Cybercrime is al lang geen abstracte dreiging meer. Luchthavens platgelegd, ziekenhuizen zonder operatiekamers, miljoenen gelekte accounts – het raakt iedereen. Toch hebben de meeste organisaties geen plan voor als het echt misgaat. Wat is er nodig om weerbaar te worden?
In deze aflevering van De vooruitgang aan tafel spreekt Rens de Jong met Stan Duijf van de Eenheid Landelijke Opsporing en Interventies van de Nederlandse Politie, en met Luuk Stadhouders van Berenschot over de realiteit van cybercriminaliteit in Nederland. Hoe groot is de dreiging werkelijk, waarom zijn zo veel organisaties nog onvoldoende weerbaar, en wat moeten bestuurders écht doen?
Cybercriminaliteit is redelijk ongrijpbaar tot het moment dat je zelf slachtoffer bent. Dan beheerst het je leven.
– Stan Duijf, Politie
2025: een voortdurende kanteling
In 2025 vond een reeks ingrijpende incidenten plaats: onderwijsinstellingen waren dagenlang offline, betalingsverkeer was tijdelijk onbruikbaar, miljoenen klantgegevens van Odido kwamen op straat te liggen. Stan Duijf van de Eenheid Landelijke Opsporing en Interventies spreekt bewust niet van een kanteljaar, maar van een voortdurende kanteling. “De ontwikkelingen gaan door en het jaar is nog maar net begonnen. Sla de kranten er maar op na.”
Het bijzondere aan cybercriminaliteit is de schaal. Duijf: “Een straatrover maakt één slachtoffer tegelijk. Een cybercrimineel kan echter in één aanval duizenden of soms miljoenen mensen raken.” Die schaalbaarheid maakt het gevaar structureel anders van aard. En met de opkomst van AI staat een nieuwe versnelling voor de deur.
Waarom organisaties de grip kwijtraken
Luuk Stadhouders adviseert gemeenten, waterschappen, zorginstellingen en onderwijsorganisaties over cybersecurity en digitale weerbaarheid. Hij ziet een breed spectrum: van organisaties die hun digitale zaakjes uitstekend op orde hebben tot organisaties die niet eens de absolute basismaatregelen hebben genomen.
Cybersecurity begint vaak bij bestuurlijk bewustzijn. Het wordt te snel weggezet als ‘iets van de IT-afdeling’, terwijl het een organisatiebreed risico is. Daarna volgt inzicht in de eigen infrastructuur: welke systemen zijn gekoppeld, welke data beheert de organisatie en waar zitten de kwetsbaarheden? “Sinds de jaren negentig hebben we alles heel handig aan elkaar geknoopt. Dat gebruiksgemak maakt ook kwetsbaar”, stelt Stadhouders.
Voor gemeenten speelt nog iets anders. Ze beheren steeds gevoeliger data, van BSN-nummers tot paspoortgegevens, terwijl hun budgetten beperkt zijn. Duijf: “Je dienstverlening wordt digitaal, je weet steeds meer over je inwoners. Maar ondertussen wordt de waarde van wat je in huis hebt ook steeds groter voor criminelen. En dan heb je als middelgrote gemeente een beperkt budget en moet je in één keer een flinke post voor cybersecurity inrichten.”
Wie zit er achter de aanvallen?
De wereld van cybercriminelen is divers. Duijf onderscheidt activisten die via DDoS-aanvallen systemen willen platleggen, ransomware-criminelen die data versleutelen en losgeld eisen, en datadief-netwerken die gestolen informatie op het dark web verhandelen. Medische gegevens van grote groepen Nederlanders zijn daarbij bijzonder waardevol: ze kunnen worden ingezet voor fraude, phishing of verkoop aan inlichtingendiensten.
Die laatste categorie verdient aandacht. Duijf signaleert een groeiende vermenging van criminelen en statelijke actoren. “Die statelijke actoren zijn erachter gekomen dat je op digitaal vlak veel meer informatie kunt vergaren dan in het openbare domein. Ze kopen gewoon datasets om hun inlichtingenpositie te versterken.” De grens tussen cybercrime en geopolitiek vervaagt.
Hoe een aanval werkt en waarom je snel moet handelen
Stadhouders legt de anatomie van een aanval uit. Het begint altijd met het verkrijgen van toegang, vaak via phishing of gestolen inloggegevens. Daarna zijn er twee prioriteiten voor de aanvaller: toegang behouden en rechten uitbreiden tot het niveau van systeembeheerder. Wie eenmaal die positie heeft bereikt, kan data exporteren, systemen versleutelen of wekenlang onopgemerkt meekijken.
Duijf pleit voor directe melding bij de politie, ook als een organisatie nog niet zeker weet wat er precies is gebeurd. “Wij komen naar je toe en starten direct met forensisch onderzoek. Als je ons twee weken later binnenlaat, vinden we sommige sporen nooit meer terug.” De politie denkt mee bij onderhandelingen en heeft in meerdere gevallen cryptobetalingen teruggevorderd voor getroffen bedrijven.
Toch schrikt reputatieschade veel organisaties af. Duijf nuanceert: “Discretie is mogelijk. Maar wacht je te lang, dan zijn de mensen van wie je data bezit al kwetsbaar voor vervolgfraude, zonder dat ze het weten.”
Drie adviezen voor een bestuurder
Wat verwacht Duijf van bestuurders? Hij formuleert drie concrete actiepunten. Ten eerste: verdiep je als bestuurder in digitalisering en security. “Je komt niet meer weg met ‘ik heb er geen verstand van’. Het hoort op je agenda.” Ten tweede: wees je bewust van je risicoacceptatie. Vraag je securityverantwoordelijke waar de kwetsbaarheden zitten en welke risico’s je bewust accepteert. Ten derde: zorg dat er een actieplan klaarligt. “Je hoeft niet elke stap uit je hoofd te kennen, maar het plan moet er zijn.”
Stadhouders begint bij het fundament: inzicht in organisatieprocessen. Welke tien processen moeten altijd doorgang vinden? Wat heb je daarvoor nodig aan mensen, systemen en leveranciers? Waar zit je meest waardevolle informatie? Pas als dat in beeld is, kun je prioriteren, maatregelen treffen en toezicht houden op je leveranciersketen. “Je bent zo sterk als de zwakste schakel. Dat geldt ook voor het bedrijf op de zolderkamer met twee ronkende servers dat een cruciaal proces voor je draait.”
Weerbaarheid is geen eenmalige klus
Beiden benadrukken: er zijn geen quick wins. Het digitale landschap verandert voortdurend, AI en kwantumtechnologie staan voor de deur en de dreiging evolueert mee. Maar wie wacht op de perfecte oplossing, wacht te lang.
Stadhouders vat het samen: “Ga ervan uit dat er een incident gaat plaatsvinden. Zorg voor segmentatie in je omgeving, zodat als iemand binnen is niet heel je organisatie omvalt. Weet dat herstel en continuïteit maatregelen vragen. De dijk zal een keer breken – maar dat hoeft niet te betekenen dat je hele land onderloopt.”
En voor wie nu wil beginnen: start met inzicht in je processen en je leverancierslandschap. Bel de politie zodra er iets misgaat. En zorg dat het gesprek over risico’s niet bij de CISO blijft liggen, maar in de boardroom plaatsvindt.
Stan Duijf
Stan Duijf is sinds 2024 hoofd operatiën van de Eenheid Landelijke Opsporing en Interventies. Hij is namens de Nederlandse politie verantwoordelijk voor zowel beleid, strategie en operatie wat betreft de bestrijding van High Tech Crime en Cybercrime. Stan werkte o.a. eerder als lokale politiechef van de stad ‘s-Hertogenbosch en als diensthoofd van één van de regionale intelligence organisaties van de politie.
De vooruitgang aan tafel
In deze podcastreeks gaan we onder leiding van presentator Rens de Jong met bestuurders, wetenschappers en experts in gesprek over maatschappelijke en economische thema's. Daarbij analyseren we het systeem, identificeren we problemen en onderzoeken we wat nodig is om duurzame vooruitgang te realiseren.
Vragen of suggesties?
Heeft u vragen, suggesties of ideeën over onze podcast? Mail dan naar ons team communicatie@berenschot.nl