Cybercrime wordt professioneler. Bent u daartegen opgewassen?

Erik van Daatselaar, Security Portfolio Lead bij Vodafone Business, wordt er dagelijks mee geconfronteerd. En zijn conclusie is even simpel als verontrustend: veel organisaties zien cybersecurity nog als een IT-vraagstuk, terwijl de impact direct de continuïteit van de business raakt.

Van Daatselaar, Security Portfolio Lead bij Vodafone Business, spreekt van een fundamentele onderschatting van de werkelijkheid.Cybercrime is volgens hem een volledig geprofessionaliseerde industrie, waarbij AI een nieuwe versnelling veroorzaakt. AI maakt aanvallen sneller, schaalbaarder en overtuigender.  

In combinatie met strengere wetgeving en toenemende afhankelijkheid van digitale infrastructuur ontstaat volgens Van Daatselaar een ‘perfect storm’. Organisaties moeten niet alleen beter beveiligen, maar ook sneller en bewuster handelen. “Als u morgen wordt aangevallen, moet u vandaag al weten wat u moet doen. Anders bent u te laat”, benadrukt hij.

Lees meer: 'De mens als achilleshiel van security'

Cybercrime is uitgegroeid tot een volwassen en georganiseerde industrie, waarin verschillende partijen ieder een specifieke rol vervullen. Van Daatselaar ziet dat dagelijks in de praktijk: “Verschillende partijen pakken elk een stukje van de keten op. Denk aan data stelen, exploiteren, verhandelen, ransomware bouwen, en zelfs een klantenservice om te ondersteunen in het overmaken van een bitcoin-betaling.”  

Die professionalisering wordt versneld door AI. Volgens hem maakt die technologie het mogelijk om enorme hoeveelheden data te combineren en aanvallen steeds gerichter en persoonlijker te maken.  

Aanvallen worden niet alleen overtuigender, maar ook schaalbaarder. Van Daatselaar: “Hoe persoonlijker de boodschap, plus hoe meer mensen je benadert, hoe groter de kans is dat je succes haalt.” 

'Cybersecurity: bedrijfseconomisch onmisbaar voor elke mkb’er'

Veel organisaties hebben het gevoel dat hun cybersecurity ‘wel op orde’ is, of schuiven het onderwerp voor zich uit. Niet uit onwil, maar door gebrek aan diepgaande kennis, tijd, overzicht en prioriteit. Daardoor ontstaat een schijnveiligheid, ziet Van Daatselaar. Veel organisaties weten simpelweg niet goed hoe ze moeten handelen en waar ze moeten beginnen.  

Juist daar ontstaat risico. Want als organisatie verliest u zich in de dagelijkse operatie, terwijl dreigingen zich razendsnel ontwikkelen. Volgens Van Daatselaar is het essentieel om niet alleen preventief maar óók reactief te handelen. Daar ligt volgens hem een belangrijk aandachtspunt: veel organisaties onderkennen onvoldoende dat zij een aantrekkelijk doelwit zijn.

Hybride werken is de norm. Data is verspreid over cloudomgevingen, apparaten en locaties, wat organisaties flexibeler maakt, maar tegelijkertijd de complexiteit van beveiliging vergroot. Zoals Van Daatselaar aangeeft: “Data staat overal en medewerkers werken overal. Maar beveiliging is daar vaak nog niet afdoende op ingericht.” Volgens Van Daatselaar ontstaat hier een duidelijke behoefte aan richting en begeleiding. Organisaties zoeken houvast in een wereld met snelle ontwikkelingen en waarin keuzes steeds grotere gevolgen hebben. “Klanten verwachten daar ook begeleiding in. Waar doe ik goed aan? Dat zijn vragen waarbij partijen zoals Vodafone Business, maar ook de overheid, een rol in spelen”, stelt hij. 

Lees verder: Hoe ondernemer Bram Bertels zijn bedrijf veilig maakt.

In een versnipperd IT-landschap zijn inzicht en overzicht cruciaal. Het netwerk vormt daarbij de basis waar alles samenkomt. Vodafone Business helpt organisaties om die complexiteit terug te brengen naar één samenhangende aanpak: van connectiviteit tot security, steeds vaker inclusief inrichting, beheer en managed services. Moderne securitymodellen zoals Secure Access Service Edge (SASE) spelen in op die realiteit waarin gebruikers, data en apparaten zich continu verplaatsen. Toegang wordt continu gecontroleerd, ongeacht locatie of apparaat. 

Dat maakt het mogelijk om afwijkingen direct te signaleren. Denk aan een gebruiker die binnen korte tijd van verschillende locaties inlogt: iets wat in de praktijk niet logisch is. Dit soort cyberrisico’s moeten automatisch worden gedetecteerd en gemitigeerd. Zo verschuift security van losse maatregelen naar een geïntegreerde aanpak waarin zicht, controle, en monitoring en automatische response centraal staan. Dit zorgt voor meer grip en rust binnen een organisatie.

In de praktijk gaat het zelden mis door één grote fout. Juist een reeks kleine gebeurtenissen leidt tot grote schade. Zoals Van Daatselaar benadrukt, zit de impact vaak in de combinatie van factoren.  Een phishingmail glipt door de filters, een medewerker met onvoldoende cyberbewustzijn klikt op een link en de computer herkent de nepwebsite (spoofing) niet.  

Vervolgens wordt via een account met te veel rechten, zonder adequate monitoring, in korte tijd grote hoeveelheden data gedownload. Het gevolg: datalekken, ransomware, stilstand en reputatieschade, vaak binnen enkele uren. Van Daatselaar: “Dit kan gebeuren bij de kleine en bij grote organisaties. En dat zijn precies de plekken waar technologie zoals SASE en Detectie & Response het verschil maken.”

Cybersecurity zakelijk bekeken: 'Cybersecurity: bedrijfseconomisch essentieel voor elke mkb’er'

Technologie kan veel risico’s afvangen, maar menselijk gedrag blijft doorslaggevend. Medewerkers vormen de toegang tot systemen en data en zijn daarmee extra kwetsbaar. Volgens Van Daatselaar begint effectieve beveiliging bij bewustzijn. Medewerkers moeten begrijpen wat de impact is van hun gedrag: van het delen van inloggegevens tot het vertrouwen van externe verzoeken. Dat vraagt om aandacht binnen de organisatie. Hij stelt: “Dat is niet één keer per jaar een awarenesstraining, maar via korte en regelmatige checks zodat het gaat leven. En geregeld een gerichte phishingcampagne.” Organisaties die security op die manier onderdeel maken van hun dagelijkse werkwijze, zijn aantoonbaar weerbaarder. 

Cybersecurity zakelijk bekeken: 'Cybersecurity: bedrijfseconomisch essentieel voor elke mkb’er'

 Nieuwe regelgeving, zoals de NIS2-richtlijn en de Cyberbeveilingswet, maakt cybersecurity tot een topprioriteit voor organisaties. Incidenten moeten snel worden gemeld: binnen 24 uur een eerste melding, binnen 72 uur aanvullende details. Dat vraagt om voorbereiding, want aanvallen ontwikkelen zich vaak binnen enkele uren. Zoals Van Daatselaar benadrukt: “Als u geen zicht heeft op uw omgeving, bent u simpelweg te laat. Dan staat uw organisatie al met 2-0 achter tegen professionelere hackers.”  

Cybersecurity verschuift daarmee van een IT-onderwerp naar een bestuurlijke verantwoordelijkheid. Directies worden niet alleen aangesproken op beleid, maar ook op de daadwerkelijke weerbaarheid van hun organisatie. Inclusief mogelijke persoonlijke financiële aansprakelijkheid.

Cybersecurity zakelijk bekeken: 'Cybersecurity: bedrijfseconomisch essentieel voor elke mkb’er'

Cybersecurity begint met inzicht, bewustwording en juiste ondersteuning. Vodafone Business helpt organisaties daarbij met een geïntegreerde aanpak, gebaseerd op internationale standaarden. We werken met een gestructureerde aanpak voor het identificeren van risico’s, het beschermen van systemen, het detecteren van dreigingen en adequaat reageren. Dit wordt aangevuld met governance om overzicht te behouden. Van Daatselaar adviseert om in elk geval de basis op orde te hebben.

• Zorg voor bewustzijn binnen uw organisatie
• Voorzie endpoints en apparaten van een basisbeveiliging
• Bescherm en monitor actief het dataverkeer in uw netwerk
• Zorg voor een betrouwbare back-up

In een digitale economie is vertrouwen een voorwaarde om zaken te doen. Klanten, partners en toezichthouders in de keten verwachten dat u uw digitale omgeving op orde heeft. Vertrouwen ontstaat echter niet vanzelf. Het vraagt om transparantie, duidelijke keuzes, kennis en structurele aandacht. 

Benieuwd wat Vodafone Business voor de veiligheid van uw business kan betekenen? Bekijk hier de opties.