Organisaties falen op basisbeveiliging: daarom slagen cyberaanvallen nog steeds
Nederlandse organisaties worden niet gehackt door hypergeavanceerde, onzichtbare superaanvallers. Ze worden gehackt omdat basisbeveiliging niet op orde is. Dat is de harde conclusie uit het Hunt & Hackett Trend Report 2026, gebaseerd op ruim 54.000 security-onderzoeken in 2025.
De meeste aanvallen waren technisch gezien niet nieuw. Wat ze succesvol maakte, was achterstallig onderhoud, gebrekkige monitoring en zwakke identiteitsbeveiliging.
En dat is een structureel probleem,
Ransomware blijft dominant, maar dat is niet het hele verhaal
Van alle incident response-trajecten in 2025 was 71 procent financieel gemotiveerd. Ransomware voerde de lijst aan met 43 procent van de gevallen, gevolgd door business email compromise (29 procent).
Dat bevestigt wat veel CISO’s al voelen: cybercrime is primair een businessmodel.
Toch zit de echte boodschap dieper. Het rapport laat zien dat aanvallers zelden gebruikmaken van exotische zero-days. In plaats daarvan misbruiken ze:
- Gestolen inloggegevens
- Ongepatchte internetgerichte systemen
- Kwetsbare edge-apparaten zoals VPN’s en firewalls
- Onvolledige logging en monitoring
In 86 procent van de incidentresponsezaken belemmerde gebrekkige logging de detectie. Dat betekent simpelweg: organisaties zagen niet wat er gebeurde.
Identiteit is de nieuwe voordeur
Een van de opvallendste trends is de verschuiving naar identiteitsgerichte aanvallen. Aanvallers breken niet meer in door een raam te forceren. Ze gebruiken een sleutel.
Credential theft, misbruik van Active Directory, Kerberoasting en phishing waarbij zelfs MFA wordt omzeild, vormen inmiddels standaardgereedschap. Zodra een aanvaller een geldige identiteit heeft, kan hij vaak lange tijd onder de radar blijven.
Veel organisaties vertrouwen nog sterk op perimeterbeveiliging. Maar die strategie verliest snel relevantie in een wereld van cloud, SaaS en hybride infrastructuren.
Wie identiteit niet structureel beschermt, verliest de controle.
AI vergroot de asymmetrie
Een ander belangrijk hoofdstuk in het rapport draait om generatieve AI. AI verandert het speelveld. Niet fundamenteel, maar wel structureel. De verhouding tussen aanval en verdediging was altijd al asymmetrisch: verdedigers moeten alles beschermen, aanvallers hoeven maar één ingang te vinden.
AI versterkt die ongelijkheid.
Aanvallers kunnen sneller phishingvarianten genereren, social engineering personaliseren en malware aanpassen. Defenders moeten ondertussen rekening houden met compliance, governance en betrouwbaarheid.
De schaalvoordelen liggen voorlopig aan de aanvallende kant.
Hacktivisme en staten lopen door elkaar
Geopolitieke spanningen zorgen voor een nieuwe realiteit. De grenzen tussen statelijke actoren, cybercriminelen en hacktivisten vervagen.
Tooling wordt gedeeld. Infrastructuur wordt hergebruikt. Toegang wordt doorverkocht.
Dat maakt attributie moeilijker. Waar vroeger geavanceerde technieken een indicatie waren van een staat, gebruiken zelfs APT-groepen nu commodity tools.
De dreiging wordt diffuser. En daardoor moeilijker te classificeren.
Digitale soevereiniteit is geen politiek debat meer
Misschien wel het meest strategische onderdeel van het rapport gaat over digitale afhankelijkheid. Volgens cijfers die worden aangehaald, wordt 92 procent van westerse data in de Verenigde Staten gehost. Ook Nederlandse publieke en vitale infrastructuur leunt zwaar op Amerikaanse cloudproviders.
In een tijd waarin geopolitieke spanningen toenemen, roept dat vragen op.
Digitale soevereiniteit gaat volgens de onderzoekers niet over volledige onafhankelijkheid. Die is in de huidige technologiestack nauwelijks haalbaar. Het gaat over controlepunten.
Welke data moet je kunnen verifiëren?
Welke detectielogica moet je zelf begrijpen?
Waar moet je onafhankelijk logging kunnen uitvoeren?
Security-afhankelijkheid kan snel geopolitieke afhankelijkheid worden. Dat is geen hypothetisch scenario meer, maar een reëel strategisch risico.
Het echte probleem: de markt zelf
Het rapport is opvallend kritisch op de cybersecuritysector. Veel organisaties investeren fors in tooling. Maar product-gedreven denken leidt niet automatisch tot weerbaarheid.
Als SIEM-pricing datavolledigheid ontmoedigt, als monitoring passief is en als gesloten ecosystemen transparantie beperken, dan ondermijnt de marktstructuur zelf de veiligheid.
De conclusie is helder: de focus moet verschuiven van tool-accumulatie naar operationele controle. Zicht. Validatie. Governance. Niet nóg een dashboard.
Wat organisaties nu concreet moeten doen
Het rapport benoemt vier prioriteiten die direct risico verlagen:
- Versterk identiteitsbeveiliging. Beperk toegangsrechten, bescherm beheerdersaccounts en dwing sterke MFA af.
- Beperk blootstelling. Patch internetgerichte systemen snel en verwijder onnodige publieke diensten.
- Vergroot zichtbaarheid. Zorg voor volledige logging, lange retentie en onafhankelijke verificatie van securitydata.
- Test respons. Oefen incidentresponsescenario’s en borg forensische bewijsgaring.
Dat klinkt basaal. Maar de cijfers laten zien dat juist deze fundamenten ontbreken.
De ongemakkelijke conclusie
De meeste cyberincidenten worden niet veroorzaakt door briljante nieuwe aanvalstechnieken. Ze slagen omdat organisaties structureel achterlopen.
Niet op innovatie. Maar op onderhoud.
En zolang basiscontrole ontbreekt, zal de trend van meer incidenten eerder versnellen dan afnemen.
Deel dit bericht
Loading