Noord-Korea verwerpt nieuwe Amerikaanse aantijgingen over hackers uit Pyongyang. De autoriteiten noemen de cyberclaims “desinformatie” en dreigen met tegenmaatregelen. Het conflict speelt tussen Washington en Pyongyang en laaide deze week op. De discussie raakt ook Europa, inclusief de Europese AI-verordening gevolgen overheid en bedrijven die AI inzetten voor cyberbeveiliging.
Pyongyang wijst cyberclaims af
De Noord-Koreaanse autoriteiten stellen dat de Verenigde Staten valse verhalen verspreiden over Noord-Koreaanse cyberaanvallen. Zij spreken van een politieke campagne om het land te isoleren. Pyongyang zegt dat het zijn soevereiniteit verdedigt en dat het doelwit is van vijandige cyberoperaties. Namen van betrokken instellingen werden niet publiek bevestigd.
De Amerikaanse regering houdt Noord-Koreaanse groepen al jaren verantwoordelijk voor digitale diefstal en spionage. Bekende namen zijn Lazarus en Kimsuky, die vaak door veiligheidsdiensten worden genoemd. De VS koppelen buitgemaakte crypto en geld aan het Noord-Koreaanse wapenprogramma. Op het moment van schrijven lopen er in de VS sancties en strafzaken tegen vermeende betrokkenen.
Pyongyang bestrijdt die lezing en spreekt van een “informatieve oorlog”. Het land noemt geen details over de vermeende tegenmaatregelen. Het laat wel doorschemeren dat verdere stappen zullen volgen als Washington blijft “provoceren”. Dat verhoogt de spanning in de digitale ruimte.
Dreiging van tegenmaatregelen
De waarschuwing voor tegenmaatregelen is vaag, maar de impact kan concreet zijn. Denk aan extra phishingcampagnes, spionage bij overheden of aanvallen op cryptoplatformen. Ook desinformatie in internationale media en sociale netwerken is een mogelijkheid. Zulke acties zijn moeilijk te herleiden en geven politieke speelruimte.
In eerdere dossiers wezen FBI en CISA op speerpuntgroepen die zich richten op diplomaten, onderzoekers en defensiebedrijven. Zij gebruiken vaak geloofwaardige e-mails en valse persona’s. Ook zogeheten supply‑chain‑aanvallen kunnen niet worden uitgesloten. Daarbij wordt een leverancier gehackt om via die route klanten te raken.
Europa staat daarbij niet buitenspel. Europese denktanks, financiële instellingen en universiteiten zijn aantrekkelijke doelen. Nederlandse organisaties in zorg, overheid en energie vallen onder NIS2 en moeten extra opletten. Een incident kan snel grensoverschrijdend worden.
Spearphishing is een gerichte vorm van phishing: een geloofwaardige e-mail aan één persoon of kleine groep, vaak met persoonlijke details om vertrouwen te wekken.
AI vergroot aanvalskracht
Generatieve AI en grote taalmodellen (systemen die tekst leren en schrijven) maken aanvallen makkelijker schaalbaar. Ze helpen bij foutloze vertalingen, overtuigende teksten en het namaken van schrijfstijl. Dat verkleint voor slachtoffers de kans om fouten te zien. Aanvallers testen zo snel wat werkt.
Beveiligingsdiensten in de VS en Zuid-Korea waarschuwden al dat Noord-Koreaanse groepen AI benutten. Denk aan scripts voor automatisering, profielopbouw en social engineering. AI vervangt geen hackers, maar versnelt hun werk. Daardoor stijgt het aantal pogingen én het aantal geslaagde intrusies.
Voor verdedigers geldt hetzelfde: AI kan anomalieën sneller vinden. Maar het levert ook nieuwe risico’s op, zoals schijnzekerheid en bias. De Europese AI-verordening stelt daarom eisen aan hoge‑risico‑toepassingen. Op het moment van schrijven treedt die wet gefaseerd in werking tussen 2025 en 2026.
Europese sectoren lopen risico
Fintech en cryptobedrijven zijn kwetsbaar door hun open infrastructuur. Transacties zijn snel, en fouten zijn moeilijk terug te draaien. Strenge klantcontroles en blockchain‑analyse zijn daarom nodig. De Nederlandse toezichthouder DNB eist dat bedrijven dit aantoonbaar regelen.
Overheidsorganisaties en vitale aanbieders vallen onder NIS2. Zij moeten risico’s in kaart brengen, incidenten melden en basismaatregelen op orde hebben. Denk aan multi‑factor‑authenticatie, segmentatie en offline back‑ups. Niet voldoen kan leiden tot boetes en aansprakelijkheid.
Universiteiten en kennisinstellingen zijn doelwit voor spionage. Onderzoeksdata en contactnetwerken zijn waardevol. De AVG verplicht tot dataminimalisatie en versleuteling bij verwerking van persoonsgegevens. Dat beperkt schade na een inbraak en helpt bij snelle melding.
Toezicht en sancties in EU
De EU heeft sinds 2019 een sanctieregime voor cyberaanvallen. Personen en organisaties kunnen op een zwarte lijst komen, met reisverboden en bevroren tegoeden. Dit sluit vaak aan op acties van de VS en het Verenigd Koninkrijk. Zo ontstaat druk via diplomatie én financiën.
De AI-verordening (AI Act) raakt ook cyberbeveiliging. Leveranciers van hoge‑risico‑systemen moeten hun data, testen en logging op orde hebben. Overheden moeten inkopen met zorgplicht en transparantie. Voor Nederlandse ministeries en gemeenten zijn dit concrete “Europese AI-verordening gevolgen overheid”.
ENISA, het EU-agentschap voor cyberbeveiliging, publiceert richtlijnen voor detectie en responscapaciteit. Op het moment van schrijven adviseert ENISA om AI te gebruiken met menselijke controle. Documenteer aannames, beperk toegang tot modellen en bewaak trainingsdata. Zo blijft de keten aantoonbaar veilig.
Wat organisaties nu moeten doen
Versterk basismaatregelen: patch snel, gebruik multi‑factor‑authenticatie en beperk beheerdersrechten. Voer een “assume breach”-oefening uit en test herstel van back‑ups. Schakel e‑mailauthenticatie in (DMARC, DKIM, SPF) en blokkeer macro’s standaard. Dit verkleint de kans op succesvolle spearphishing.
Train medewerkers op herkenning van gerichte benaderingen via e‑mail en LinkedIn. Laat eerste contact altijd verifiëren via een tweede kanaal. Gebruik AI‑hulpmiddelen om verdachte patronen te markeren, maar houd menselijk toezicht. Leg vast wie mag reageren op onbekende verzoeken.
Voor cryptobedrijven en fintech: verscherp KYC en blockchain‑monitoring. Stel drempels in voor risicolanden en bekende mixing‑diensten. Meld verdachte transacties direct bij FIU‑Nederland. Werk samen met het Nationaal Cyber Security Centrum voor actuele dreigingsinformatie.
Tot slot: beoordeel eigen AI‑toepassingen op de AI‑verordening en de AVG. Check dataminimalisatie, logging en uitlegbaarheid van modellen. Maak een plan voor updates als de wetgeving verder in werking treedt. Zo blijft innovatie mogelijk zonder juridische verrassingen.
