Inlichtingenexperts waarschuwen deze week dat bedrijven in Nederland zich beter moeten voorbereiden op cyberaanvallen uit landen als Rusland en China. Berichten als deze bewijzen keer op keer dat het belangrijker dan ooit is om je security op orde te hebben. En met op orde bedoelen we niet die ene pentest die je jaarlijks uitvoert. Nee, hier hebben we het over het doorlopend testen van de weerbaarheid van je organisatie.
Organisaties overschatten hun eigen weerbaarheid
Uit het Cybersecurity Report 2025 dat we in samenwerking met Solvinity hebben uitgevoerd, blijkt dat veel organisaties hun eigen weerbaarheid nog steeds overschatten. Daarnaast hebben ze moeite om structureel inzicht te houden op hun eigen IT-omgeving en tijdig te reageren op incidenten.
Volgens de NOS kijken kwaadwillenden daarnaast óók naar toeleveranciers, en dan vooral de zwakke schakels in de keten. Zelfs als jouw organisatie alles op orde heeft, kun je alsnog een potentieel toegangspunt zijn voor grote cyber- of hybride aanvallen. Denk bijvoorbeeld aan het datalek bij Clinical Diagnostics waarbij privégegevens van honderdduizenden vrouwen die meededen aan een bevolkingsonderzoek, gestolen zijn. Of de recente hack bij de grootste franchiseondernemer van Albert Heijn, Bun, waar paspoorten en personeelsdossiers met informatie over salaris, ziekteverzuim en werkbeoordelingen zijn gestolen.
Met jaarlijkse pentesten voorkom je geen aanvallen
De ‘welvaartsziekte’ (“het zal mij niet overkomen”) waar in het artikel van de NOS over gesproken wordt, zien wij bij Securify helaas dagelijks. Veel organisaties vertrouwen nog op jaarlijkse pentesten, terwijl aanvallers juist onvoorspelbaar opereren.
Een pentest geeft slechts een momentopname: je weet hoe veilig je was op het moment van testen, maar niet hoe veilig je bent morgen, volgende week of na de volgende software-update. In een dreigingslandschap waarin Rusland en China dagelijks nieuwe aanvalsvectoren inzetten, kan die momentopname al verouderd zijn voordat het rapport op je bureau ligt.
Red Teaming: test de weerbaarheid van jouw organisatie
Voordat je aan de slag gaat met het verbeteren van je security, moet je eerst weten waar je nu staat. Test daarom de huidige weerbaarheid van jouw organisatie. Met Red Teaming simuleer je realistische aanvallen, zodat je precies ontdekt waar je kwetsbaar bent en hoe goed je verdediging in de praktijk werkt. Dat kan bijvoorbeeld een supply chain-aanval zijn die inspeelt op zwakke schakels in jouw leveranciersnetwerk, precies het scenario dat experts in het NOS-artikel schetsen. Met een Red Teaming-oefening zie je direct hoe goed jouw organisatie voorbereid is op cyberaanvallen en hoe weerbaar jouw organisatie dus écht is.
Van momentopname naar doorlopende controle
Zodra je weet hoe weerbaar je echt bent, is het tijd om te kijken naar hoe je je security kunt verbeteren. We weten inmiddels dat jaarlijkse pentesten niet meer voldoende zijn. De noodzaak voor continue beveiligingschecks is hoog. Aanvallers wachten niet op jouw volgende pentest. Hier komt Continuous Pentesting om de hoek kijken. Met deze aanpak zorg je ervoor dat je bij elke nieuwe release, configuratie of aanpassing meteen weet of je nieuwe risico’s loopt en hoe je deze kan mitigeren. Zo geef je hackers geen ruimte om eventuele lekken te benutten.
Inzicht is key
NAVO-parlementariërs kwamen deze week samen over cyberdreigingen uit China en Rusland te praten. Toch geeft veiligheidsadviseur Bauer aan niet te verwachten dat de deze parlementariërs snel met concrete oplossingen zullen komen. Volgens hem blijft het lastig om je goed te wapenen tegen hybride cyberaanvallen (o.a. met drones), maar is het cruciaal om sneller en beter te worden in het opsporen van en reageren op aanvallen.
Bij Securify vinden we dat voorkomen altijd beter is dan genezen. Inzicht is essentieel: weten welke systemen je hebt, welke data je moet beschermen en waar je kwetsbaar bent. Met dat inzicht wordt het ook makkelijker om gerichte maatregelen te nemen op het gebied van detectie en response op aanvallen. Zodra security preventief goed op orde is, kunnen de verdedigers in het Security Operations Center (SOC) ook gerichter te werk gaan.
Ga aan de slag met continue beveiliging
Dreigingen uit China en Rusland zijn geen ver-van-je-bed-show. Drone-incidenten, datalekken bij overheidsdiensten en sabotage van toeleveranciers zijn methoden om angst te zaaien, verdeeldheid te creëren en vitale infrastructuur te ontregelen.
Zonder uitgebreide risicoanalyses en testmethoden zoals Red Teaming en Continuous Pentesting werk je reactief en laat je gaten in je verdediging waarmee zulke dreigingen realistisch worden.
Benieuwd hoe jij Continuous Pentesting en Red Teaming in kan zetten om je organisatie 24/7 te beschermen tegen cyberaanvallen? Bij Securify denken, begrijpen, werken en leven we als echte hackers en ondersteunen je vanuit dit perspectief in jouw voortdurende strijd tegen cybercriminaliteit. Neem vandaag nog contact op voor meer informatie.