Thales meldt in nieuw onderzoek dat 40 procent van het wereldwijde internetverkeer uit kwaadaardige bots bestaat. Het gaat om geautomatiseerde scripts die systemen misbruiken voor diefstal, fraude en sabotage. Dat heeft gevolgen voor overheid en bedrijven onder de Europese AI‑verordening en de AVG. Het onderwerp is direct relevant voor Nederlandse organisaties die online diensten aanbieden.
Kwaadwillende bots nemen verkeer over
Kwaadaardige bots zijn programma’s die zonder toestemming websites en API’s benaderen. Ze proberen wachtwoorden, betaalgegevens of inhoud te stelen. Ook leggen ze diensten plat met overbelasting of kopen schaarse producten weg.
Thales ziet dat dit verkeer op het moment van schrijven een groot deel van de totale datastromen vormt. Bedrijven merken dit aan vollopende servers, foutmeldingen en pieken in kosten bij cloudaanbieders. Het verstoort normale bezoekers en verhoogt conversieverlies.
Vooral inlogpagina’s en API‑koppelingen zijn doelwit. Aanvallen richten zich op credential stuffing, scraper‑verkeer en kaartjes- en productbots. Daarmee ondermijnen ze betrouwbaarheid, voorraadbeheer en klantenservice.
40 procent van al het internetverkeer bestaat uit ‘bad bots’ die automatisch en zonder toestemming websites en API’s misbruiken.
Aanvallen worden menselijker door AI
Bots gebruiken steeds vaker kunstmatige intelligentie om menselijk gedrag na te bootsen. Ze bewegen muis en toetsenbord realistischer en variëren timing en routes. Daardoor vallen simpele drempels, zoals traditionele CAPTCHA’s, sneller weg.
Aanvallers gebruiken geautomatiseerde browsers en wisselende netwerken om detectie te ontwijken. Ze rouleren IP‑adressen en apparaten, en passen zich live aan blokkades aan. Dat maakt blacklists en statische regels minder effectief.
Verdediging verschuift daarom naar gedragsanalyse en risicoscores. Zulke systemen leren patronen van normaal verkeer en wijken daarop af. Ze combineren signalen als snelheid, klikvolgorde en apparaatkenmerken.
Nederlandse sectoren lopen direct risico
Webwinkels krijgen te maken met scraping, nepaccounts en bots die schaarse producten opkopen. Dit jaagt kosten op en frustreert klanten. Ook prijsinformatie en voorraaddata lekken zo weg naar concurrenten.
Financiële diensten zien pogingen tot accountovernames via gelekte wachtwoorden. Dat botst met PSD2‑eisen voor sterke klantauthenticatie en transactiemonitoring. Bij een geslaagde aanval lopen klanten en banken financiële en reputatieschade op.
Media, zorg en overheid ervaren pieken op formulieren en portalen. Denk aan massale aanvragen die systemen vertragen of gegevens misbruiken. Dit raakt digitale toegankelijkheid en dienstverlening aan burgers.
AI‑verordening en AVG sturen beleid
Botdetectie verwerkt vaak persoonsgegevens zoals IP‑adressen en apparaatprofielen. Onder de AVG vraagt dat om een rechtmatige grondslag, dataminimalisatie en bewaartermijnen. Een DPIA kan nodig zijn bij grootschalige of gevoelige profiling.
De ePrivacy‑regels beperken het plaatsen en uitlezen van trackingtechnieken op apparaten. Organisaties moeten nagaan of cookiebanners en toestemmingen kloppen voor botmitigatie. Alternatieven die minder ingrijpend meten verdienen de voorkeur.
De Europese AI‑verordening rangschikt AI‑toepassingen naar risico. Cybersecurity‑detectie valt doorgaans niet in de hoogste risicoklasse, maar transparantie en menselijk toezicht blijven relevant. Overheidsdiensten moeten bovendien rekening houden met NIS2‑zorgplichten en rapportage.
Verdediging vraagt gelaagde aanpak
Een effectieve strategie combineert meerdere maatregelen. Begin met basis: patchbeleid, rate limiting en strikte API‑toegang met tokens. Voeg daar een web application firewall en dedicated botmanagement aan toe.
Versterk accounts met multifactor‑authenticatie en bij voorkeur passkeys. Bescherm formulieren met proof‑of‑work of adaptieve uitdagingen die gedrag meenemen. Gebruik honeypots om geautomatiseerde scripts te lokken en te blokkeren.
Meet continu wat werkt met duidelijke indicatoren. Kijk naar foutpercentages, valse blokkeringsmeldingen en kosten per verzoek. Leg beslissingen vast en herzie regels regelmatig, zodat techniek en compliance in de pas lopen.