Mandiant, onderdeel van Google Cloud, waarschuwt voor een snelle toename van cyberaanvallen wereldwijd. In een nieuwe analyse ziet het bedrijf dat criminelen generatieve AI inzetten om aanvallen te versnellen en te verfijnen. Dit raakt ook Europese organisaties en Nederlandse instellingen, nu en in de komende maanden. De urgentie groeit door strengere regels zoals de Europese AI-verordening en NIS2, met directe gevolgen voor overheid en bedrijven.
AI versnelt cyberaanvallen
Volgens Mandiant gebruiken aanvallers grote taalmodellen (LLM’s, systemen die tekst genereren) om phishingmails, chats en nepsites sneller en beter te maken. Daardoor daalt de voorbereidingstijd van campagnes en stijgt het volume. Aanvallers vertalen en personaliseren berichten moeiteloos in het Nederlands of Duits. Dat verhoogt de kans dat medewerkers op een link klikken of gevoelige gegevens delen.
Naast tekst zetten groepen ook AI in om onderzoek te doen naar doelwitten. Publieke bronnen en gelekte databanken worden met scripts en modellen snel doorzocht. Zo vinden criminelen zwakke plekken in cloudomgevingen of vergeten accounts. De stap van verkenning naar aanval wordt korter, wat de verdedigingsruimte verkleint.
Deze versnelling raakt sectoren met veel digitale toegangspunten, zoals zorg, onderwijs en lokale overheid. Daar zijn vaak veel gebruikers, applicaties en leveranciers betrokken. Een kleine fout in rechten of configuratie kan dan snel worden misbruikt. Mandiant ziet dat ook supplychains aantrekkelijker worden voor criminelen.
Phishing wordt geloofwaardiger
AI maakt nepmails en chats vloeiend, foutloos en passend bij de toon van een organisatie. Ook deepfake-audio en -video duiken vaker op bij ceo-fraude. Daardoor is het voor medewerkers lastiger om nep van echt te onderscheiden. Sociale kanalen en berichtendiensten versnellen de verspreiding nog verder.
Phishing is het misleiden van mensen om gevoelige gegevens prijs te geven, vaak via e-mail, sms of chat.
Voor mkb’ers en gemeenten is dit een directe dreiging. Zij werken met beperkte beveiligingsteams en hebben veel externe koppelingen. Een enkele geslaagde inlog kan uitgroeien tot een groter incident. Snelle herkenning en blokkade van verdachte berichten is daarom cruciaal.
Technieken als DMARC, SPF en DKIM helpen om e-mail te verifiëren. Toch blijven menselijke checks nodig, zoals terugbellen bij betaalverzoeken of het vier-ogenprincipe. Training moet meegaan met nieuwe trucs, inclusief deepfakes. Korte, regelmatige oefeningen werken daarbij beter dan jaarlijkse sessies.
Snellere detectie is nodig
De tijd tussen inbraak en ontdekking wordt korter, maar criminelen bewegen nog sneller. Daarom is 24/7-monitoring met heldere responsprocedures nodig. AI kan beveiligingsteams helpen om meldingen te bundelen, ruis te filteren en prioriteit te geven. Zo komen echte aanvallen sneller boven tafel.
Mandiant integreert dreigingsinformatie en detectie in diensten als Mandiant Advantage en Managed Defense. Die combineren bekende aanvalspatronen met actuele signalen uit het veld. Ook logplatformen zoals Google Chronicle analyseren grote hoeveelheden data voor sporen van misbruik. Belangrijk blijft dat een analist de uitkomst controleert en knelpunten snel oplost.
AI kent grenzen en kan fouten maken of “hallucineren” (een model verzint dan een onjuiste uitkomst). Daarom zijn explainability en validatie belangrijk, zeker bij automatische blokkades. Werk met duidelijke playbooks en een “human-in-the-loop” bij ingrijpende acties. Test detectieregels en modellen regelmatig met red-teaming.
AI-verordening: gevolgen voor overheid
De Europese AI-verordening (AI Act) stelt eisen aan ontwerp, testen en documentatie van AI-systemen. Beveiligingstoepassingen voor detectie vallen op het moment van schrijven meestal in de categorie beperkt risico. Ze vragen om transparantie, risicobeheer en menselijke controle. Profileringssystemen die mensen beoordelen kunnen in een hogere risicoklasse terechtkomen.
De AVG blijft leidend bij logdata en gebruikersinformatie. Werk met dataminimalisatie, versleuteling en duidelijke bewaartermijnen. Een DPIA (gegevensbeschermingseffectbeoordeling) is vaak nodig bij nieuwe monitoring of AI-analyses. Zorg dat leveranciers uitleggen welke data het model ziet en waar die wordt opgeslagen.
NIS2 vergroot op 17 oktober 2024 de zorgplicht en meldplichten voor veel sectoren in Europa. Dat betekent sneller melden van incidenten, beter patchbeheer en bestuurdersaansprakelijkheid. Voor financiële instellingen komt DORA daar bovenop met extra eisen aan weerbaarheid en testen. Deze regels sluiten aan bij het risico dat AI-gestuurde aanvallen sneller en breder toeslaan.
Nederlandse aanpak en weerbaarheid
Nederlandse organisaties lopen extra risico door gerichte, Nederlandstalige phishing en ketenafhankelijkheid. Gemeenten, zorginstellingen en onderwijsinstellingen werken met veel leveranciers en gegevens. Een lek bij een kleine partner kan grote gevolgen hebben. Contracten moeten daarom ook security-eisen en incidentafspraken bevatten.
Basismaatregelen blijven het meest effectief: multifactor-authenticatie, strikte rechten, snelle updates en segmentatie van netwerken. Voeg daar moderne e-mailbeveiliging en domeinverificatie aan toe. Automatiseer waar mogelijk, maar houd kritieke beslissingen onder menselijke regie. Oefen incidentrespons met bestuur en communicatie erbij.
Bij inkoop van AI- en beveiligingstools is het verstandig te vragen naar modelgovernance, auditlogs en EU-gegevensopslag. Check of leveranciers conform AI Act, AVG en NIS2 werken. Laat ook vastleggen hoe modellen worden getraind en gevalideerd. Dat maakt aantoonbare naleving en forensisch onderzoek eenvoudiger.
Verdediging met AI groeit
AI biedt ook voordeel voor verdedigers. Mandiant koppelt dreigingsinformatie aan detectieregels en automatische analyses om aanvallen eerder te vinden. Die aanpak helpt om ruis te verminderen en reacties te versnellen. Teams kunnen zo meer incidenten aan met dezelfde bezetting.
Tegelijk vraagt dit om zorgvuldige implementatie. Beperk trainingsdata tot wat nodig is en scherm gevoelige gegevens af. Houd modellen up-to-date met recente aanvallen, maar test ze op bias en foutmeldingen. Documenteer keuzes, zodat auditors en toezichthouders ze kunnen volgen.
De kern blijft een evenwicht tussen snelheid en zekerheid. Sneller alarmeren met AI kan, maar sluit menselijke beoordeling niet uit. Combineer technologie, duidelijke processen en getrainde mensen. Zo blijft de voorsprong van criminelen beperkt, ook nu aanvallen met AI versnellen.
