Kaseya publiceert een on-demand sessie over “redelijke” cyberbeveiliging in een door AI gedreven APAC-markt. De IT-beheer- en securityleverancier richt zich op MSP’s en middelgrote bedrijven die vaker doelwit zijn van aanvallen. De boodschap is ook relevant voor Nederland en Europa, met de Europese AI-verordening en gevolgen voor overheid en bedrijven in het vooruitzicht. Doel is om duidelijk te maken wat minimaal nodig is om risico’s te beheersen en om aan te tonen dat beleid en praktijk op orde zijn.
APAC zoekt ‘redelijke’ norm
Kaseya plaatst het begrip “redelijke cyberbeveiliging” centraal. Dat betekent: maatregelen die passen bij het risico, de sector en de schaal van een organisatie. In APAC lopen regels en volwassenheid uiteen, waardoor bedrijven behoefte hebben aan een hanteerbare ondergrens. De sessie wil die ondergrens concreet maken voor organisaties die al met kunstmatige intelligentie werken.
De kern verschuift van afvinken naar risicogestuurd werken. Dat vraagt om een actuele risicoanalyse, duidelijke prioriteiten en zicht op kroonjuwelen, zoals persoonsdata en broncode. In een AI-omgeving gaat het ook om data die modellen trainen en om uitkomsten die beslissingen sturen. Zonder dit overzicht is elke maatregel los zand.
Voor Nederlandse organisaties is dit herkenbaar. Veel bedrijven hebben leveranciers of klanten in APAC en wisselen data en diensten uit. Een gedeelde baseline helpt om incidenten te voorkomen en om sneller aan te tonen dat de beveiliging “redelijk” was. Dat is van belang bij toezicht, claims en cyberverzekeringen.
“Redelijke cyberbeveiliging” is een aantoonbaar en passend pakket aan technische, organisatorische en juridische maatregelen, gebaseerd op risico’s, sector en schaal, dat regelmatig wordt getest en verbeterd.
Basismaatregelen blijven doorslaggevend
De sessie benadrukt dat basismaatregelen het verschil maken. Denk aan multifactor-authenticatie (MFA: een extra inlogstap) op alle kritieke accounts, tijdig patchbeheer, betrouwbare back-ups en endpoint detection and response (EDR: software die endpoints continu bewaakt). Deze bouwstenen voorkomen veel aanvallen of beperken de schade.
Essentieel is ook een volledig overzicht van alle systemen en data. Zonder inventarisatie missen updates en blijven oude accounts open. Training tegen phishing, meetbare doelen en periodieke tests maken beleid tastbaar. Redelijk wordt het pas als je dit documenteert en aantoonbaar uitvoert.
Incidentrespons hoort op papier en in de praktijk te bestaan. Dat betekent draaiboeken, tabletop-oefeningen en 24/7 monitoring in een SOC (security operations center). Logbestanden moeten centraal, onveranderbaar en lang genoeg worden bewaard, zodat onderzoek mogelijk is.
Veel organisaties gebruiken bestaande raamwerken als houvast. CIS Controls en NIST CSF geven een praktische volgorde voor beveiligingsmaatregelen. Voor Europese bedrijven helpt het om deze te mappen op NIS2-verplichtingen, zodat techniek en governance op elkaar aansluiten.
AI vergroot aanvalsvlak
AI-toepassingen brengen nieuwe risico’s mee. Grote taalmodellen (LLM’s: systemen die tekst genereren) en code-assistenten kunnen gevoelige data lekken of misleid worden via prompt-injecties (sturende opdrachten). Ook kan een model verkeerde uitkomsten geven, wat beslissingen beïnvloedt. Daarom zijn extra controles nodig.
De toeleveringsketen van AI is complex. Organisaties gebruiken externe modellen, API’s en datasets die vaak snel veranderen. Dat vraagt om due diligence, vaste updateprocedures en tests op robuustheid tegen misbruik. Documentatie, zoals modelkaarten en herkomstinformatie van data, maakt risico’s inzichtelijk.
Technisch helpen functies als data loss prevention (DLP: bescherming tegen datalekken), scheiding van gevoelige bronnen en strikte toegangsrechten. Voor AI-koppelingen is een allowlist zinvoller dan “open” integraties. Integreer AI in de veilige ontwikkelketen: dreigingsmodellering, code reviews en beveiligde uitrol.
De mens blijft cruciaal. Teams mogen AI-uitkomsten niet klakkeloos vertrouwen. Vier-ogenprincipe, duidelijke escalatiepaden en feedbacklussen beperken fouten. Training moet ook gaan over AI-specifieke dreigingen, niet alleen over klassieke phishing.
EU-regels sturen investeringen
De Europese AI-verordening (AI Act) treedt gefaseerd in werking en stelt eisen aan hoge-risicosystemen, zoals documentatie, datakwaliteit en toezicht. Leveranciers in APAC die aan Europese klanten leveren, krijgen hier ook mee te maken. Daardoor schuiven investeringen richting governance, logging en testbaarheid. Dit raakt zowel ontwikkelaars als afnemers van AI-diensten.
De AVG (privacywet) eist dataminimalisatie en versleuteling. Bij doorgifte van gegevens naar APAC zijn extra waarborgen nodig, zoals standaardclausules en risicoanalyses. AI-projecten die persoonsgegevens verwerken moeten dus vanaf ontwerp privacyvriendelijk zijn, met duidelijke bewaartermijnen en toegangscontrole.
NIS2 brengt voor veel sectoren zwaardere eisen voor risicobeheer, encryptie, incidentmelding en bestuurdersaansprakelijkheid. In Nederland is de implementatie op het moment van schrijven in voorbereiding. Besturen moeten aantonen dat zij toezicht houden op cyberrisico’s, inclusief AI-risico’s.
In de financiële sector vult DORA dit aan met strengere regels voor ICT-risico’s en rapportage. MSP’s en softwareleveranciers, waaronder aanbieders van beheerplatforms zoals Kaseya, krijgen daardoor meer due-diligencevragen en auditverzoeken. Voldoen aan “redelijk” wordt zo niet alleen technisch, maar ook contractueel en bewijsbaar.
Juridische plicht en bewijslast
Of beveiliging “redelijk” was, blijkt vaak pas na een incident. Dan telt wat is gedaan, niet wat op papier stond. Heldere procedures, logs en tests vormen het bewijs. Dit vermindert boetes, juridische kosten en uitval.
Meetbaarheid is de sleutel. Registreer patch-tijden, MFA-dekking, EDR-detecties en trainingdeelname. Koppel hier drempelwaarden aan, zoals “kritieke patches binnen zeven dagen” en “100% MFA op beheerders”. Daarmee wordt voortgang zichtbaar voor management en toezichthouders.
Leg afspraken met dienstverleners vast. Deel verantwoordelijkheden, service levels en auditrechten moeten concreet zijn. Zonder deze afspraken blijft onduidelijk wie welke risico’s beheert en wie moet melden bij een incident.
Ook cyberverzekeraars vragen om bewijs. Vragenlijsten sluiten steeds vaker aan op NIS2 en de AI-verordening. Wie maatregelen kan aantonen, houdt de polis betaalbaar en dekkingen intact.
Leveranciers en ketenrisico’s
Ketenrisico’s nemen toe door uitbesteding en AI-componenten. Vraag om een SBOM (software bill of materials: ingrediëntenlijst van software) en beoordeel leveranciers op beveiliging en continuïteit. Stel minimumnormen, zoals versleutelde opslag, MFA en tijdige patches. Herzie dit jaarlijks of bij grote wijzigingen.
Beheerplatforms en RMM-tools (remote monitoring and management) zijn krachtige middelen, maar ook aantrekkelijke doelen. Beperk rechten volgens zero trust (altijd verifiëren, minimale toegang) en scheid beheeromgevingen van productie. Gebruik sterke authenticatie, just-in-time toegang en gedetailleerde logging.
Zorg voor integere updates en ondertekende code. Verificatie aan de bron voorkomt dat aanvallers via updates binnenkomen. Test noodprocedures voor het intrekken van certificaten en het blokkeren van malafide versies.
Tot slot moet herstel haalbaar en snel zijn. Hanteer 3-2-1 back-ups, met ten minste één onveranderbare kopie offline. Bepaal RTO en RPO (maximale uitvaltijd en gegevensverlies) en oefen herstel met realistische scenario’s, inclusief AI-platforms en datastromen.
