WatchGuard Technologies voorspelt dat cybercriminaliteit in 2026 sterk verandert door kunstmatige intelligentie en automatisering. Het beveiligingsbedrijf ziet wereldwijd een verschuiving naar slimmere, snellere en persoonlijkere aanvallen. Dat raakt ook Nederland en Europa, waar de AVG en de Europese AI-verordening gevolgen overheid eisen stellen aan data en algoritmen. De hoofdreden: generatieve AI verlaagt drempels en verhoogt het tempo van misbruik.
AI maakt aanvallen schaalbaar
Criminelen gebruiken generatieve AI om phishingmails en chats te schrijven die geloofwaardiger zijn. Deze modellen leren van openbare profielen en eerdere datalekken, en maken zo sterk gepersonaliseerde berichten. Ook stemklonen en video-deepfakes worden toegankelijker, waardoor identiteitsfraude realistischer klinkt en oogt. Dat vergroot het risico op fraude met betalingen en interne autorisaties.
Deepfakes zijn synthetische beelden of audio, gemaakt door een model dat patronen kopieert. Waar dit vroeger veel rekenkracht vroeg, zijn er nu goedkope diensten en open bronmodellen. Daardoor komt deze techniek binnen handbereik van kleinere criminele groepen. Detectietools lopen hier nog vaak achteraan, vooral in realtime-omgevingen zoals telefonie.
WatchGuard verwacht meer āAI-agentsā die taken automatisch afwerken, van het zoeken naar kwetsbaarheden tot het voeren van chatgesprekken. Zulke agents combineren scripts met taalmodellen en werken de klok rond. Zij testen wachtwoorden, proberen multi-factorbeveiliging te omzeilen en passen hun aanpak aan op basis van reacties. Daarmee wordt de aanvalscyclus korter en moeilijker te stoppen.
Criminele diensten professionaliseren
De markt voor cybercrime lijkt steeds meer op een platformeconomie. Er zijn leveranciers, tussenpersonen en āklantenā die diensten huren. Zo ontstaan pakketten voor phishing, toegang tot gehackte netwerken en uitbuiting van cloudaccounts. Dat verlaagt kennisdrempels en vergroot de schaal van aanvallen.
Ransomware-as-a-Service is een crimineel abonnementsmodel waarbij ontwikkelaars kant-en-klare gijzelsoftware verhuren aan aanvallers, meestal tegen een winstdeling.
Door deze professionalisering wordt onderhandelen over losgeld standaard en geautomatiseerd. Aanvallers testen back-ups, stelen gevoelige documenten en publiceren voorbeelden om druk op te voeren. Ook het lekken via dataportalen is gestroomlijnd. Middelgrote bedrijven en gemeenten worden vaker doelwit omdat zij vaak minder beveiligingsmiddelen hebben.
Nieuwe varianten zoals āQR-phishingā en misbruik van single sign-on duiken vaker op. Criminelen misbruiken legitieme tools en cloud-APIās, zodat hun gedrag op normaal beheer lijkt. Zulke āliving off the landā-tactieken zijn lastig te zien met alleen antivirus of firewallregels. Zonder diepere gedragsanalyse blijft veel onder de radar.
Detectie moet mee veranderen
Klassieke handtekeningdetectie ziet vooral bekende malwarepatronen. Bij AI-gestuurde aanvallen wisselen tactieken snel en is er minder herhaling. Organisaties hebben daarom meer baat bij EDR en XDR: systemen die gedrag op endpoints en in het netwerk correleren. Ook loggegevens uit SaaS en identity-platforms worden belangrijker.
Machine learning kan afwijkingen in aanmeldingen, bestandsgebruik en e-mailgedrag herkennen. Zulke modellen werken op samengevoegde signalen, niet op Ć©Ć©n alarm. Dat verlaagt ruis en maakt prioritering beter. Het vraagt wel goede datakwaliteit en versleutelde opslag om aan privacyregels te voldoen.
Een praktische stap is een actuele assetlijst en een ānormaalprofielā per gebruiker en systeem. Van daaruit vallen afwijkingen sneller op, zoals een inlog uit een ongebruikelijk land of tijd. Ook het verifiĆ«ren van stemverzoeken met een tweede kanaal helpt bij deepfake-telefonie. Incidentoefeningen verkorten de responstijd en beperken schade.
Europese regels scherpen eisen
De AI-verordening (AI Act) brengt transparantieplicht voor synthetische media. Makers en gebruikers van deepfakes moeten duidelijk maken dat de inhoud kunstmatig is. Voor overheden en mediabedrijven in Nederland betekent dit aanpassingen in werkprocessen en labeling. Niet naleven kan leiden tot boetes en reputatieschade.
NIS2 verplicht essentiƫle en belangrijke sectoren tot strengere beveiliging en snelle meldingen van incidenten. In Nederland wordt dit via de Wbni aangescherpt, met toezicht door onder meer het NCSC en vakdepartementen. Leveranciersrisico, toegangsbeheer en back-uprichtlijnen moeten aantoonbaar op orde zijn. Dit raakt ook IT-dienstverleners en cloudoperators die ketenrisico dragen.
De AVG blijft leidend bij dataverwerking, ook voor AI-gestuurde monitoring. Dataminimalisatie en versleuteling zijn vereist, net als een grondslag voor verwerking. Bij datalekken gelden meldplichten aan de Autoriteit Persoonsgegevens en betrokkenen. Organisaties moeten daarom security-telemetrie inrichten zonder onnodige persoonsgegevens op te slaan.
Gevolgen voor Nederland
Gemeenten, zorginstellingen en scholen zijn aantrekkelijke doelen door hun data en krappe budgetten. Hun afhankelijkheid van SaaS en externe beheerders vergroot het ketenrisico. Contracten moeten heldere eisen bevatten over logging, back-ups en incidentrespons. Zonder die afspraken blijft de zichtbaarheid bij aanvallen beperkt.
Het Nederlandse mkb krijgt meer te maken met identiteitsfraude en betaalverzoeken via deepfake-audio. Interne procedures voor verificatie zijn daarom essentieel, zeker bij spoedbetalingen. Vier-ogen-principes en wachttijden bij grote transacties verlagen de kans op misbruik. Training helpt, maar technische blokkades en limieten zijn net zo belangrijk.
Cyberverzekeraars stellen hogere eisen aan basismaatregelen zoals multi-factorauthenticatie en patchmanagement. Wie dat niet op orde heeft, betaalt meer of raakt onverzekerd. Dat zet druk op professionalisering van IT-beheer bij kleinere organisaties. Regionale SOC-diensten en gedeelde respons-teams kunnen de kloof verkleinen.
Wat organisaties nu doen
Begin met een actuele risicoanalyse op identiteit, e-mail en externe toegang. Versterk MFA en beperk beheerrechten tot wat echt nodig is. Zet waarschuwingen aan voor verdachte aanmeldingen en automatische forward-regels in mail. Test back-ups regelmatig en oefen herstel zonder internettoegang.
Introduceer een verificatieprotocol voor alle betaal- en wachtwoordverzoeken via telefoon of chat. Gebruik een tweede kanaal en vaste contactnummers. Documenteer uitzonderingen en houd statistiek bij om patronen te zien. Dat maakt het moeilijker voor deepfakes om urgentie te misbruiken.
Werk met leveranciers aan logdeling, ketenmonitoring en snelle afsluiting van gecompromitteerde accounts. Vraag om API-toegang tot beveiligingslogs van SaaS-diensten. Sla logs versleuteld op en stel bewaartermijnen in volgens de AVG. Evalueer jaarlijks of tooling en processen nog passen bij de NIS2-eisen.
