Een goudkleurig hangslot bovenop een computertoetsenbord
Gids19 juni · 17:0510 min leestijd

Cybersecurity basischeck: vijf lagen die je zelf kunt nalopen

De meeste aanvallen mikken op de basis, niet op geniale hacks. Met deze basischeck in vijf lagen breng je credentials, netwerk, supply chain, AI-tools en herstelplan in een halve dag op orde.

Een datalek begint zelden met een geniale hacker en een scherm vol groene code. Het begint met een wachtwoord dat ergens anders ook al gebruikt werd, een firewall die maanden niet is bijgewerkt, of een pakket dat een ontwikkelaar zonder nadenken installeerde. Voor een MKB-bedrijf, of een afdeling binnen een grotere organisatie, voelt 'cybersecurity' al snel als iets voor specialisten met dure tooling. Dat is het niet. Het overgrote deel van de aanvallen is geautomatiseerd en mikt op de basis, en die basis kun je zelf nalopen.

Deze gids is voor de ondernemer of teamlead die geen eigen security-afdeling heeft, maar wel als eerste wordt gebeld als het misgaat. Je hoeft geen pentester te zijn. Je hebt een paar uur nodig, toegang tot je eigen systemen en de bereidheid om eerlijk op te schrijven wat er nog niet klopt. Het kader dat ik aanhoud sluit aan op de 56 basismaatregelen die het CIS omschrijft als essentiele cyberhygiene, het minimum dat elke organisatie zou moeten halen, vertaald naar vijf lagen die je in volgorde afloopt.

Wat je nodig hebt

Voordat je begint, leg je het volgende klaar. Het scheelt later terugbladeren.

  • Een lijst van wat je hebt. Welke systemen, accounts, apparaten en leveranciers gebruik je? Een ruwe inventaris in een spreadsheet is genoeg om te beginnen; je kunt hem onderweg aanvullen.
  • Admin-toegang. Tot je e-mail- en identiteitsbeheer (Microsoft 365, Google Workspace), je router of firewall, en de beheerconsoles van je belangrijkste tools.
  • Een halve dag, zonder onderbrekingen. Een basischeck die je tussen twee meetings door propt, mis je de helft van.
  • Een plek om bevindingen te noteren. Per laag schrijf je op wat al goed staat, wat moet, en wie het oppakt. Dat document is straks je actieplan.

Je hebt voor deze ronde geen betaalde scanner of consultant nodig. De duurste stap is meestal een wachtwoordmanager, en die kost minder dan een lunch per medewerker per maand.

De basischeck in vijf lagen

Een basischeck in vijf lagen brengt je van losse zorgen naar een concreet actieplan: je controleert je credentials, je netwerk, je software-afhankelijkheden, je AI-tools en je herstelplan, en je noteert per laag wat al goed staat en wat moet. In een halve dag heb je een eerlijk beeld en de drie urgentste acties op een rij.

Loop de vijf lagen in deze volgorde na, van wat het vaakst misgaat naar wat het meeste schade aanricht.

1. Credentials en toegang

Dit is de laag waar de meeste inbraken beginnen, en dus waar je het meeste rendement haalt.

Rol een wachtwoordmanager uit voor iedereen. Hergebruikte en zwakke wachtwoorden zijn nog altijd de makkelijkste deur. Een wachtwoordmanager genereert per dienst een uniek, lang wachtwoord en deelt zakelijke logins via kluizen in plaats van via een berichtje. Bitwarden voor teams begint bij 4 dollar per gebruiker per maand bij jaarlijkse betaling, de enterprise-variant met single sign-on en beleidsregels kost 6 dollar; 1Password Business zit op 7,99 dollar. Het exacte merk is minder belangrijk dan dat iederéén hem gebruikt.

Zakelijke wachtwoordmanagers, prijs per gebruiker per maand bij jaarlijkse betaling in USD (bron: Bitwarden, 1Password)

Zet MFA overal aan, en kies de phishing-bestendige variant waar het kan. Tweefactor via een sms-code is beter dan niets, maar een aanvaller kan die code laten doorgeven via een nep-inlogpagina. FIDO2-beveiligingssleutels, passkeys en Windows Hello binden de login cryptografisch aan het echte domein, waardoor een nagemaakte pagina niet werkt. Microsoft rekent precies die methoden tot de sterkste authenticatieklasse en raadt ze aan voor alle beheerdersrollen. Begin met je beheerders en je e-mailaccounts; dat zijn de sleutels tot de rest.

Roteer wat mogelijk gelekt is. Wachtwoorden lekken vaak in bulk, los van jouw eigen hygiene. Toen de inloggegevens van 75.000 Fortinet-firewalls op straat kwamen te liggen, was het enige juiste antwoord: aannemen dat ze misbruikt worden en alles roteren. Hanteer diezelfde reflex bij elk bericht dat een dienst die jij gebruikt is gehackt.

Scheid beheerdersaccounts van dagelijkse accounts en haal vertrekkende medewerkers en oude integraties direct uit je systemen. En onthoud dat de overtuigendste aanvallen op mensen mikken, niet op techniek: de beste verdediging tegen moderne phishing zit in je proces, niet in je software, bijvoorbeeld een vaste regel dat een betaalwijziging altijd telefonisch wordt bevestigd.

2. Netwerk en randapparatuur

Alles wat aan het internet hangt, is een potentiele voordeur.

Inventariseer wat van buitenaf bereikbaar is. Je firewall, VPN, NAS, camera's, een open beheerpoort. Wat je niet weet dat aanstaat, kun je niet beveiligen.

Werk firmware en software bij. Routers, firewalls en VPN's zijn geliefde doelwitten juist omdat ze zelden updates krijgen. Zet automatische updates aan waar het kan en plan een vast moment per maand voor de rest.

Sluit Remote Desktop (RDP) en kale beheerpoorten af van het open internet. Wie op afstand moet werken, doet dat via een VPN of een zero-trust-toegangslaag, niet via een poort die de hele wereld kan benaderen. Geef gasten en slimme apparaten een apart netwerk, los van je werksystemen.

3. Supply chain en afhankelijkheden

Je bent niet alleen zo veilig als je eigen code, maar ook als alles wat je installeert en koppelt.

Weet wat je draait. Maak een lijst van de software, SaaS-diensten en code-pakketten waar je bedrijf op leunt. Elke koppeling tussen je tools, van je webshop tot je boekhouding, is ook een sleutel die iemand kan misbruiken als hij in verkeerde handen valt.

Pin je afhankelijkheden vast. Voor wie zelf software (laat) bouwen: commit je lockfile en installeer met npm ci in plaats van npm install, zodat een build altijd exact dezelfde versies pakt. pnpm installeert sinds versie 11 standaard pas pakketten die minstens 24 uur oud zijn, precies het venster waarin de meeste kwaadaardige uploads worden ontdekt en verwijderd. Schakel install-scripts standaard uit en sta alleen vertrouwde pakketten toe.

De dreiging is concreet: ruim 140 npm-pakketten voor AI-agenten raakten besmet met een credential-steler via het Mastra-framework. Een ontwikkelaar die zo'n pakket installeert, geeft de aanvaller in stilte zijn sleutels. Een installatievenster van een dag had dat grotendeels gestopt.

4. AI-tools en gateways

AI-tools zijn de nieuwste laag op je aanvalsoppervlak, en de meest onderschatte. Een AI-gateway of low-code-agentplatform heeft toegang tot je data, je API-sleutels en vaak je interne systemen.

Behandel je AI-infrastructuur als productiesoftware. Drie lekken in LiteLLM gaven gewone gebruikers admin-rechten en code-uitvoering op de AI-gateway, en de kritieke Langflow-kwetsbaarheid CVE-2026-5027 werd actief misbruikt. Patch deze tools net zo snel als je je firewall patcht.

Zet nooit een AI-tool zonder authenticatie open op het internet en geef hem niet meer rechten dan hij nodig heeft. Of je self-host of de cloud gebruikt is een afweging op zich, en self-hosted geeft je meer controle over je data en je aanvalsoppervlak, mits je het onderhoud serieus neemt.

Spreek af welke data in welke tool mag. Plak geen klantgegevens of geheimen in een prompt zonder te weten waar ze landen. Wie AI inzet, loopt sowieso tegen governance-eisen aan; een praktische nalevingschecklist voor de AI Act helpt je dat gestructureerd vast te leggen.

5. Herstelplan en back-ups

De vorige vier lagen verkleinen de kans. Deze laag bepaalt of een incident een vervelende dag wordt of een faillissement.

Volg de 3-2-1-regel: drie kopieen van je data, op twee soorten media, met een kopie off-site. De moderne uitbreiding, 3-2-1-1-0, voegt een onveranderbare of air-gapped kopie toe en nul herstelfouten, juist omdat ransomware tegenwoordig eerst de back-ups zoekt. Een back-up die de aanvaller ook kan versleutelen, is geen back-up.

Test het herstel, niet alleen de back-up. De enige back-up die telt, is degene waarvan je hebt bewezen dat je hem kunt terugzetten. Plan een keer per kwartaal een echte hersteltest.

Leg een incidentplan op papier, offline. Wie bel je, in welke volgorde, met welke contactgegevens? Een plan dat alleen in het systeem staat dat plat ligt, is onbereikbaar op het moment dat het telt. Vergeet daarbij je vergeten bezittingen niet: een verlopen domeinnaam werd ooit een datalek omdat niemand nog wist dat hij bestond. Oude accounts, domeinen en servers blijven een risico tot je ze bewust opruimt.

Valkuilen

De meeste basischecks stranden niet op onwil, maar op een paar terugkerende denkfouten.

  • Tools kopen en niet configureren. Een wachtwoordmanager of MFA-licentie die in een la ligt, beschermt niemand. De uitrol en de adoptie zijn het werk, niet de aankoop.
  • MFA via sms voor lief nemen. Beter dan niets, maar te omzeilen. Voor je belangrijkste accounts is een phishing-bestendige methode het doel.
  • Een ongeteste back-up. Tienduizenden bedrijven ontdekken pas tijdens een ransomware-aanval dat hun back-up onvolledig of mee-versleuteld was. Zonder hersteltest weet je het niet.
  • "Wij zijn te klein om interessant te zijn." De aanvallen die jou raken zijn zelden gericht; ze scannen automatisch het hele internet af op de zwakke plekken uit lagen 1 tot en met 4.
  • Schaduw-IT en ongeziene AI-tools. Wat medewerkers zelf installeren of koppelen, staat niet op jouw lijst en valt buiten je controle. Vraag er actief naar.

Kant-en-klaar vs. maatwerk

Niet elke laag vraagt evenveel. Het eerlijke beeld: de basis koop je grotendeels kant-en-klaar, het op orde houden en het koppelen aan jouw situatie is waar maatwerk loont.

OnderdeelKant-en-klaarMaatwerk loont
Wachtwoordmanager en MFAJa, standaardproducten dekken dit volledigAlleen bij uitrol over veel medewerkers of complexe rollen
Patchen en netwerkAutomatische updates, ingebouwde firewall-functiesSegmentatie en monitoring bij meerdere locaties of systemen
Supply chain en koppelingenLockfiles, install-cooldown, standaardinstellingenEigen software, integraties en CI/CD-beleid op jouw stack
AI-tools en gatewaysBeheerde clouddiensten met ingebouwde authSelf-hosted opzet, eigen data-afspraken en hardening
Back-up en herstelStandaard back-updiensten met 3-2-1Hersteltests, incidentplan en koppeling aan jouw systemen

De vuistregel: koop de bouwstenen die een markt al goed heeft opgelost, en steek je eigen tijd of die van een specialist in de stukken die uniek zijn voor jouw bedrijf, je integraties, je data en je herstelproces. Daar zit het verschil tussen een vinkje en echte weerbaarheid.

Een basischeck is geen project met een einddatum, maar een gewoonte. De vijf lagen veranderen niet, maar de details wel: er komt een nieuw apparaat bij, een nieuwe tool, een nieuw lek dat om rotatie vraagt. Zet de check een keer per kwartaal in je agenda, houd je bevindingenlijst bij, en je verschuift van hopen dat het goed zit naar weten dat het goed zit. Dat is geen luxe voor grote bedrijven; het is precies wat een klein team binnen handbereik heeft, zonder dat het een dagtaak wordt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Van checklist naar weerbaarheid

Ik denk met je mee over waar je echt kwetsbaar bent, ontwerp de aanpak en realiseer hem end-to-end: van phishing-bestendige toegang en geharde AI-gateways tot geteste back-ups. Geen losse tools, maar een opzet die past bij jouw systemen en koppelingen.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Je AI-toolchain is je nieuwe aanvalsoppervlak
Inzicht
8 min

20 jun 09:00

Je AI-toolchain is je nieuwe aanvalsoppervlak

Van npm-pakketten tot IDE-plugins tot zelfgehoste gateways: elke laag van je AI-stack is een actief aanvalspad geworden. Zonder supply chain beleid loop je nu al risico.

FBI waarschuwt voor supply-chain-groep TeamPCP en adviseert een minimale package-leeftijd
Nieuws
6 min

3 jul 14:10

FBI waarschuwt voor supply-chain-groep TeamPCP en adviseert een minimale package-leeftijd

De FBI bracht een officiele waarschuwing uit voor TeamPCP, die breed gebruikte ontwikkel- en beveiligingstools vergiftigde. De concrete raad: installeer een pakket pas na een minimale leeftijd van zeven dagen.

Je AI-automatiseringsstack beveiligen tegen supply chain-aanvallen: van npm tot Langflow
Gids
10 min

24 jun 13:05

Je AI-automatiseringsstack beveiligen tegen supply chain-aanvallen: van npm tot Langflow

Het grootste deel van je AI-stack is code van vreemden. Zo leg je elke afhankelijkheid vast, verifieer je herkomst en houd je Langflow en LiteLLM dicht, stap voor stap.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

Aikido koopt Root voor 70 miljoen dollar om kwetsbaarheden automatisch te patchen
Nieuws
4 min

1 jul 00:19

Aikido koopt Root voor 70 miljoen dollar om kwetsbaarheden automatisch te patchen

Het Gentse beveiligingsbedrijf Aikido neemt de Amerikaanse start-up Root over voor 70 miljoen dollar en kan kwetsbaarheden zo patchen in de versie die je al draait, zonder gedwongen upgrade.

Welke AI-assistent past bij jouw MKB: Claude, ChatGPT of Microsoft Copilot?
Gids
8 min

22 jun 19:04

Welke AI-assistent past bij jouw MKB: Claude, ChatGPT of Microsoft Copilot?

Een praktisch keuzekader voor de drie grote zakelijke AI-assistenten. Niet op modelkwaliteit, maar op je werkomgeving, je integraties en de echte prijs per gebruiker.