Genootschap voor Risicomanagement

• 29 nov. 2025 10:57:00

Reactie op het Strategisch Dreigingsrapport Cyberveiligheid

Reactie op het Strategisch Dreigingsrapport Cyberveiligheid – Impact op organisaties en beleidsontwikkeling

Onlangs verscheen op de site Cybercrimeinfo (https://www.ccinfo.nl) een publicatie over de strategische dreigingen waaraan wij momenteel blootstaan. Als GvRM staan wij stil  - in een reactie hierop -  bij de mogelijke impact op organisaties. Zie ook: https://www.linkedin.com/posts/peterlahousse_strategisch-dreigingsrapport-cyberveiligheid-activity-7399044558963089409-5zuP?utm_source=share&utm_medium=member_desktop&rcm=ACoAAAAWFWYBYYRyI19dmoMFk5_8UCHTWOw4yDQ  Wat betekent dit nu mogelijk voor uw organisaties en welke maatregelen kunt u nemen?

Het Strategisch Dreigingsrapport Cyberveiligheid schetst een confronterend, maar realistisch beeld van een digitale wereld waarin cyberaanvallen steeds meer verweven raken met geopolitieke strategie, economische belangen en fysieke sabotage. De kernboodschap is dat organisaties – zowel bedrijven als (semi)publieke instellingen – niet langer kunnen volstaan met traditionele cybersecuritymaatregelen die vooral gericht zijn op technische dreigingen. Het rapport laat zien dat de hedendaagse dreigingen zich kenmerken door hybride tactieken, geavanceerde exploitatie van vertrouwen, supply-chain kwetsbaarheden, en een toenemende inzet van AI voor automatisering en escalatie van aanvallen. Deze ontwikkelingen raken direct aan strategische beleidsgebieden zoals governance, risicomanagement, compliance, crisisbeheersing en digitale soevereiniteit.

Hybride oorlogsvoering verschuift cybersecurity van IT-risico naar strategisch bedrijfsrisico

Een van de meest opvallende bevindingen is de structurele verweving van digitale en fysieke aanvallen, zoals de sabotage van de Poolse spoorlijn die digitaal werd voorbereid en fysiek werd uitgevoerd.

Hierdoor verandert cybersecurity van een technisch beheeronderwerp naar een strategisch bedrijfsrisico dat integraal onderdeel moet worden van boardroom-besluitvorming. Organisaties zullen hun beleidskaders moeten aanpassen om rekening te houden met scenario’s waarbij cyberaanvallen directe gevolgen hebben voor de continuïteit van bedrijfsprocessen, fysieke veiligheid, logistiek of zelfs geopolitieke druk.

Sectoren zoals energie, transport, gezondheidszorg en maritieme dienstverlening moeten daarom hun crisismanagement-, BCM- en veiligheidskaders (bijv. ISO 22301, NIS2-domeinen) expliciet uitbreiden richting gedigitaliseerde hybride dreigingen. Het rapport benadrukt dat de afhankelijkheid van kritieke digitale infrastructuur – zoals cloudproviders en identity-systemen – de kwetsbaarheid exponentieel vergroot. De Cloudflare-storing en Zero-day-exploits in Oracle en Microsoft WSUS illustreren dat één enkele schakelverstoring direct systemische gevolgen kan hebben.

Vertrouwen als aanvalsvector: beleid moet mens, proces én infrastructuur combineren

Technieken zoals DLL-sideloading (misbruik van legitieme softwareprocessen) tonen hoe aanvallers structureel misbruik maken van ingebouwd vertrouwen in systemen.

Dit betekent dat organisaties hun beleid moeten herzien en verder moeten gaan dan signature-based detectie, firewalls of traditionele antivirus. De focus verschuift naar:

• Zero-trust architecturen
• Continuous verification
• Least privilege-beleid
• Monitoren van applicatiegedrag i.p.v. bestandssignatures

Het rapport maakt duidelijk dat aanvallers deze technieken combineren met menselijke en organisatorische zwaktes, zoals misbruik van LinkedIn via social engineering of infiltratie van bedrijven door statelijke actoren onder valse identiteiten.

Organisaties moeten daarom beleid ontwikkelen dat niet alleen IT beveiligt, maar óók HR-processen, werving, leveranciersselectie en training.

AI versnelt de schaal, impact en toegankelijkheid van aanvallen

De inzet van AI-modellen door kwaadwillenden – bijvoorbeeld voor social engineering, het genereren van malware, automated reconnaissance, of deepfake-identiteiten – introduceert een nieuw beleidsdomein dat de meeste organisaties nog onvoldoende hebben geïntegreerd.

Het beleid moet anticiperen op het feit dat de kosten van aanvallen drastisch dalen, terwijl de effectiviteit toeneemt. Dit vraagt om:

• AI-riskmanagement
• Monitoring van digitale identiteitsfraude
• Protocollen voor deepfake-detectie
• Sectorbrede samenwerking rond threat intelligence

Supply-chain als grootste zwakke schakel: beleid moet ketengericht worden

Aanvallen via leveranciers, integrators en softwarebundels blijken structureel de meest efficiënte methode om grote groepen organisaties tegelijk te raken (Citrix, Oracle, WSUS, marketingcodebibliotheken).

De beleidsmatige implicatie is dat organisaties veel meer nadruk moeten leggen op:

• due diligence van IT-leveranciers
• contractuele verplichtingen m.b.t. veiligheid
• continuous monitoring van externe toegang
• strengere segmentatie en access-governance
• verplichte meldplicht van kwetsbaarheden bij leveranciers

Supply-chain-security wordt daarmee geen optioneel onderdeel van beleid, maar een integraal strategisch thema dat in governance-, inkoop- en risicokaders moet worden ingebouwd.

Digitale soevereiniteit als nieuw beleidsprincipe

Incidenten zoals de overname van Solvinity en de impact van buitenlandse wetgeving op Nederlandse gegevens laten zien dat organisaties bewuster moeten omgaan met de geopolitieke dimensies van cloud- en IT-afhankelijkheid.

Beleid moet aantoonbaar onderbouwen:

• welke gegevens waar worden opgeslagen;
• onder welke jurisdictie deze vallen;
• welke risico’s verbonden zijn aan extraterritoriale wetgeving;
• welke alternatieven beschikbaar zijn (sovereign cloud, regionale providers, encryptie-by-design).

Vijf concrete maatregelen die organisaties nu moeten nemen

1. Implementeer een volwassen Zero-Trust Architectuur (ZTA)

Geïnspireerd door de misbruikmethoden zoals DLL-sideloading en zero-day-exploitatie moet elke organisatie overstappen van “trust by default” naar “verify always”. Dit omvat identity-centric beveiliging, microsegmentatie, device posture-checks en continuous authentication.

2. Versterk supply-chain-security via contracten, controle en real-time monitoring

Organisaties moeten leveranciers koppelen aan expliciete security-eisen, verplicht pentesten, multi-factor authenticatie voor externe partijen, SBOM-verplichtingen en directe toegang tot incident logging voor gezamenlijke detectie.

3. AI-riskmanagement en deepfake-weerbaarheid integreren in beleid en training

Introduceer AI-dreigingsscenario’s in awarenessprogramma’s, pas wervingsprocessen aan, en implementeer tooling voor deepfake-detectie en geautomatiseerde fraudebewaking.

4. Bouw digitale soevereiniteitsprincipes in het strategisch IT-beleid

Inventariseer alle data-locaties, contractuele afhankelijkheden, jurisdicties, cloudproviders en extraterritoriale risico’s. Maak encryptie-standaarden en exit-strategieën verplicht.

5. Versterk crisismanagement en BCM richting hybride aanvalsscenario’s

Combineer fysieke beveiligingsplannen, incident response, OT-veiligheid, cyberdreigingen en supply-chain-disrupties in één geïntegreerd continuïteitsplan. Test deze scenario’s minimaal jaarlijks via red-team-oefeningen.