Hacken was lang synoniem met inbraak. Aanvallers forceerden hun weg naar binnen via kwetsbaarheden, malware of slecht gepatchte systemen. Dat beeld is inmiddels achterhaald. Veel incidenten beginnen tegenwoordig niet met een technische doorbraak, maar met iets dat nauwelijks te detecteren is: een geldige login, een vertrouwde sessie, een legitiem account. Hackers breken niet meer in, ze loggen in.
Safer Internet Day is traditioneel een moment van bewustwording. Over veilig wachtwoordgebruik, phishing en online gedrag. Nuttig, maar onvoldoende om te begrijpen wat er structureel is veranderd. Want wie cyberincidenten van de afgelopen jaren analyseert, ziet een duidelijke verschuiving: aanvallen draaien steeds minder om het omzeilen van beveiliging en steeds meer om het misbruiken van vertrouwen.
Van exploit naar misbruik
Technisch gezien zijn veel organisaties beter beveiligd dan ooit. Patchmanagement is volwassener, endpointbeveiliging slimmer en netwerksegmentatie strakker ingericht. Tegelijkertijd blijven incidenten zich opstapelen. Dat lijkt tegenstrijdig, tot je kijkt naar de aard van die incidenten.
Business Email Compromise, accountovernames en misbruik van cloudtoegang vormen inmiddels het grootste deel van de schadegevallen. De aanval is vaak eenvoudig: een phishingmail, een overtuigende loginpagina of een misleidende OAuth-koppeling. Geen malware, geen zero-day, geen opvallende piek in netwerkverkeer. Alleen een aanvaller die zich voordoet als een legitieme gebruiker.
Dat maakt detectie ingewikkeld. Traditionele beveiliging is ingericht op afwijkingen: onbekende bestanden, verdachte processen, ongebruikelijke verbindingen. Maar wat als de aanval bestaat uit exact datgene waarvoor de infrastructuur is ontworpen: inloggen, lezen, mailen, downloaden?
Vertrouwen als kwetsbaarheid
Identiteit is daarmee het nieuwe aanvalsoppervlak geworden. Identity management is gebouwd op aannames die niet meer houdbaar zijn. Wie eenmaal binnen is, wordt vaak vertrouwd. Rollen en rechten zijn breed, uitzonderingen stapelen zich op en monitoring richt zich vooral op technische indicatoren.
Aanvallers spelen daar handig op in. Ze bewegen zich rustig door omgevingen, observeren processen en wachten het juiste moment af. Soms wekenlang. Timing en context bepalen de schade, brute kracht speelt daarbij nauwelijks een rol. Een wijziging in een factuur. Een ogenschijnlijk logische mail aan een financiële afdeling. Een API-token dat meer toegang blijkt te hebben dan bedoeld.
Veel organisaties zijn technisch veilig ingericht, maar blijken operationeel kwetsbaar. Ze zijn kwetsbaar doordat vertrouwen nog steeds impliciet wordt toegekend.
Zero Trust nog onvoldoende
Zero Trust wordt vaak gepresenteerd als het antwoord op deze ontwikkeling. Vertrouw niemand, verifieer alles. In theorie klopt dat. In de praktijk blijft Zero Trust echter vaak steken op beleidsniveau. Multifactor-authenticatie wordt uitgerold, conditional access ingericht, maar het onderliggende gedrag verandert nauwelijks.
Accounts behouden ruime rechten, uitzonderingen blijven bestaan en signalen worden niet altijd opgevolgd. Bovendien creëert complexiteit nieuwe risico’s. Hoe meer regels, koppelingen en afhankelijkheden, hoe lastiger het wordt om overzicht te houden. Zeker in cloudomgevingen waar identiteiten, workloads en API’s voortdurend veranderen. Zero Trust zonder continue monitoring en duidelijke verantwoordelijkheden is daarmee vooral een extra laag, geen fundamentele koerswijziging.
De rol van automatisering en AI
Automatisering en AI versterken deze trend aan beide kanten. Aanvallers gebruiken AI om geloofwaardige phishingmails te schrijven, context te verzamelen en timing te perfectioneren. Verdedigers zetten AI in om afwijkend gedrag te herkennen en prioriteiten te stellen.
Het verschil zit in snelheid en schaal. Aanvallers hebben genoeg aan één succesvolle login. Verdedigers moeten elk signaal beoordelen, correleren en duiden. Dat vergroot de druk op securityteams, die steeds vaker verdrinken in alerts zonder duidelijk beeld van wat werkelijk misgaat.
Cyberveiligheid draait daarmee vooral om organisatie en verantwoordelijkheid. Wie is verantwoordelijk voor identiteitsbeheer? Wie beoordeelt gedrag? En wie durft in te grijpen als iets formeel klopt, maar inhoudelijk niet?
Veilig internet vraagt om andere vragen
Safer Internet Day draait vaak om de vraag hoe we het internet veiliger maken. Misschien is het zinvoller om een andere vraag te stellen: hoe gaan we om met een internet waarin misbruik er normaal uitziet?
Dat vraagt om andere accenten. Minder focus op nieuwe tools, meer aandacht voor het inrichten van vertrouwen. Minder aannames over ‘legitiem gebruik’, meer nadruk op context en gedrag. En vooral het besef dat veiligheid geen staat is, maar een voortdurend proces van toetsen, bijstellen en ingrijpen.
De grootste dreiging komt niet langer van buitenaf. Die zit in accounts, rechten en processen die ooit logisch waren, maar inmiddels structureel worden misbruikt. Safer Internet Day is daarom een goede aanleiding om het beveiligingsdenken opnieuw tegen het licht te houden.
