Contents

Het begon als een gewone werkdag. De systemen waren bereikbaar, de planning stond vast en de schermen lieten dezelfde grafieken zien als gisteren. Niemand had een reden om stil te staan bij wat er op de achtergrond gebeurde.

Teams deden wat ze elke dag doen op zo’n ochtend. Een update werd binnengehaald, een koppeling legde contact en taken werden afgerond voordat de volgende afspraak begon. Alles liep zoals het ooit was ingesteld.

Juist daardoor viel er niets op.

Op de achtergrond gebruikte een account rechten die al jaren bestonden. Het deed iets meer dan de dag ervoor, maar niet genoeg om iemand te laten ingrijpen. Een wijziging leek op regulier onderhoud en verdween tussen andere kleine aanpassingen die die week waren gedaan.

Het werk ging door, terwijl de aanval meebewoog met dat ritme. Dat moment, waarop alles blijft draaien maar niemand nog zeker weet of wat normaal lijkt dat ook echt is, komt steeds vaker voor.

Dit is geen los incident. Het is een patroon dat steeds meer terugkomt.

Aanvallen gedragen zich steeds vaker als normaal werk

Veel organisaties rekenen er nog steeds op dat een aanval zichzelf verraadt. Een systeem dat uitvalt, een melding die blijft hangen, een duidelijk moment waarop iets stopt en aandacht vraagt.

In de praktijk gebeurt het tegenovergestelde. Aanvallers haken aan op wat er al is. Ze gebruiken accounts die al bestaan, stappen die automatisch lopen en hulpmiddelen waar dagelijks mee wordt gewerkt. Daardoor ziet hun aanwezigheid eruit als normaal gebruik.

Een update wordt binnengehaald zonder vragen op te roepen. Een nieuwe verbinding past bij een wijziging die eerder die week is gedaan. Een account blijft actief, simpelweg omdat niemand een aanleiding ziet om rechten aan te passen.

Daardoor wordt het lastiger om onderscheid te maken tussen normaal gebruik en misbruik. Niet omdat er niets wordt gecontroleerd, maar omdat afwijkingen lijken op handelingen die ook gisteren gewoon plaatsvonden.

Pas wanneer meerdere kleine afwijkingen naast elkaar worden gelegd, wordt zichtbaar dat dit geen toeval was. Wat eruitzag als routine, bleek onderdeel van iets dat al langer ongemerkt meedraaide.

Wie alleen naar losse signalen kijkt, ziet dat verband te laat.

Als digitale verstoring direct werk en dienstverlening raakt

Wanneer een aanval zo meeloopt met het dagelijkse werk, blijven de gevolgen niet binnen IT.

Systemen zijn bereikbaar, maar geven niet altijd dezelfde uitkomst. Medewerkers controleren stappen opnieuw, twijfelen aan gegevens en nemen extra tijd om er zeker van te zijn dat iets klopt. Het verschil zit niet in uitval, maar in gedrag.

In omgevingen met publieke of regionale dienstverlening wordt dat snel zichtbaar. Werk kost meer tijd, afstemming neemt toe en beslissingen worden uitgesteld omdat niemand zeker weet of de onderliggende gegevens kloppen.

  • Taken schuiven door omdat controles opnieuw worden uitgevoerd.
  • Koppelingen vragen aandacht die ze eerder niet nodig hadden.
  • Diensten blijven beschikbaar, maar vragen meer uitleg en afstemming.

Er is geen moment waarop iemand kan zeggen dat het systeem eruit ligt. Het werk gaat door, terwijl het vertrouwen in wat er onder ligt langzaam afneemt. Dat is precies wat dit type aanval lastig maakt om op tijd te herkennen.

De aanval stopt niet bij één systeem

Op het moment dat iemand doorheeft dat er iets mis is, blijkt het probleem zelden op één plek te zitten.

Een ontwikkelaar ziet dat een applicatie zich anders gedraagt dan gisteren. Een beheerder merkt dat een koppeling vaker opnieuw verbinding maakt. In de nachtlog verschijnt een account dat actief is, terwijl er geen wijziging stond ingepland.

Los bekeken zijn het kleine dingen. Samen wijzen ze dezelfde kant op. Niet dat er één fout is, maar een beweging op meerdere plekken tegelijk. De aanval volgt paden die al bestaan, omdat die paden dagelijks worden gebruikt.

Systemen zijn aan elkaar gekoppeld om werk sneller te laten verlopen. Updates worden automatisch opgehaald. Componenten worden direct ingeladen, zonder dat iemand daar expliciet naar kijkt. Accounts hebben toegang tot meerdere omgevingen omdat dat praktisch is voor beheer.

Wat ooit is ingericht om werk vlot te laten doorlopen, wordt zo de route waarlangs iets ongemerkt meebeweegt. Daarom gaat dit niet alleen over techniek alleen. Het gaat over wie iets mag aanpassen, welke rechten blijven staan en welke koppelingen zo vanzelfsprekend zijn geworden dat niemand ze nog aanwijst.

“De manier waarop aanvallers opereren is structureel veranderd. Onze verdediging moet diezelfde stap zetten.” – Leon Smit, General Manager bij Acora

Zolang dit wordt gezien als een probleem in één systeem, blijft de reactie achter de beweging aan lopen. Dan wordt hersteld wat zichtbaar is, terwijl hetzelfde patroon elders gewoon blijft terugkomen.

Regionale organisaties zijn geen kleine doelwitten

Het idee dat regionale organisaties minder interessant zijn, hoor je vaak terug. In de praktijk zit hun betekenis in wat ze elke dag draaiend houden. Ze leveren diensten waar mensen op rekenen. Ze wisselen gegevens uit met andere partijen. En hun werk laat zich niet zomaar stilleggen zonder directe gevolgen.

Bij Omrin werden persoonsgegevens van inwoners van Schiermonnikoog buitgemaakt. Terwijl werd uitgezocht wat er precies was geraakt, bleef de telefoon overgaan en moest het werk doorgaan.

Bij RTV Noord raakten uitzendingen en interne systemen verstoord. De techniek was zichtbaar, maar de grootste druk lag bij de mensen die moesten blijven informeren terwijl nog niet alles duidelijk was.

In beide gevallen ging het niet alleen om systemen. Het ging om werk dat door moest, vragen die binnenkwamen en uitleg die nodig was terwijl de situatie nog werd uitgezocht.

Dat gebeurt bij organisaties die dagelijks vertrouwen op veel koppelingen en geautomatiseerde stappen. Werk dat soepel loopt zolang alles klopt, maar direct voelbaar wordt zodra er iets schuift.

Daarom zijn regionale diensten een logisch doelwit. Verstoring wordt daar snel zichtbaar, omdat het direct raakt aan werk en dienstverlening waar mensen elke dag van afhankelijk zijn.

AI maakt aanvallen sneller dan mensen kunnen volgen

Wat opvalt in recente aanvallen is niet hoe groot ze zijn, maar hoe snel ze zich aanpassen.

Een bericht dat ’s ochtends wordt genegeerd, duikt later die dag opnieuw op. De afzender ziet er iets anders uit, de timing sluit beter aan op een overleg of taak en de tekst past net wat beter bij de ontvanger. Dat gebeurt niet meer handmatig.

Aanvallers gebruiken software die varianten automatisch verstuurt, bijhoudt wat wordt geopend en de volgende poging daarop afstemt. Berichten die niets opleveren verdwijnen vanzelf. Varianten die wel aandacht krijgen, komen terug in een aangepaste vorm.

Die cyclus loopt door, zonder pauze. Aan de andere kant kost beveiliging tijd. Meldingen moeten worden bekeken, signalen gewogen en besluiten afgestemd. Die tijd is er niet wanneer pogingen zich binnen minuten aanpassen en verplaatsen.

AI veroorzaakt dat verschil niet, maar legt het wel bloot. Het maakt zichtbaar waar besluitvorming achterloopt op wat er technisch al gebeurt.

En precies daar ontstaat ruimte voor aanvallen die klein blijven, nauwelijks opvallen, maar telkens net voorlopen op wat mensen kunnen bijhouden.

Waarom reageren niet genoeg is

Veel teams werken nog volgens een vast ritme. Iets valt op, iemand of een security tool kijkt ernaar en daarna volgt een actie. Dat ritme gaat uit van een pauze tussen zien en doen.

In de praktijk verdwijnt die pauze steeds vaker. Terwijl een melding wordt bekeken, wordt dezelfde handeling elders al opnieuw uitgevoerd. Tegen de tijd dat een wijziging is doorgevoerd, ligt de volgende variant al klaar.

Herstellen blijft nodig, maar het gebeurt altijd nadat iets al heeft plaatsgevonden. Je repareert wat je kunt aanwijzen, terwijl diezelfde route op een andere plek opnieuw wordt gebruikt.

Wie alleen terugkijkt, ziet pas wat er gebeurde nadat het werk al was geraakt.

Weerbaarheid draait om tempo, inzicht en uitlegbaarheid

Aanvallen bewegen mee met het tempo van het dagelijkse werk. Wie dat wil volgen, moet eerder kunnen zien waar iets afwijkt en wat daar precies gebeurt.

Dat begint bij zicht. Niet overal tegelijk, maar op de plekken waar handelingen elkaar opvolgen.

Organisaties die hier grip krijgen, richten hun aandacht op een paar vaste onderdelen:

  • Vroege signalen herkennen.

    Kleine afwijkingen zien terwijl ze nog los staan, zoals een account dat op een ongebruikelijk moment actief wordt.

  • Samenhang kunnen aanwijzen.

    Begrijpen hoe een wijziging op één plek effect heeft op een ander onderdeel.

  • Gedrag volgen, niet alleen status.

    Zien wat mensen en accounts doen, niet alleen of iets technisch beschikbaar blijft.

  • Besluiten kunnen uitleggen.

    Kunnen laten zien waarom iets wordt tegengehouden of aangepast.

  • Heldere afspraken over wie beslist.

    Weten wie ingrijpt wanneer er geen tijd is voor overleg.

Samen zorgen deze keuzes ervoor dat afwijkingen eerder zichtbaar worden, terwijl het werk doorloopt.

Waar je morgen grip terugpakt

Grip ontstaat niet door alles tegelijk aan te passen, maar door scherp te kijken waar beweging plaatsvindt.

Dat begint met een paar concrete vragen die je kunt nalopen:

  • Welke handelingen lopen door zonder dat iemand meekijkt
  • Welke accounts kunnen op meerdere plekken tegelijk iets doen
  • Welke koppelingen elke dag gegevens doorgeven zonder dat iemand dat controleert
  • Waar zichtbaar is wat gisteren anders liep dan normaal
  • Wanneer een afwijking direct moet worden opgepakt
  • En wie dat besluit neemt als wachten geen optie is

Deze vragen lossen niets op zichzelf op. Ze maken zichtbaar waar niemand kijkt en waar besluiten blijven liggen.

Daar ligt het beginpunt om verder te komen dan reageren.

Wie zijn keten begrijpt, behoudt regie

Aanvallen bewegen mee met de manier waarop organisaties werken. Ze gebruiken dezelfde paden, dezelfde rechten en dezelfde software als het dagelijkse werk.

Wie weet waar die paden lopen, ziet eerder wanneer iets daarvan begint af te wijken. Dan kan worden ingegrepen terwijl het werk doorgaat, in plaats van erna.

De vraag is daarom niet of er iets kan gebeuren. De vraag is of zichtbaar is wat er beweegt op het moment dat het gebeurt.

Wie daar eens rustig over wil sparren, vanuit de eigen omgeving en keten, kan contact opnemen met Leon Smit. Hij denkt graag mee over wat dit in de praktijk betekent en waar het zinvol is om te kijken.

Contact kan via netherlands@acora.com of via de contactpagina van Acora Nederland.

Insights by Leon Smit