Blog

Het zijn niet de dreigingen die ons neerhalen. Het zijn de kwetsbaarheden.

We praten graag over nieuwe dreigingen. Dat klinkt verstandig, modern en daadkrachtig. Kunstmatige intelligentie, deepfakes, autonome aanvallen, next-gen fraude. Maar eerlijk gezegd zie ik de meest ongemakkelijke waarheid zelden daar. Die is vaak eenvoudiger. Wat organisaties nog steeds ten val brengt, is niet het futuristische, maar het voorspelbare: een valse inlogpoging, een gestolen account, een gestreste medewerker, een hectische werkdag. ENISA's dreigingsbeeld voor 2025 wijst phishing nog steeds aan als de belangrijkste initiële aanvalsvector, en Verizon toont aan dat gestolen inloggegevens een centrale inbraakroute blijven.

Dit is belangrijk omdat het iets groters zegt dan alleen "phishing bestaat nog steeds". Het betekent dat veel organisaties nog steeds dezelfde oude kwetsbaarheden dragen als tien jaar geleden, maar nu in snellere systemen, meer kanalen en onder grotere druk. Dreigingen zijn schaalbaarder geworden. De mens is niet minder menselijk geworden.

Robert Willborg

Co-founder en Chief Security Officer bij OneMore Secure.

We richten ons vaak op de dreiging en missen de barst in de muur

Ik denk dat veel organisaties op de verkeerde plek beginnen. Ze vragen: welke dreigingen zijn er? Dat is een redelijke vraag, maar niet genoeg. De ongemakkelijkere vraag is: welke kwetsbaarheden in onze eigen werkwijze zorgen ervoor dat oude aanvallen nog steeds werken? Dat verschil is cruciaal.

Want als een medewerker kan worden misleid om zijn gegevens prijs te geven, is het niet alleen een phishingprobleem. Dan is het een kwetsbaarheid in hoe we vertrouwen opbouwen, verificatie vormgeven en hoeveel beslissingsdruk we bij iemand leggen midden op de werkdag. Als een account kan worden misbruikt na compromittering, is het niet alleen een identiteitsprobleem. Dan is het een tekortkoming in ons vermogen om snel te detecteren, intrekken, isoleren en herstellen. NIST beschrijft cyberresilience als het vermogen om verstoringen, aanvallen of compromitteringen te voorspellen, weerstaan, herstellen en zich aan te passen zodat bedrijfsdoelen behaald blijven worden.

Daarom praat ik liever overkwetsbaarheden en capaciteiten dan over abstracte risicobegrippen die iedereen begrijpt maar weinig echt kan beïnvloeden. Risico wordt makkelijk een mist. Kwetsbaarheid is aanwijsbaar. Capaciteit is te trainen, meten en verbeteren.

De digitale mens is niet kapot. Ze is alleen moe.

In cybersecurity is er een hardnekkige gewoonte om foutklikken, stress en verkeerde inschattingen als individuele fouten te zien. Ik vind dat een te gemakkelijke manier om systeemfouten te negeren.

De digitale mens werkt tegenwoordig in een constante stroom van meldingen, vergaderingen, chats, e-mails, multifactorvragen, documentdeling en microbeslissingen. Veiligheid bouwen alsof iedereen altijd de tijd heeft om te pauzeren, analyseren, verifiëren en perfect te kiezen, is alsof je een luchthaven bouwt waar elke reiziger zelf de beveiligingsfout moet ontdekken. Zo bouw je geen robuustheid, maar wachtrijen, fouten en schijnorde.

De richtlijn van NCSC is hier wijs in. Ze adviseren een gelaagde phishingbescherming die de weerbaarheid van de organisatie versterkt, terwijl de productiviteit van gebruikers zo min mogelijk wordt verstoord. Een belangrijke principe: veiligheid moet niet alleen bestaan, het moet ook leefbaar zijn.

Oude aanvallen werken omdat velen de buitenkant verdedigen, niet de capaciteit

Hier gaat veel beveiligingswerk nog steeds de mist in. Men beschermt de inbox, firewall, endpoint en beleidsdocument. Dat is niet onbelangrijk. Maar de aanvaller gaat er vaak omheen door de beslissing zelf aan te vallen. Een bekend merk. Een geloofwaardige toon. Een bericht dat naar routine ruikt. Een gestrest moment wanneer het brein al op de reservestroom draait.

Het is alsof je een sterk buitenhek hebt rond je huis, maar telkens de tuindeur openlaat als iemand 'spoed' zegt. Dan helpt het niet dat de deur theoretisch beveiligd is.

Verizon DBIR 2025 laat zien hoe centraal identiteits- en mensgerichte aanvallen zijn, en ENISA's dreigingsbeeld toont dat deze aanvallen geen randverschijnsel zijn maar een kernonderdeel van de echte inbraakbeelden. Dit maakt de vraag zakelijk cruciaal: niet "hebben we controles?", maar "werken onze controles als een gewone mens een gewone slechte dag heeft?"

Kwetsbaarheid is geen zwakte. Het is de weg naar verbetering.

Veel organisaties mijden het woord kwetsbaarheid omdat het ongemakkelijk voelt. Ze praten liever over risiconiveau, volwassenheid of blootstelling. Maar kwetsbaarheid is eigenlijk een veel bruikbaarder woord. Het vertelt waar iets kan falen. Het is te onderzoeken. Te testen. Te verhelpen.

En het allerbelangrijkst:het is te koppelen aan capaciteit.

Capaciteit is het tegengestelde van veiligheidstheater. Capaciteit is dat iemand afwijkingen snel ziet. Capaciteit is dat een sessie ingetrokken kan worden. Capaciteit is dat toegang gesloten kan worden zonder dat de hele organisatie instort. Capaciteit is dat mensen op het juiste moment steun krijgen in plaats van achteraf schuld.

De richtlijn van CISA over phishingbestendige multifactorauthenticatie illustreert dit goed. Het doel is niet om meer wrijving toe te voegen om het toevoegen, maar om bekende kwetsbaarheden in authenticatieprocessen die aanvallers blijven misbruiken weg te nemen.

Wat we moeten meten is niet wat we gedaan hebben, maar wat we aankunnen

Dit is misschien wel mijn belangrijkste punt.

Veel organisaties meten activiteit. Hoeveel mensen training hebben gevolgd. Hoeveel beleidsregels er zijn. Hoeveel controles 'op orde' zijn. Maar dat zegt verrassend weinig over wat de organisatie echt aankan als er iets misgaat.

Ik vind dat men zich meer moet richten op vragen die wat pijnlijker zijn:

· Hoe snel ontdekken we een vals proces?

· Hoe snel kunnen we een gecompromitteerde sessie intrekken?

· Hoe snel kunnen we de schade beperken?

· Hoe snel kunnen we blijven leveren wat moet blijven werken?

Pas dan begint cybersecurity op bedrijfsvermogen te lijken in plaats van documentbeheer. En dat sluit naadloos aan bij NIST's visie op veerkracht: niet perfecte bescherming, maar het vermogen om doelen te blijven bereiken ondanks aanvallen.

Conclusie: wat ons neerhaalt is vaak niet het nieuwe, maar het onopgeloste

Ik denk dat veel organisaties op zoek zijn naar de volgende grote dreiging omdat dat strategischer voelt dan het erkennen van oude tekortkomingen. Maar vaak zit de waarheid juist daar. Niet in het exotische, maar in het onopgeloste.

De gevaarlijkste aanvallen zijn vaak die welke zo vertrouwd zijn dat we ze bijna niet meer serieus nemen. Ze glippen binnen als koude lucht door een kier in het raam. Niet dramatisch. Niet filmisch. Gewoon lang genoeg om de schade echt te maken.

Daarom pleit ik voor een andere taal. Minder fascinatie voor het nieuwswaarde van dreigingen. Meer eerlijkheid over onze kwetsbaarheden. Minder focus op het tonen van controles. Meer focus op het opbouwen van capaciteit. Want uiteindelijk zijn het niet de nieuwe dreigingen die ons ontmaskeren.

Het zijn onze oude kwetsbaarheden

Maak kwetsbaarheden zichtbaar, wijs aan waar mensen, processen en identiteitsstromen falen. Bouw capaciteit in plaats van theater en meet detectie, beperking, intrekking en herstel. Verminder de last voor mensen door bescherming meer gewicht te laten dragen op risicomomenten.

Bronnen

ENISA.ENISA Threat Landscape 2025. Rapport analyseert 4.875 incidenten tussen 1 juli 2024 en 30 juni 2025.

Verizon.2025 Data Breach Investigations Report. Rapport toont het blijvende belang van gestolen inloggegevens en de menselijke factor bij inbraken.

NIST CSRC.Cyber resilience – Glossary. Definitie van cyberresilience als het vermogen om verstoringen, aanvallen en compromitteringen te voorspellen, te weerstaan, te herstellen en zich aan te passen.

UK National Cyber Security Centre.Phishing attacks: defending your organisation. Richtlijn voor gelaagde phishingbescherming met minimale impact op productiviteit.