Man werkt laat door aan een schaars verlicht bureau.
Inzicht17 juli · 13:048 min leestijd

Het MKB voelt zich veiliger dan ooit. Dat gevoel is inmiddels zelf het risico.

Nederlandse bedrijven meldden vorig jaar minder cyberaanvallen dan in de negen jaar dat dit wordt gemeten.

Nederlandse bedrijven meldden vorig jaar minder cyberaanvallen dan in de negen jaar dat dit wordt gemeten. Vier procent van de bedrijven ervoer in 2024 een aanval, tegen elf procent in 2016, het laagste cijfer ooit gemeten. In diezelfde periode ging het aantal gekaapte accounts dat bij de privacytoezichthouder werd gemeld van ruim zeshonderd naar ruim zeventienhonderd, bijna een verdrievoudiging. Twee grafieken over hetzelfde land die de andere kant op wijzen.

Mijn stelling is dat het groeiende zelfvertrouwen van het MKB over de eigen digitale weerbaarheid geen teken van vooruitgang is, maar zelf een risicofactor. Het gevoel veiliger te zijn stijgt sneller dan de veiligheid zelf, en dat gat tussen gevoel en blootstelling is precies waar een aanvaller op rekent.

"Minder aanvallen" is een gevoel, geen meting

Begin bij wat dat vrolijke cijfer echt zegt. De monitor meet wat bedrijven zélf ervaren en melden. En daar zit de adder: de snelst groeiende aanval van dit moment voelt helemaal niet als een aanval.

Een gekaapt account draait op een echte inlog. Geen gekraakt wachtwoord, geen alarm, gewoon iemand die zich aanmeldt met een geldige sleutel. Voor je systeem, en voor jou, ziet dat eruit als een normale werkdag. Zo'n inbraak laat zich maandenlang niet als aanval herkennen, en wat je niet herkent, meld je ook niet in een enquête over aanvallen die je meemaakte. Een inbraak die begint met gestolen inloggegevens blijft gemiddeld zo'n 246 dagen onopgemerkt, becijfert IBM. Ruim acht maanden waarin er niets lijkt te gebeuren, terwijl er van alles gebeurt.

Daarom kunnen die twee grafieken tegelijk waar zijn. De ene meet hoeveel aanvallen bedrijven vóélden. De andere, de harde meldingen bij de toezichthouder, vangt een deel van wat er echt gebeurde. Als de eerste daalt terwijl de tweede stijgt, is de meest logische verklaring niet dat het veiliger wordt. Het is dat een groeiend deel van de aanvallen onder de radar van je eigen waarneming door glijdt. Het comfortabele cijfer daalt omdat de aanval leerde zich niet meer als aanval te gedragen.

Het zelfvertrouwen steeg terwijl het aanvalsoppervlak groeide

Zet daar het tweede feit naast. Uit vers onderzoek van Deloitte onder ruim duizend bestuurders in 43 landen blijkt dat 85 procent vertrouwt op de eigen cyberstrategie terwijl de daadwerkelijke weerbaarheid daarbij achterblijft. In datzelfde jaar kreeg 78 procent tóch met minstens één cyberincident te maken. Vertrouwen van 85 procent, incidenten bij 78 procent. Dat is geen ruis, dat is een systematische misrekening.

En het aanvalsoppervlak waar dat zelfvertrouwen overheen ligt, is niet kleiner geworden. Het groeide. Elke AI-tool die een team erbij neemt, elke SaaS-koppeling, elke leverancier met toegang tot je data is een nieuwe deur. In datzelfde Deloitte-onderzoek houdt maar twee op de drie organisaties de cyberrisico's van hun leveranciers echt in de gaten, terwijl juist via die keten de aanval binnenkomt. En ook je grootste klant kan je verplichten dat op orde te hebben, ook als je jezelf te klein of te weinig kritiek vindt om onder de nieuwe zorgplicht te vallen.

Daar bovenop maakt generatieve AI de aanval zelf beter. Een phishingmail zonder taalfouten, een nagemaakte inlogpagina in seconden: de goedkope, opsporbare missers van vroeger verdwijnen. Bijna een op de vijf bestuurders noemt vijandige AI inmiddels een van de grootste obstakels voor hun beveiliging. Meer gereedschap, meer koppelingen, betere aanvallen. En tegelijk een gevoel dat het wel goed zit.

Waarom het gevoel zelf de zwakke plek is

Nu de kern, want tot hier is het nog een kloof tussen twee cijfers. Het gevaarlijke is wat dat gevoel met je gedrag doet.

Vertrouwen koopt stilstand. Wie zich veilig voelt, faseert de zwakke terugval niet uit, ruimt de vergeten accounts niet op, kijkt niet naar wie er eigenlijk inlogt. Microsoft maakt de sterkste inlogmethode straks vanzelf de standaard, en toch blijft de zwakke sms-terugval er bij veel teams gewoon naast staan, want de knop staat immers goed. Een aanvaller bedankt je voor die terugval en kiest simpelweg de zwakste methode die nog aanstaat.

De cijfers verraden waar dat gevoel het sterkst en het minst verdiend is. Het zelfvertrouwen ligt op 85 procent, de gereedheid rond de 70. En bij de kleinste bedrijven gaapt het gat het wijdst: waar grote organisaties in ruime meerderheid tien of meer basismaatregelen hebben getroffen, haalt maar een op de acht microbedrijven diezelfde ondergrens. Versleutelt de grote organisatie zijn data bijna altijd, bij de kleinste doet nog geen op de drie dat. Juist de partij met de minste maatregelen leunt op het meeste vertrouwen. Dat is geen toeval. Het zelfvertrouwen komt niet uit de maatregelen, het komt uit de afwezigheid van een zichtbaar incident, en dat is precies wat een trage detectie je gratis geeft.

Om eerlijk te zijn: een deel van die daling is echt

Het sterkste tegenargument verdient zijn beste vorm, want het klopt deels. Misschien is die daling gedeeltelijk gewoon verdiend. De basis is de afgelopen jaren beter geworden: multifactor staat bij de grotere bedrijven bijna overal aan, back-ups zijn normaler, de meeste geautomatiseerde rommelaanvallen ketsen af op hygiëne die er tien jaar geleden niet was. Een stuk van die vier procent is echte vooruitgang op de makkelijke aanval, en dat mag je benoemen.

En toch houd ik mijn lijn, want de winst is verkeerd geprijsd. De hygiëne die de goedkope aanval tegenhoudt, doet niets tegen de categorie die groeit, want die draait op een echte inlog en loopt om je maatregelen heen. Het probleem is niet dat de vooruitgang nep is. Het probleem is dat het gevoel van veiligheid zich uitsmeert over gebied dat het nooit heeft verdiend: je hebt de voordeur verstevigd en concludeert dat het hele huis veilig is, terwijl de aanvaller allang via het raam van je leverancier binnen is. Verdiende geruststelling op één plek wordt onverdiende geruststelling overal.

Wantrouw je eigen gevoel van veiligheid

De grafiek die het minst betrouwbaar is, is de grafiek in je hoofd. "Wij hebben er weinig last van" is geen meting van je risico, het is een meting van wat je hebt opgemerkt, en die twee zijn uit elkaar gaan lopen.

Weerbaarheid begint dus niet bij nog een slot, maar bij een eerlijkere vraag. Niet of jullie je veilig voelen, maar wanneer je het zou merken als je het niet was, en waar je blootstelling het afgelopen jaar stilletjes is gegroeid. De bedrijven die er het minst slecht uitkomen, zijn niet degene met het meeste vertrouwen, maar degene die een aanval als een ontwerpvraag behandelen en niet als een restrisico dat vast wel meevalt.

Wie zichzelf die vraag durft te stellen, sluit het tabblad niet met een gerust gevoel. En dat lichte ongemak is, in een jaar waarin het zelfvertrouwen harder steeg dan de veiligheid, waarschijnlijk het gezondste signaal dat je hebt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Meet je blootstelling, gok niet

Ik denk met je mee over waar je echt kwetsbaar bent en bouw de systemen die je aanmeldingen, koppelingen en leveranciers zichtbaar maken. Zo stuur je op cijfers in plaats van op een gevoel.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Account takeovers verdrievoudigen: het probleem is niet je wachtwoordbeleid, maar hoe laat je het merkt
Inzicht
7 min

16 jul 17:00

Account takeovers verdrievoudigen: het probleem is niet je wachtwoordbeleid, maar hoe laat je het merkt

Over 2025 telde de privacytoezichthouder bijna drie keer zoveel gekaapte accounts als het jaar ervoor.

AVG-checklist voor generatieve AI: zo zet je ChatGPT en Copilot rechtmatig in
Gids
Uitgebreide gids9 min

14 jul 14:47

AVG-checklist voor generatieve AI: zo zet je ChatGPT en Copilot rechtmatig in

Je gebruikt ChatGPT of Copilot, maar legde nergens vast op welke grondslag. Deze checklist loodst je langs de AVG voor generatieve AI: van de eerste vraag tot grondslag, verwerkersovereenkomst, DPIA en de waarborgen die de AP eist.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

Wat is vendor lock-in? Betekenis, voorbeelden en hoe je eruit komt
Gids
8 min

1 jul 17:45

Wat is vendor lock-in? Betekenis, voorbeelden en hoe je eruit komt

Vendor lock-in is de situatie waarin overstappen zo duur of ingewikkeld is dat je vastzit. Wat het is, hoe het eruitziet per softwarecategorie, en een zelftest plus beslisboom naar je volgende stap.

AI-toolbeleid opstellen voor je bedrijf: van goedgekeurde lijst tot AVG-conforme gebruiksregels
Gids
9 min

26 jun 21:02

AI-toolbeleid opstellen voor je bedrijf: van goedgekeurde lijst tot AVG-conforme gebruiksregels

Je mensen gebruiken al AI, met of zonder toestemming. Zo stel je een werkbaar AI-toolbeleid op: breng het gebruik in kaart, kies goedgekeurde tools, leg vast welke data erin mag en rol het uit zonder weerstand.

AI voelt alsof het werkt. Dat is precies het probleem.
Inzicht
7 min

21 jun 11:03

AI voelt alsof het werkt. Dat is precies het probleem.

Bijna elke ondernemer zegt dat AI 'aanvoelt' alsof het tijd bespaart. Maar gevoel is geen bewijs, en zonder bewijs is je volgende AI-investering onverdedigbaar richting bestuur en bank.