Europol waarschuwt deze maand dat cybercriminaliteit in Europa een nieuw hoogtepunt bereikt. Groepen misbruikmaken van kunstmatige intelligentie en ransomware om sneller en gerichter te werken. Dit vergroot de druk op overheid en bedrijfsleven, ook in Nederland. De vraag wat de Europese AI-verordening gevolgen overheid en NIS2 betekenen, wordt daardoor urgenter.
Ransomware blijft topdreiging
Ransomware-aanvallen verstoorden het afgelopen jaar vaker diensten van bedrijven en overheden in de EU. Criminelen gebruiken kant-en-klare pakketten en helpdesks om minder ervaren daders te helpen. Daardoor daalt de drempel en stijgt het aantal incidenten. Ziekenhuizen, gemeenten en toeleveranciers zijn extra kwetsbaar door verouderde systemen.
Het European Cybercrime Centre (EC3) van Europol ziet dat losgeldbetalingen via cryptocurrency sneller worden weggesluisd. Back-ups blijken vaak niet getest of staan online, wat herstel vertraagt. Ook ketenaanvallen via IT-dienstverleners nemen toe. Zo kan één lek tientallen organisaties raken.
Organisaties in Nederland worden gewezen op basismaatregelen als multifactor-authenticatie, netwerksegmentatie en offline back-ups. Het Nationaal Cyber Security Centrum (NCSC) adviseert bovendien om patchen te versnellen en noodplannen te oefenen. Zonder deze hygiëne blijven verzekeringen en incidentrespons weinig effectief. Juridisch blijft het betalen van losgeld riskant door sanctieregimes en witwasregels.
Ransomware-as-a-Service is een crimineel verdienmodel waarbij ontwikkelaars hun gijzelsoftware verhuren, tegen een deel van het losgeld.
Generatieve AI vergroot aanvallen
Generatieve AI, zoals grote taalmodellen (LLM’s: systemen die tekst genereren), maakt phishing en fraude geloofwaardiger. Taalfouten verdwijnen en berichten worden aangepast aan sector, functie of regio. Met stemklonen en deepfakes ontstaan overtuigende neptelefoontjes en video’s. Zo groeit het risico op fraude met betalingen en identiteiten.
Ook bij malwareontwikkeling helpt AI door codevoorbeelden en debuggingtips te geven. Dat verlaagt de instap voor aanvallers met weinig ervaring. Open modellen en codebibliotheken zijn breed beschikbaar. Criminelen combineren die met gestolen toegang tot cloudaccounts voor schaal en snelheid.
De Europese AI-verordening verplicht aanbieders om deepfakes te labelen en documentatie te geven, maar daders trekken zich daar niet aan. Watermerken zijn technisch nog niet waterdicht en kunnen worden verwijderd. Daarom blijft detectie en verificatie aan de ontvangende kant cruciaal. Denk aan terugbelprocedures, extra goedkeuringen en training van personeel.
Crypto verbergt geldstromen
Na een aanval verplaatsen daders buit via mixers en cross-chain bridges. Zo wordt geld van de ene naar de andere blockchain verplaatst en gemixt met anderen. Dat maakt opsporing complexer en trager. Privacycoins en slimme contracten vergroten die schuilmogelijkheden.
Toch neemt de druk op tussenpersonen toe. De Europese MiCA-verordening stelt eisen aan cryptodienstverleners over toezicht, reserves en transparantie. In Nederland geldt bovendien de WWFT, met klantonderzoek en meldplichten bij ongebruikelijke transacties. Providers die hieraan niet voldoen, lopen sanctierisico.
Forensische analyse van blockchains blijft een speerpunt bij EC3 en nationale politiediensten. Samenwerking met beurzen levert vaker bevriezingen op, al is timing cruciaal. Zodra geld via mixers gaat, daalt het herstelkans snel. Snelle melding door slachtoffers vergroot de kans op ingrijpen.
AI-verordening en NIS2 dwingen actie
NIS2 legt zwaardere beveiligings- en meldplichten op aan essentiële en belangrijke sectoren. Dit raakt onder meer zorg, energie, vervoer, digitale infrastructuur en toeleveranciers. Bedrijven moeten risico’s managen, incidenten snel melden en ketenpartners controleren. Op het moment van schrijven is de Nederlandse implementatie nog gaande.
De AI-verordening introduceert risicoklassen en transparantieplichten voor AI-systemen. Leveranciers moeten documentatie, testresultaten en beheerprocessen vastleggen. Voor generatieve modellen komen eisen aan robuustheid en informatievoorziening. Overheden moeten processen aanpassen om rechtmatig en uitlegbaar te automatiseren.
De AVG blijft leidend bij gegevensverwerking, bijvoorbeeld voor dataminimalisatie en versleuteling. Organisaties die AI of algoritmen inzetten, moeten DPIA’s uitvoeren en rechten van betrokkenen borgen. Dit geldt ook bij inzet van modelmonitoring en loganalyse. Privacy en beveiliging ontmoeten elkaar hier in technische en juridische controles.
Nederland moet sneller oefenen
Incidentrespons valt vaak stil door onduidelijke rollen en ontbrekende contacten. Een geoefend crisisteam en duidelijke escalatielijnen beperken schade. Tabletop-oefeningen met toeleveranciers en IT-partners zijn nodig. Zo worden gaten in back-up en communicatie zichtbaar voordat het misgaat.
Basishygiëne blijft de beste verdediging tegen geavanceerde aanvallen. Denk aan strikte rechten, patchbeleid binnen dagen, en uitrol van passkeys of FIDO2. Segmentatie en toepassing van het zero-trust-principe beperken laterale beweging. Logging met snelle detectie verkort de verblijftijd van aanvallers.
Publieke hulpbronnen groeien, zoals het NCSC, het Digital Trust Center en het Team High Tech Crime van de politie. Ook Europese samenwerking via Europol en ENISA versterkt waarschuwingssystemen en dreigingsinformatie. Maar de verantwoordelijkheid ligt primair bij bestuur en CISO. Zonder blijvende investering in mensen en processen blijft technologie een zwakke schakel.
