Bedrijven in Nederland en Europa merken dat cyberaanvallen met hulp van AI sneller en geloofwaardiger worden. Toch blijft de zwakste schakel de mens, vooral via phishing en andere misleiding. Dat speelt nu, terwijl nieuwe Europese regels als NIS2 en de AI-verordening erbij komen. Organisaties moeten daarom investeren in training, duidelijke processen en basisbeveiliging.
Mens blijft toegangspoort risico
De meeste aanvallen beginnen nog steeds met een klik of een antwoord op een bericht. Aanvallers proberen medewerkers te verleiden via e-mail, WhatsApp of LinkedIn. Ze doen zich voor als een collega, leverancier of manager. Een klein foutje kan leiden tot datalekken of uitval van systemen.
In het AI-tijdperk worden deze berichten overtuigender. Taalfouten verdwijnen en de toon past beter bij het doelwit. Ook zien we meer gepersonaliseerde berichten, gemaakt op basis van openbare profielen. Zo ontstaat een geloofwaardige smoes om inloggegevens of betalingen los te krijgen.
Het Nationaal Cyber Security Centrum (NCSC) en ENISA waarschuwen hier al langer voor. Op het moment van schrijven noemen zij social engineering, oftewel manipulatie van mensen, een hoofdrisico. Dat geldt ook voor deepfake-stemmen in telefonische fraude. Vooral financiële functies en servicedesks zijn kwetsbaar.
AI versterkt social engineering
Criminelen gebruiken generatieve systemen zoals ChatGPT van OpenAI, Google Gemini en open modellen zoals Llama 3 van Meta. Zij maken daarmee foutloze berichten in elke taal, inclusief Nederlands. Met voicecloning-software bootsen ze stemmen na voor telefonische spoedverzoeken. Zo ontstaat meer druk en minder tijd om na te denken.
Verdedigers zetten ook AI in. Denk aan Microsoft Defender XDR, Google Chronicle en CrowdStrike, die met algoritmen afwijkingen zoeken in netwerk- en endpoint-gedrag. Zulke systemen herkennen patronen sneller dan mensen. Ze helpen meldingen te ordenen en prioriteren.
Toch is AI geen wondermiddel. Modellen kunnen fouten maken of valse meldingen geven. Daarom blijft menselijk toezicht nodig, zeker bij ingrijpende acties. AI is een hulpmiddel, geen vervanging van gezond verstand en goede processen.
Basismaatregelen tellen nog steeds
Meerlaagse bescherming blijft de standaard. Begin met multifactorauthenticatie, bij voorkeur met passkeys in plaats van sms-codes. Beperk rechten tot wat mensen echt nodig hebben (least privilege). Houd systemen actueel met patchmanagement en automatische updates.
Investeer in EDR, software die aanvallen op laptops en servers snel opspoort. Maak back-ups volgens de 3-2-1-regel en test het herstelplan regelmatig. Segmenteer netwerken, zodat een inbraak niet overal bij kan. Leg uitzonderingen vast en beoordeel ze elk kwartaal opnieuw.
“Zero trust is een aanpak waarbij je nooit automatisch vertrouwt, ook niet binnen het eigen netwerk. Je controleert iedere toegang, elke keer, met zo min mogelijk rechten.”
Zorg ook voor duidelijke meldplichten binnen het bedrijf. Medewerkers moeten laagdrempelig kunnen zeggen dat ze op iets hebben geklikt. Een snelle melding beperkt schade. Straf niet, maar help en leer ervan.
Europese regels maken druk groter
NIS2 verplicht meer organisaties tot strengere beveiliging en incidentmeldingen. Lidstaten moeten de richtlijn in 2024 omzetten in nationale wetgeving. In Nederland werkt het kabinet aan de implementatie, op het moment van schrijven nog in voorbereiding. Besturen krijgen meer verantwoordelijkheid en kunnen boetes krijgen bij nalatigheid.
De Europese AI-verordening (AI Act) introduceert een risicobenadering. Hoogrisico-systemen moeten aan extra eisen voldoen, zoals documentatie en menselijk toezicht. Generatieve AI krijgt transparantieplichten, bijvoorbeeld over trainingsdata en beperkingen. Voor de overheid betekent dit: eerst een risicoanalyse, dan pas uitrol.
De AVG blijft overal gelden. Verzamel niet meer persoonsgegevens dan nodig (dataminimalisatie) en versleutel gevoelige data. Wie AI inzet voor detectie of monitoring, moet vaak een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren. De Autoriteit Persoonsgegevens ziet hier actief op toe.
Training en beleid als kern
Medewerkers zijn de eerste verdedigingslinie. Korte, regelmatige oefeningen werken beter dan jaarlijkse marathontrainingen. Gebruik voorbeelden uit de eigen organisatie. Laat zien hoe een echt phishingbericht eruitziet en wat je dan doet.
Leg procedures vast in een eenvoudig incidentplan. Wie belt men bij twijfel? Hoe blokkeer je een account? En hoe informeer je klanten bij een datalek? Oefen dit plan minstens één keer per jaar met alle betrokken teams.
Neem eisen op in inkoop en leveranciersbeheer. Vraag om basisnormen zoals ISO 27001 of SOC 2 en duidelijke meldtermijnen. Controleer contracten op beveiligingsclausules, inclusief back-up en exit-regelingen. Zo verklein je ketenrisico’s.
Mens en machine in balans
AI maakt aanvallen slimmer, maar hetzelfde geldt voor verdediging. De kunst is om mens, proces en technologie op elkaar af te stemmen. Begin bij gedrag, borg het in beleid en automatiseer waar het kan. Zo groeit cyberweerbaarheid stap voor stap mee met het AI-tijdperk.
Voor Nederlandse instellingen biedt het Digital Trust Center praktische handreikingen. Sectorale teams, zoals SURF in het onderwijs, delen ook concrete aanpakken. Maak daar gebruik van en voorkom dat elk team het wiel opnieuw uitvindt. Samenwerking scheelt tijd en beperkt risico.
Tot slot: meet voortgang met eenvoudige KPI’s. Denk aan patch-tijd, MFA-dekking en meldsnelheid van incidenten. Rapporteer maandelijks aan het bestuur. Zo blijft cyberveiligheid een continu bedrijfsonderwerp, niet alleen een IT-thema.
