Telecomprovider Odido is geraakt door een omvangrijke cyberaanval waarbij criminelen toegang kregen tot een bestand met 6,2 miljoen accounts. Naast gebruikelijke persoonsgegevens werden ook IBAN-nummers buitgemaakt, evenals paspoort- en rijbewijsnummers. Die combinatie maakt het lek uitzonderlijk gevoelig.
De aanval staat niet op zichzelf. Cyberaanvallen nemen explosief toe, mede door de inzet van AI. Uit het Cyber Security Report 2026 van Check Point Technologies blijkt dat organisaties wereldwijd gemiddeld bijna 2.000 aanvallen per week te verwerken krijgen. In Nederland steeg het aantal geregistreerde aanvallen in 2025 met 38 procent tot gemiddeld 1.167 per week.
Aanvallers combineren AI, ransomware en identiteitsmisbruik in gecoördineerde campagnes. Ook ransomware werd 53 procent vaker ingezet. AI-systemen blijken kwetsbaar: 90 procent van de bedrijven zag risicovolle interacties.
‘De phishingmail van de Nigeriaanse prins is al lang vervangen door berichten die volledig door AI zijn geschreven en nauwelijks nog van echt te onderscheiden zijn’, zegt cybersecurity-expert Fred Streefland, chief information security officer voor Europa, Afrika en het Midden-Oosten bij de Israëlische cybersecuritygigant Check Point.
De detectiesystemen waarop organisaties vertrouwen, schieten tekort. Ze zijn simpelweg niet ontworpen voor dit type aanval. ‘De bad guys weten AI steeds slimmer te gebruiken. Negen van de tien bedrijven weten dan ook niet hoe cybercriminelen bij hen zijn binnengekomen.’ Volgens Streefland zullen AI-cyberaanvallen alleen nog maar toenemen. ‘Het dreigingslandschap ontwikkelt zich sneller dan ooit en het wordt ook steeds complexer.’
Lees ook: 5 AI-risico’s die bedrijven nog echt onderschatten
Bedrijven verliezen controle
Eén op de zes bedrijven in Nederland gebruikt inmiddels AI, blijkt uit recente cijfers van het CBS. Bijna de helft (44 procent) van de Nederlandse werknemers gebruikt AI-tools op hun werk, blijkt uit onderzoek van PwC.
Voor de Nederlandse veteraan die al dertig jaar in cybersecurity werkt, zijn tools én medewerkers de ingrediënten voor een ‘perfect storm’. Hij hoort daar in de boardroom ook vaak bezorgde geluiden over. ‘Bedrijven zijn de controle aan het verliezen. Ze weten niet meer wat hun mensen doen met AI en welke AI-tools ze gebruiken.’
Het is ook niet makkelijk, klinkt het begripvol, bedrijven hebben een steeds groter ‘aanvalsoppervlak’. Dat zijn alle mogelijke manieren die cybercriminelen kunnen gebruiken om een digitaal systeem aan te vallen. ‘AI wordt daarbij gezien als een insider threat. Heel lastig te ontdekken en heel lastig tegen te gaan.’
Het is een ‘hels karwei’ om de risico’s in te dammen, en dus moeten bedrijven eigenlijk het roer omgooien. Hoe dan? De risico’s aan de voorkant inperken in plaats van aan de achterkant. AI-cybersecurity by design noemt Streefland dat.
Veiligheid inbouwen aan de bron. Van tevoren nadenken over cyberweerbaarheid en nieuwe AI-tools vanaf het ontwerp veilig inrichten. ‘Dan heb je nog een kans van slagen. Achteraf repareren met patches, daar ga je het niet meer mee redden.’
Weerbaarheid begint aan de top
Die weerbaarheid begint in de boardroom, benadrukt hij. Streefland pleit voor een holistische aanpak. ‘Het management van een organisatie moet begrijpen dat cybersecurity bestaat om de business mogelijk te maken en de continuïteit te bewaren. Ze moeten het echt serieus nemen, een goede visie ontwikkelen en nadenken over hun AI-strategie.’
Natuurlijk mogen directies best onder de indruk zijn van de gelikte presentaties over de mooie voordelen van AI-tools. De efficiëntie en de kostenbesparingen die met AI-agents kunnen worden gemaakt, zijn heel aantrekkelijk. ‘Maar bij dat soort presentaties gaat het eigenlijk nooit over de risico’s.’
Ook de C-suite moet preventie op nummer 1 gaan zetten. Dat betekent dus kritische vragen stellen over de risico’s, over wat er mis kan gaan. ‘Directies willen maar al te graag op die trein springen. Alleen gebeurt dat nog vaak zonder daarbij na te denken of dit wel een goede wagon is. Of die trein wel het goede spoor opgaat, en wat er gebeurt tijdens die treinreis.’
Lees ook: De vraag die elke toezichthouder moet stellen over AI
Vooral vinkjes zetten
AI-agents zijn fantastische hulpmiddelen voor bedrijven, vindt Streefland. Als ze veilig en beveiligd zijn. ‘Dat is het verhaal wat heel veel directies vergeten, of waar ze gewoon niet aan denken. Ze zien vooral de voordelen voor de business, en niet de risico’s.’
Wettelijke verplichtingen, zoals de Europese AI Act of de Cyberbeveiligingswet, helpen wel met de bewustwording, geeft hij aan. Alleen schieten bedrijven nu nog te vaak door in hun focus op die vereisten. ‘Ze willen koste wat het kost vinkjes zetten voor compliance.’
Veel belangrijker is het om hun cyberveiligheid regelmatig te testen: als er een incident is, is er dan een plan? Hoe snel wordt er gereageerd? Hoe snel is het opgelost? Kan het bedrijf ondertussen gewoon doordraaien? Wat is er weggelekt, en is dat te herstellen?
‘Ik zeg altijd, cover your own ass. Zo simpel is het. Als je je zaakjes goed op orde hebt, dan voldoe je negen van de tien keer ook aan alle compliance vinkjes.’
Leveranciers niet vergeten
Daarbij mogen organisaties vooral hun leveranciers niet vergeten. Ook die moeten kritisch onder de loep worden genomen. Streefland ziet in de praktijk dat dit te weinig gebeurt. Als die leveranciers een goede naam hebben, dan wordt ervanuit gegaan dat het wel in orde zal zijn.
Volledig vertrouwen hebben in die grote namen is niet zonder risico. De onderzoeksafdeling van de cybersecuritygigant komt elke week met een nieuw rapport over de cyberdreigingen wereldwijd. Interessant leesvoer, waarin big tech wel degelijk regelmatig voorkomt.
In november vorig jaar werd specifiek ingezoomd op Microsoft Teams. Die tool heeft meer dan 320 miljoen gebruikers en is een cruciale pijler geworden voor communicatie op de werkplek.
Hackers konden daarin berichten manipuleren, meldingen vervalsen en zich voordoen als collega’s of leidinggevenden. Microsoft is daarover ingelicht in maart 2024 en pas in oktober 2025 zijn alle lekken gedicht.
Lees ook: AI ziet zak chips voor pistool aan – en 6 andere blunders
Goed verhaal nodig
Een cyberincident kan dus iedereen overkomen. Elk bedrijf, elke organisatie, niemand uitgezonderd, reageert Streefland. ‘Je moet dat ook niet als een verwijt zien, maar als een constatering. Alleen is het wel belangrijk dat je dan een goed verhaal hebt over wat er is gebeurd.’
Als het misgaat, zoals recent nog bij de gemeente Eindhoven, waar medewerkers gratis chatbots gebruikten en zo een datalek veroorzaakten, dan is de Pavlov-reactie dat bedrijven die AI-tools ‘dicht gaan zetten’.
Ze verbieden hun medewerkers bijvoorbeeld om met ChatGPT te werken. ‘Ik denk dat je het gebruik juist moet toestaan, maar dan wel op een gereguleerde manier.’ Daarmee bedoelt hij niet het nemen van een betaald abonnement op een chatbot van big tech. Die bieden alleen maar de illusie van veiligheid.
Taboe moet eraf
Bedrijven moeten het gebruik van die tools transparanter maken en veel beter gaan monitoren. Een andere weg die bedrijven kiezen om risico’s te beperken, is het ontwikkelen van eigen chatbots of taalmodellen. Maar ook daar ‘ontbreekt het vaak aan de kennis en de ervaring’ om de broodnodige veiligheid in te bouwen. Dus ook daar kan het fors misgaan.
Streefland ziet nog altijd dat organisaties zich vooral schamen wanneer ze worden gehackt of geconfronteerd met andere cybernarigheid. Dat is niet nodig. Het taboe is hardnekkig, maar het wordt tijd om dat op te heffen. ‘Dit kan iedereen overkomen, dus het is niks om je over te schamen. Veel belangrijker zijn de lessen die je eruit kunt leren.’
Juist daarom moeten bedrijven stoppen met geslaagde cyberaanvallen onder het tapijt te vegen. ‘Je moet transparant zijn, het gewoon openbaar maken. Ga op het podium staan om je verhaal te vertellen. Het kost je misschien wat klanten, maar de meeste klanten gaan jou echt niet laten vallen, omdat het ze zelf ook elke dag kan overkomen.’
Lees ook: AI-ceo gaat buiten zijn boekje in experiment



