Twee mannen zijn deze week in Nederland aangehouden op verdenking van het beheren van servers achter Russische cyberaanvallen. De systemen zouden zijn gebruikt voor DDoS-acties, phishing en het verspreiden van malware tegen Europese doelen. De politie nam meerdere servers in beslag om de aanvalsstroom te stoppen en bewijs veilig te stellen. Dit raakt ook aan de Europese AI-verordening en de gevolgen voor de overheid, omdat beveiligings- en meldplichten verder worden aangescherpt.
Aanvalsknooppunt stilgelegd
De aangehouden mannen zouden servers hebben beheerd die verkeer doorstuurden en commando’s gaven aan besmette computers. Door de inbeslagname is een belangrijk knooppunt van die aanvallen stilgevallen. Dat verkleint de druk op Nederlandse bedrijven, overheden en zorginstellingen.
De servers werden ingezet bij DDoS-aanvallen, bij phishing en bij het uitrollen van malware. DDoS is het overbelasten van websites met heel veel verzoeken. Malware is schadelijke software die systemen kan kapen of gegevens kan stelen.
Het effect van zo’n actie is meestal tijdelijk, want criminele groepen bouwen snel nieuwe infrastructuur. Toch zorgt beslag op hardware, schijven en logboeken voor vertraging. De data kunnen helpen om geldstromen, huurders en andere betrokkenen in kaart te brengen.
Focus op infrastructuur
Opsporingsdiensten richten zich steeds vaker op de onderliggende infrastructuur. De personen die de aanvallen sturen, zitten vaak buiten het bereik van de Nederlandse rechter. Daarom werkt de politie samen met Europol en Eurojust om servers, domeinen en betaalstromen in Europa aan te pakken.
Een deel van deze infrastructuur draait bij zogenoemde bulletproof hosting-aanbieders. Dat zijn hostingbedrijven die misbruik nauwelijks controleren en klachten negeren. Ze accepteren anonieme betalingen en verhuren snel nieuwe servers als er een netwerk wordt afgesloten.
Bulletproof hosting is een vorm van webhosting waarbij de aanbieder misbruik oogluikend toestaat en klachten of takedown-verzoeken afwijst.
Na een inbeslagname kopiëren digitale rechercheurs gegevens forensisch, zodat bewijs geldig blijft bij de rechter. Logboeken en klantgegevens worden veiliggesteld, maar alleen gebruikt voor het onderzoek. De AVG vereist dataminimalisatie, versleuteling en een duidelijke wettelijke grondslag, ook bij dit soort zaken.
AI-verordening en NIS2 eisen
Voor organisaties in Nederland krijgt dit directe gevolgen door NIS2, de nieuwe Europese veiligheidsrichtlijn. Die verplicht vitale en belangrijke sectoren om ernstige incidenten snel te melden, vaak binnen 24 tot 72 uur. De wet wordt op het moment van schrijven nog nationaal uitgewerkt en leidt tot strengere zorgplichten en toezicht.
Het Nationaal Cyber Security Centrum (NCSC-NL) waarschuwt geregeld voor pro-Russische DDoS-campagnes en deelt technische waarschuwingen met sectoren. Bedrijven en overheden moeten zicht hebben op hun netwerk, logboeken bewaren en misbruik kunnen aantonen. Dat mag alleen in lijn met de AVG: doelbinding, minimale opslag en passende bewaartermijnen.
Cloud- en hostingpartijen krijgen extra verantwoordelijkheden voor misbruikpreventie. Denk aan heldere voorwaarden, snellere afhandeling van meldingen en controles op opvallend gebruikspatroon, met respect voor privacy. ENISA, het Europese agentschap voor cyberbeveiliging, geeft hiervoor praktische richtlijnen die Nederlandse providers kunnen volgen.
AI speelt dubbele rol
Bij veel cyberaanvallen spelen geautomatiseerde tools een hoofdrol. Aanvallers gebruiken scripts en soms generatieve systemen om nepberichten en lokpagina’s te maken. Er zijn op het moment van schrijven geen aanwijzingen dat in deze zaak een specifiek AI-model is ingezet.
Verdedigers zetten juist algoritmen en datamodellen in om afwijkingen in verkeer snel te zien. Zulke systemen leren patronen herkennen en kunnen verdachte pieken of aanvalsprofielen vroeg signaleren. Menselijke controle blijft nodig om fouten en onterechte blokkades te voorkomen.
De Europese AI-verordening legt plichten op voor aanbieders en gebruikers van generieke AI. Transparantie, testresultaten en herkomst van trainingsdata worden belangrijker. Voor beveiligingstoepassingen telt vooral dat organisaties kunnen uitleggen hoe hun systemen beslissingen nemen en hoe mensen kunnen ingrijpen.
Praktische gevolgen Nederland
Nederlandse organisaties doen er goed aan hun DDoS-bescherming, e-mailbeveiliging en updates op orde te brengen. Segmentatie van netwerken en multifactor-authenticatie beperken de schade bij een besmetting. Contracten met cloud- en hostingleveranciers moeten heldere afspraken bevatten over misbruik, logging en incidentrespons.
Publieke diensten, zoals gemeenten en ziekenhuizen, vallen vaker onder NIS2 en krijgen dus zwaardere eisen. Zij moeten incidenten oefenen, contact houden met hun sectorale CERT en het NCSC-NL, en tijdig melden. Dat verkleint de impact van grootschalige aanvallen en versnelt hulp van ketenpartners.
Voor burgers verandert vooral dat online diensten soms tijdelijk minder bereikbaar kunnen zijn bij een DDoS. Transparante communicatie en statuspagina’s helpen verwachtingen te managen. Goede basismaatregelen, zoals sterke wachtwoorden en waakzaamheid bij e-mails, blijven nodig om phishing te voorkomen.
