Het bestuur vraagt naar AI terwijl 7% nog zonder MFA draait

Het bestuur wil praten over AI. Over quantum. Over de dreigingen van morgen. Twee verdiepingen lager draait MFA nog niet op alle systemen en ligt het crisisplan al maanden in een la.

Dat klinkt als een karikatuur. Het is het niet. Uit het onderzoek Cyber Volwassen Nederland van KPN blijkt dat organisaties zichzelf gemiddeld een 7,1 geven voor digitale weerbaarheid. Een ruime voldoende. Maar zodra je inzoomt op specifieke maatregelen, brokkelt dat cijfer af.

De grootste risicoverlaging zit zelden in de nieuwste tool. Die zit in de basis. En juist daar zitten de gaten die aanvallers als eerste vinden.

In deze aflevering gaat Jelmer Vorstenburg, verantwoordelijk voor portfolio management bij InSpark, in gesprek met Justin Post, Director Security bij KPN. Ze bespreken de bevindingen uit het onderzoek Cyberweerbaar Nederland en wat organisaties concreet kunnen doen om hun basis op orde te krijgen.

Liever luisteren? Bekijk hier de volledige podcastaflevering.

Cybervolwassen op papier, kwetsbaar in de praktijk

Vraag het bestuur hoe goed de security geregeld is, en je krijgt een ander antwoord dan wanneer je het aan de IT-professionals op de werkvloer vraagt. Die kloof loopt als een rode draad door het KPN-onderzoek.

Neem identity. Rond 7% van de ondervraagde organisaties heeft nog geen multifactor-authenticatie. 39% past MFA alleen toe op kritieke systemen. Dat klinkt als een bewuste keuze. In de praktijk betekent het dat een groot deel van de inlogpunten onbeschermd blijft.

Grote en kleine organisaties worstelen met dezelfde gaten. Zelfs binnen de kritieke infrastructuur, waar je de strakste beveiliging verwacht, is het verschil met de rest kleiner dan gedacht. Banken scoren van alle sectoren het hoogst. Maar ook daar verschilt de focus sterk per domein.

Cyberweerbaarheid is geen eindbestemming. Het is continu kijken, bijstellen en aantonen dat je maatregelen werken. Wie denkt dat de 7,1 genoeg is, mist het punt.

De basis die de meeste aanvallen stopt

De meest voorkomende aanvallen zijn zelden de meest geavanceerde. Aanvallers proberen eerst de simpele routes. Een gelekt wachtwoord. Een systeem dat al maanden wacht op een update. Een back-up die er wel is, maar die niemand ooit heeft getest op herstel.

Juist die basismaatregelen nemen het meeste risico weg. In het onderzoek kwamen dezelfde bouwstenen steeds terug bij organisaties die goed scoren:

• Sterke authenticatie, liefst phishing-resistent (passkeys, Windows Hello for Business)
• Patching en device-hygiëne als doorlopend ritueel
• Back-ups die je regelmatig test op daadwerkelijk herstel
• Least privilege: toegang beperken tot wat iemand echt nodig heeft
• Netwerksegmentatie, zodat één inbraak niet alles raakt

Terwijl het patchbeleid meer risico wegneemt dan welke nieuwe tool ook.

Compliance gehaald, risico gemist

Compliance kan een krachtig instrument zijn. Het geeft structuur, dwingt keuzes af en helpt bij het vrijmaken van budget. Compliance op zichzelf is alleen geen veiligheid.

In het onderzoek komt dit duidelijk naar voren. Organisaties die hun ISO-certificering hebben, voelen zich beschermd. Maar een certificering zegt weinig over de diepte van je maatregelen.

"Je kunt in principe een ISO-certificering halen zonder enige security-maatregel. En dat is misschien wat strakker aangezet dan het is.”

Justin Post | Director Security bij KPN

Scherp gesteld, maar de strekking klopt. Tenzij je weet wat de Statement of Applicability precies dekt en welke maatregelen eronder zitten, zegt een certificaat weinig over hoe beschermd je werkelijk bent.

Hetzelfde geldt voor leveranciers. "Onze leveranciers zijn gecertificeerd" klinkt geruststellend. Maar als je nooit doorvraagt, weet je niet waartegen je gedekt bent.

De organisaties die compliance goed gebruiken, zetten het in als startpunt. Ze prioriteren ermee, krijgen er intern draagvlak door en maken er budget mee los. Ze koppelen elke maatregel aan een concreet risico. En ze blijven zichzelf afvragen: dekt dit wat we werkelijk nodig hebben?

Oefenen met een crisis die je nog niet hebt meegemaakt

67% van de respondenten voelt zich voorbereid op een cybercrisis. 28% oefent daadwerkelijk. Dat is misschien wel het scherpste verschil uit het hele onderzoek. Je voelt je klaar, maar je hebt het nooit getest.

Een crisisplan schrijf je altijd met de aanname dat bepaalde dingen werken. Dat iedereen zijn rol kent. Dat communicatielijnen helder zijn. Dat de juiste persoon op het juiste moment de knop indrukt.

Pas als je oefent, merk je waar het wringt. In de podcast beschrijft Justin hoe twee mensen naar elkaar kunnen kijken, allebei in de overtuiging dat de ander actie onderneemt. In een echte crisis kost dat uren. En uren kosten geld, data en vertrouwen.

Elk bedrijf van een bepaalde grootte oefent meerdere keren per jaar met een fysieke ontruiming. Een digitale crisisoefening? Die schuift door. Te druk met het voorkómen van incidenten om te oefenen met het herstellen ervan.

Weerbaarheid zit juist in het vermogen om te herstellen nadat er iets misgaat. Monitoring helpt daarbij. Maar ook monitoring heeft alleen zin als je weet waarnaar je kijkt, en als je kunt ingrijpen wanneer het ertoe doet.

Van losse initiatieven naar een plan dat standhoudt

Wie er goed uitkwam in het onderzoek, had één ding gemeen. Ze werkten vanuit een plan. Een strategisch doel voor het komende jaar, gebaseerd op de dreigingen die ze werkelijk zien. Ze lieten zich niet bij elke buzzword op een zijspoor brengen.

Dat vraagt lef. 37% van de CISO's maakt zich zorgen over veilig AI-gebruik binnen hun organisatie, blijkt uit het onderzoek. En wanneer het bestuur daarmee aan de tafel komt, is het verleidelijk om alles te laten vallen en direct aan de slag te gaan. Maar de slimme reactie is context geven. Laten zien dat AI-security voor een groot deel bestaat uit maatregelen die al bestaan. Dataclassificatie. DLP. Toegangsbeleid en monitoring. Allemaal controls die er al zijn of al hadden moeten zijn.

En die succesvolle organisaties communiceren in businesstaal. Wat zijn de risico's? Wat is de mogelijke schade? Waar zitten we nu en waar moeten we naartoe? Wie risico's begrijpelijk maakt voor niet-technische beslissers, krijgt meer steun en budget. Security is ook communicatie.

Eén vraag die je jezelf kunt stellen: welke van die basismaatregelen staat bij ons nog niet of half op orde? Begin daar.

De basis op orde brengen klinkt eenvoudig. In de praktijk vraagt het lef om nee te zeggen tegen de nieuwste tools zolang het fundament gaten vertoont. En eigenaarschap om dat vol te houden.

Wil je weten waar jouw grootste security‑risico’s zitten? Bekijk onze security-oplossingen of plan een gesprek