleem. Rate‑limiting ontbreekt vaak, waardoor geautomatiseerd uitlezen onopgemerkt blijft.
Beveiliging begint met een volledige API‑inventaris en schema‑validatie. mTLS, fijnmazige rollen en kort levende tokens verkleinen de impact. Een API‑gateway met gedragsanalyse helpt afwijkingen te zien. Onder de AVG horen ook API‑logs tot persoonsgegevens; dataminimalisatie en versleuteling zijn dus verplicht.
DDoS-diensten worden goedkoper
DDoS‑aanvallen richten zich op het onbereikbaar maken van diensten door ze te overspoelen met verkeer. De drempel daalt door DDoS‑for‑hire platforms en gehackte IoT‑apparaten. Nieuwe methoden misbruiken protocollen als HTTP/2 “Rapid Reset” en QUIC. Aanvallers combineren volumetrische pieken met trage API‑uitputting op applicatieniveau.
Veel Nederlandse organisaties gebruiken scrubbing‑centers en anycast‑CDN’s als verdedigingslaag. De NBIP‑NaWas is voor providers en overheden een veelgebruikte anti‑DDoS‑dienst. Toch ontstaan gaten bij SaaS‑applicaties en externe API’s buiten het eigen netwerk. Heldere afspraken met leveranciers zijn daarom cruciaal.
NIS2 vergroot de druk om sneller te melden. Organisaties moeten binnen 24 uur een vroegtijdige waarschuwing doen en binnen 72 uur een incidentmelding, op het moment van schrijven. Dit vraagt om detectie, runbooks en contactpunten die 24/7 klaarstaan. Oefenen met realistische DDoS‑scenario’s versnelt die responstijd.
Een DDoS‑aanval is een gecoördineerde poging om een onlinedienst onbereikbaar te maken door die te overspoelen met verkeer.
AI versnelt aanvalscycli
Algoritmen en generatieve modellen maken aanvallen sneller en lokaler. Phishing‑teksten in foutloos Nederlands en deepfake‑audio vergroten de kans op klikgedrag. Modellen helpen ook bij het zoeken naar kwetsbaarheden en het omzeilen van filters. Zo stijgt de productiviteit van aanvallers zonder dat hun kennis groeit.
Verdedigers zetten machine‑learning in voor bot‑detectie en anomalie‑analyse. Deze datamodellen leren normaal gedrag en signaleren afwijkingen bij API‑verkeer of login‑pogingen. Maar ze hebben trainingsdata nodig die vaak persoonsgegevens bevat. Onder de AVG gelden dan dataminimalisatie, doelbinding en korte bewaartermijnen.
De AI‑verordening (AI Act) legt providers en gebruikers van hoogrisico‑AI extra plichten op. Als AI beslissingen neemt in vitale processen, zijn risicobeheer, logging en transparantie verplicht, op het moment van schrijven. Dat raakt ook organisaties die AI inzetten voor beveiliging in kritieke infrastructuur. Governance rond modelkeuzes en uitlegbaarheid wordt daarmee een compliance‑eis.
Europa scherpt regels aan
NIS2 vergroot de zorgplicht voor meer sectoren, inclusief zorg, overheid en digitale aanbieders. Besturen worden directer verantwoordelijk en moeten investeringen en beleid aantoonbaar maken. Leveranciersrisico’s en kwetsbaarheden in de keten horen in het risicodossier. Een meldplicht en sancties maken naleving urgenter.
Voor financiële instellingen geldt DORA vanaf 2025. Die wet vereist scenario‑tests, red teaming en gestandaardiseerde incidentrapportage. API‑koppelingen met derden, zoals bij open banking, moeten aantoonbaar robuust blijven tijdens DDoS. Contracten met cloud‑ en SaaS‑leveranciers moeten daarom expliciete beschikbaarheidsgaranties bevatten.
De Cyber Resilience Act dwingt betere softwarehygiëne af bij apparaten en apps. Denk aan kwetsbaarhedenbeheer, veilige standaardinstellingen en een Software Bill of Materials (SBOM). Dit raakt ook IoT‑hardware die vaak in botnets eindigt. Voor Nederlandse instellingen sluit dit aan op de BIO en richtlijnen van het NCSC‑NL.
Wat organisaties nu doen
Begin met een actueel beeld van het aanvalsoppervlak. Breng alle externe domeinen, apps en API’s in kaart, inclusief “shadow IT”. Dwing schema‑validatie en autorisatie af via een centrale API‑gateway. Combineer WAF, rate‑limiting en bot‑management tot één verdedigingslaag.
Maak afspraken over DDoS‑bescherming en failover, ook voor SaaS. Sluit aan op scrubbing‑diensten en test met echte piekverkeer‑simulaties. Leg in het incidentplan vast wie beslist, wie meldt en welke kanalen worden gebruikt. Oefen dat plan elk kwartaal met business en IT.
Versterk de softwareketen met gesigneerde builds, geheime‑beheer en SBOM’s. Voer periodieke API‑pen‑tests uit en open een responsible disclosure‑beleid. Meet voortgang met MTTD en MTTR en rapporteer aan het bestuur. Deel dreigingsinformatie via sectorale ISAC’s om sneller te leren van nieuwe campagnes.
