XBOW en Accenture starten een samenwerking om aanvalssimulaties te automatiseren bij organisaties in Nederland en Europa. De partners willen beveiligingsteams sneller en vaker laten testen of hun verdediging werkt. Dit moet helpen bij nieuwe verplichtingen onder NIS2 en DORA, en bij krapte op de security-arbeidsmarkt. De inzet van AI roept ook vragen op rond de Europese AI-verordening gevolgen overheid en transparantie over algoritmen.
Accenture kiest voor automatisering
Accenture gaat het XBOW-platform aanbieden binnen zijn securitydiensten. Daarin combineert het bedrijf advies, implementatie en beheerde detectie. Door automatisering kunnen klanten vaker testen, zonder steeds een volledig redteam te hoeven inhuren. Dat scheelt tijd, kosten en druk op schaarse specialisten.
Volgens Accenture ondersteunt deze aanpak “continuous security validation”. Dat is het doorlopend controleren of maatregelen nog werken na updates en nieuwe dreigingen. Organisaties krijgen zo frequenter bewijs voor audits en bestuurdersrapportages. Dat past bij strengere rapportageplichten in de EU.
De samenwerking richt zich op grote bedrijven en publieke instellingen met complexe IT-landschappen. Denk aan zorg, overheid en financiële dienstverleners. Vooral hybride omgevingen met cloud en eigen datacenters profiteren van herhaalbare tests. De diensten zijn inzetbaar naast bestaande SOC– en SIEM-oplossingen.
XBOW stuurt de simulaties
XBOW levert een platform dat aanvalssimulaties plant en uitvoert. Het systeem gebruikt algoritmen om veelvoorkomende tactieken van aanvallers na te bootsen. Deze tactieken zijn vaak geordend in het MITRE ATT&CK-raamwerk. Het resultaat is meetbaar en herhaalbaar, met duidelijke rapporten voor teams.
De software kan verschillende scenario’s draaien, van phishing tot laterale beweging in het netwerk. Daarbij worden alleen gecontroleerde en veilige stappen gezet. De tool registreert welke controles werken en waar gaten vallen. Op basis daarvan volgt een prioriteitenlijst voor herstel.
AI helpt bij het kiezen en variëren van scenario’s en bij het duiden van uitkomsten. Zo kunnen modellen patronen herkennen in falende regels of kwetsbare segmenten. Dit versnelt de analyse, maar vervangt geen menselijk oordeel. Securityteams houden de regie en besluiten over maatregelen.
‘Aanvalssimulatie’ is het automatisch en herhaalbaar uitvoeren van gecontroleerde aanvallen om te meten of beveiligingsmaatregelen werken.
Werking van aanvalssimulaties
Breach and Attack Simulation (BAS) is een testmethode die lijkt op pentesten, maar dan geautomatiseerd. De simulaties draaien regelmatig, bijvoorbeeld dagelijks of wekelijks. Ze meten of detectie- en preventietools reageren zoals bedoeld. Ook controleren ze of segmentatie en rechtenbeheer kloppen.
Een run bestaat uit kleine, gecontroleerde stappen met lage impact. Denk aan het plaatsen van onschadelijke payloads of het testen van blokkades. Elke stap wordt gelogd, zodat effecten herleidbaar zijn. Fouten kunnen snel worden teruggedraaid.
De kracht zit in herhaling en dekking. Door vaak en breed te testen valt een fout sneller op. Tegelijk blijft menselijke creativiteit nodig voor onbekende aanvalspaden. Daarom vullen BAS en klassieke red teaming elkaar aan.
NIS2 en DORA-compliance
NIS2 verplicht meer sectoren tot aantoonbaar risicobeheer en sneller melden van incidenten. Doorlopende aanvalssimulaties leveren bewijs voor deze aanpak. Rapportages uit XBOW kunnen direct helpen bij audits en bestuurdersverantwoording. Dat verkleint het risico op sancties en reputatieschade.
In de financiële sector sluit dit aan op DORA. Die EU-verordening vraagt om regelmatige tests van ICT-weerbaarheid. BAS kan controles continu toetsen, maar vervangt geen scenario’s als TIBER-EU of TLPT. Het is een aanvulling die gaten eerder zichtbaar maakt.
Voor Nederlandse overheden en vitale aanbieders speelt dezelfde druk. Zij moeten aantonen dat processen werken, niet alleen dat beleid bestaat. Herhaalbare metingen ondersteunen dit. Zo ontstaat een objectiever beeld van risico’s door het jaar heen.
Europese AI-verordening: gevolgen overheid
De Europese AI-verordening classificeert AI-systemen op risico. Aanvalssimulatie valt doorgaans niet onder de hoogrisicocategorie. Toch gelden zorgplichten zoals documentatie, menselijk toezicht en duidelijkheid over doel en gebruik. Dit is vooral relevant als overheden de technologie inkopen.
Voor publieke instellingen tellen ook aanbestedingsregels en transparantie-eisen. Zij moeten uitleggen welke datamodellen en algoritmen worden gebruikt. Daarnaast is een risicobeoordeling nodig, vooral als systemen beslissingen beïnvloeden. Heldere logboeken en uitlegbare rapporten voldoen hieraan.
Belangrijk is het voorkomen van onbedoelde impact op productieomgevingen. Overheden moeten change- en testprocedures strak inregelen. Ook is het verstandig een exitstrategie te hebben om leveranciersafhankelijkheid te beperken. Contractueel vastgelegde datatoegang en export zijn dan nodig.
AVG en dataminimalisatie
Bij simulaties ontstaan loggegevens, zoals IP-adressen en accounts. Dit kan persoonsgegevens bevatten onder de AVG. Organisaties moeten dataminimalisatie toepassen en gegevens pseudonimiseren. Versleuteling en beperkte bewaartermijnen zijn verplicht.
Verwerkersovereenkomsten moeten duidelijk zijn over rollen en doelen. Staat data in de EU of buiten de EER, dan gelden aanvullende waarborgen. Denk aan standaardcontracten en effectbeoordelingen bij doorgifte. Toegang tot ruwe data hoort strikt te worden beperkt.
Ook is een DPIA raadzaam als medewerkerslogboeken worden gekoppeld. Daarin staat risico, proportionaliteit en restmaatregelen. Regelmatige reviews houden dit actueel. Zo blijft de inzet van het systeem in lijn met privacyregels.
Grenzen en toezicht nodig
Automatisering dekt vooral bekende technieken en paden. Nieuwe of creatieve aanvallen kunnen buiten beeld blijven. Daarom blijft handmatig onderzoek nodig, bijvoorbeeld door red teams. Een combinatie levert het beste resultaat.
Fout ingestelde simulaties kunnen toch verstoring veroorzaken. Daarom zijn changecontrol en een sandbox cruciaal. Organisaties moeten buiten kantooruren testen of segmenten tijdelijk isoleren. Heldere escalatiepaden beperken eventuele impact.
Tot slot: meetresultaten zijn zo goed als hun dekking. Kaarten simulaties alle kritieke systemen en leveranciers af? Regelmatige scope-checks en onafhankelijke reviews horen erbij. Zo blijft de uitkomst betrouwbaar en bruikbaar voor bestuur en toezichthouders.
