Recent onderzoek bevestigt wat wij bij KEMBIT dagelijks in de praktijk zien: 54% van alle ransomware-incidenten vindt zijn oorsprong in gestolen inloggegevens afkomstig van zogenaamde infostealers. De primaire aanvalsvector is definitief verschoven. Cybercriminelen richten zich niet langer op het technisch ‘kraken’ van software, maar op het ‘misleiden’ van de gebruiker. Voor bedrijven betekent dit een fundamentele verschuiving van de dreiging: van de stevige digitale voordeur naar de goedbedoelende medewerker die die voordeur zelf opent.
In deze blog leggen het Cybersecurity team van KEMBIT uit wat deze verschuiving betekent voor jouw securityvisie, waarom voorlichting alleen niet meer volstaat en hoe je met een integrale aanpak geautoriseerde inbraken kunt stoppen.
De kernoorzaak ligt vrijwel altijd bij geavanceerde phishing. Medewerkers krijgen steeds vaker gepersonaliseerde berichten die nauwelijks van echt te onderscheiden zijn. Zodra een gebruiker klikt op een valse link of inlogt op een nagemaakte omgeving, worden niet alleen inloggegevens, maar ook actieve sessiedata buitgemaakt.
Het resultaat is een ‘geautoriseerde inbraak’: de aanvaller omzeilt alle externe beveiliging en logt eenvoudig in als een legitieme medewerker. Voor een MKB-organisatie betekent dit directe toegang tot gevoelige systemen en data, zonder dat er alarm slaat. Dit is geen toekomstmuziek, maar de realiteit van vandaag.
Deze verschuiving naar de identiteit als primair doelwit is een directe consequentie van de kosten-batenanalyse die aanvallers maken: waar technische infrastructuren steeds robuuster zijn geworden, blijft de menselijke factor de meest kwetsbare schakel. Daarom hanteert KEMBIT een methodiek waarbij de identiteit van de gebruiker centraal staat; door strikte authenticatie, gedetailleerde autorisatie en continue monitoring van toegangsgedrag creëren we een beveiliging die de medewerker volgt, ongeacht locatie of apparaat, waarmee het beveiligen van de digitale identiteit de basis vormt van een weerbare organisatie.
Ondanks trainingen blijft er een kloof tussen weten en doen. Daarom adviseren wij een aanpak waarbij educatie wordt ondersteund door technische vangnetten en een actieve veiligheidscultuur. Gedrag verandert pas als veilig werken makkelijker is dan de onveilige route. Het doel is om van bewustzijn naar onbewust bekwaam handelen te gaan; pas dan wordt de organisatie weerbaarder tegen menselijke fouten.
Incidenten zoals bij Odido wijzen niet primair op individuele menselijke fouten, maar op tekortkomingen in investeringsbeleid en procedures. Het is een voorbeeld van een onvoldoende scherp afgestelde rechtenstructuur. Wanneer een enkele medewerker miljoenen records kan downloaden zonder dat er een alarm afgaat, is er sprake van structureel falen in de toegangscontrole.
Voor bedrijven is de les helder: vertrouw niet alleen op de medewerker, maar borg veiligheid in de techniek. Met principes als Zero Trust en Least Privilege Access, een medewerker krijgt alleen toegang tot datgene wat noodzakelijk is voor diens functie, kunnen ook organisaties met beperktere budgetten voorkomen dat een klein menselijk foutje uitgroeit tot een datalek.
De effectiviteit zit hem in gedrag: een aanvaller vertoont een ander patroon dan de gebruiker, zoals lateral movement. Recent detecteerden wij bij een klant token theft via AiTM-phishing. Na inlog op een vervalste pagina werd het sessietoken buitgemaakt, waarna vanuit een ongebruikelijke locatie wijzigingen in kritieke bestanden volgden. Die combinatie activeerde onze securityregels, waardoor het incident geïsoleerd kon worden en escalatie werd voorkomen.
Gezien de korte doorlooptijd van aanvallen rijst de vraag of uitsluitend menselijke interventie nog toereikend is. Een geautomatiseerde oplossing zoals een SOC is krachtig, maar er is geen sprake van één enkele oplossing. Effectieve weerbaarheid wordt gevormd door de combinatie van preventieve maatregelen (MFA, Least Privilege) en continue monitoring.
Security is een gedeelde verantwoordelijkheid. Een partner kan de techniek en monitoring verzorgen, maar de eindverantwoordelijkheid voor het risicobeleid en de organisatiecultuur ligt bij de organisatie zelf.
Voor bedrijven die niet beschikken over een 24/7-budget adviseren wij daarom te starten met kostenefficiënte basisprincipes:
De meest kritieke les is dat cybersecurity geen product is dat je simpelweg ‘inkoopt’ of volledig uitbesteedt. De techniek is zelden de zwakste schakel; de kwetsbaarheid ligt bijna altijd bij de mens en de organisatieprocessen.
Je blijft als organisatie te allen tijde zelf eindverantwoordelijk voor jouw risicoprofiel. Een securitypartner kan de meest geavanceerde vangnetten spannen, maar de medewerker is degene die de digitale voordeur opent. Medewerkers moeten niet alleen getraind, maar in zekere zin ‘opgevoed’ worden in hun digitale gedrag. Pas wanneer veilig werken een integraal onderdeel is van de bedrijfscultuur, wordt security écht geborgd. Techniek ondersteunt, maar de menselijke weerbaarheid beslist.
Conclusie
De verschuiving van technische inbraak naar geautoriseerde toegang vraagt om een heroverweging van jouw securityvisie. Bij KEMBIT geloven we dat Identity Security de leidende methodiek is, ondersteund door slimme techniek, continue monitoring en een volwassen veiligheidscultuur. Maak weloverwogen beslissingen, investeer in de weerbaarheid van jouw mensen en borg de controle in jouw systemen. Alleen dan blijft jouw organisatie één stap voor op de aanvaller.
Neem dan contact op met KEMBIT, wij helpen je graag verder.
