Terwijl cybercriminelen kunstmatige intelligentie gebruiken om steeds geloofwaardigere deepfakes en phishingaanvallen te creëren, staan ondernemers voor een grotere uitdaging dan ooit, ziet Kraemer, Security Awareness Advocate bij KnowBe4. ‘Je moet er volledig op rekenen dat je meerdere keren per jaar, of zelfs per maand, een vorm van een cyberaanval zult ervaren.’
Nepsollicitant
KnowBe4, een human risk management–platform, werd afgelopen zomer zelf namelijk slachtoffer van een geavanceerde aanval. ‘In de zomer van 2024 zochten we een ervaren data scientist. We ontvingen verschillende sollicitaties, waarvan er één opviel. We doorliepen het standaardproces: achtergrondcontroles, sofinummer, coderingsopdrachten en vier online video-interviews.’
Alles verliep normaal én leek te kloppen, stelt Kraemer. ‘De nieuwe medewerker kreeg een laptop en andere apparatuur toegestuurd, maar vroeg deze naar een ander adres te sturen. Op de eerste werkdag logde de persoon laat in de avond in, rond 21:55 uur. Ons IT-team registreerde dit, maar werd zich pas echt bewust van deze persoon toen er een waarschuwing werd afgegeven: iemand probeerde software te installeren.’
‘Via een Slack-huddle vroeg het IT-team wat er aan de hand was. De persoon maakte excuses, noemde routerproblemen. Het team ontdekte vervolgens al snel dat het ging om malware, specifiek: remote access-malware. We hebben het account toen afgesloten en de toegang gedeactiveerd. Er was — gelukkig — geen daadwerkelijk datalek.’
Gemiste red flags
In samenwerking met de FBI ontdekte KnowBe4 dat het om een gecoördineerde operatie uit Noord-Korea ging. ‘Het bleek een uitgebreid netwerk’, vertelt Kraemer. ‘In de VS opereren tussenpersonen ‘laptop farms’ waar de software wordt geïnstalleerd, waarna de eigenlijke hackers vanuit China of omgeving inloggen. We kregen te horen dat dit bij diverse bedrijven in de VS, maar ook in Spanje of Duitsland al gebeurt. In sommige gevallen vallen de nepmedewerkers niet op én leveren ze zelfs goed werk. Maar dan wel met spionagemalware.’
Na intern onderzoek ontdekte KnowBe4 diverse gemiste signalen. ‘De foto bleek een gemanipuleerde stockfoto die we daarna op meerdere pagina’s vonden. In het cv waren alle e-mailadressen Yahoo, Gmail-extensies, maar dan zakelijk. Referenties bleken ook niet legitiem. Telefoonnummers waren allemaal IP-nummers. De ervaring op het cv klopte niet. We hebben wel veel dingen gemist.’
Technologie versus menselijke waakzaamheid
Het voorval dient volgens Kraemer als ultieme waarschuwing voor organisaties met zakelijke accounts over de hele wereld. ‘Er heerst onder veel bedrijfsleiders een soort naïef geloof dat ik de gelukkige zal zijn: ik zal niet degene zijn die wordt getroffen’, stelt hij. ‘Het is al bij mijn buurman gebeurd, dus het zal mij niet overkomen.’
‘Fundamenteel hebben we als mensen moeite te accepteren dat er risico’s zijn verbonden aan uitdagingen die we niet begrijpen. Wie bijvoorbeeld in koud water springt, beseft de dreiging van onderkoeling; een inzicht geboren uit eerdere confrontaties met de ijzige realiteit. Dat is iets wat we missen in cybersecurity, omdat ze de pijn nog niet hebben ervaren. Of de pijn was niet sterk genoeg. Het is niet óf, het is wannéer je gehackt wordt. De hoofdvraag is: hoe snel herstel je?’
Vooral mkb nog vaak doelwit
Uit de 2025 Kleinbedrijf Index — een onderzoek onder meer dan duizend ondernemers — blijkt dat cybercriminaliteit een flinke impact heeft op mkb’s in Nederland. Maar liefst 22% van de ondernemers krijgt al valse digitale facturen binnen en 14% ontving neporders, 11% heeft last van ongewenste uitval van ICT-systemen en 8% wordt online bedreigd.
Kraemer voorspelt dat de dreiging zal evolueren naar meer gespecialiseerde aanvallen. ‘We kunnen aannemen dat we ons in dezelfde richting zullen ontwikkelen: grotere dreigingen, maar betere verdediging. We hebben meer gespecialiseerde beveiligingsprofessionals nodig. Maar wat betreft het personeelsbestand: train hen voor multichannel-aanvallen van hoge kwaliteit. Social engineering kan een lang en uitgebreid spel zijn dat zich over platforms uitstrekt. Een aanval begint misschien met een e-mail, maar verplaatst zich dan naar Teams of een online vergadering.’
Volg je innerlijke redder niet
De traditionele waarschuwingssignalen voor phishing — slechte grammatica, verdachte bijlagen of links — verliezen terrein door de opkomst van generatieve AI, ziet Kraemer. ‘Met AI is de grammatica perfect. Als het e-mailadres ook legitiem is, en de bijlagen en links zien er normaal uit, wat blijft er dan over?’
Voor effectieve beveiliging is meer nodig dan alleen technische kennis. ‘Wat mensen moeten ontwikkelen, ongeacht of het gaat om het verdedigen tegen deepfakes, phishing of fysieke inbreuken, is emotionele intelligentie’, stelt Kraemer. ‘Op het moment dat ik besef dat iets druk uitoefent, me probeert te haasten, óf een beroep doet op mijn innerlijke redder, moet ik stoppen en nadenken over welke triggers er spelen.’
NIS2: bedrijven moeten nu handelen
Met de implementatie van NIS2, de nieuwe EU-richtlijn voor cyberbeveiliging die eind 2024 van kracht werd, moeten aanzienlijk meer bedrijven hun veiligheidsmaatregelen aantoonbaar verbeteren. ‘Veel bedrijven leggen nu het fundament. Ze hebben al een ISO-certificering als goede basis en breiden deze uit naar IT- en OT-omgevingen, terwijl ze zorgen dat het bestuur volledig betrokken is.’
Toch geldt dat niet voor iedere organisatie. ‘Er blijven altijd organisaties die in de comfortabele grijze zone opereren en wachten tot hun nationale wetgever de richtlijn volledig heeft geïmplementeerd. Multinationals moeten echter al voldoen aan alle jurisdicties waarin ze actief zijn. Je bent beter af als je voorloopt op je eigen wetgever, zoals de Baltische staten en andere Europese landen die al verder zijn.’
‘Het is geen IT-probleem meer’
Ondertussen evolueert de technologie in hoog tempo. ‘Het is een wapenwedloop waarbij zowel aanvallers als verdedigers steeds geavanceerder worden’, stelt Kraemer. ‘De belangrijkste boodschap die ik wil meegeven is dat cyberbeveiliging geen geïsoleerd IT-probleem meer is, maar een fundamenteel bedrijfsrisico.’
‘Wanneer bijna al je processen gedigitaliseerd zijn en je reputatie zich vooral online manifesteert, kun je dit niet langer alleen aan de IT-afdeling overlaten. Denk over cyberweerbaarheid op dezelfde manier als je nadenkt over de algehele weerbaarheid van je organisatie.’