De grootste hacks beginnen vaak met een berichtje, een klik of een telefoontje

‍Waarom phishing, smishing, vishing en andere vormen van social engineering nog steeds de snelste route zijn naar ransomware, datalekken en ontwrichting, en wat je daar als organisatie nu mee moet doen

De afgelopen dagen lieten opnieuw zien hoe breed en hoe snel het dreigingslandschap beweegt. Een Franse overheidsdienst meldde een breach met een verhoogd phishingrisico voor betrokkenen, Bitwarden waarschuwde voor een supply-chain-compromis in zijn CLI-deliverypad, en Shadowserver meldde dat meer dan 10.000 Zimbra-servers kwetsbaar zijn voor actieve aanvallen. Tegelijk pakte de Canadese politie verdachten op in een zaak rond een mobiele “SMS blaster”, bedoeld om op grote schaal phishingberichten te versturen. Het zijn verschillende typen incidenten, maar ze wijzen allemaal in dezelfde richting: aanvallen worden sneller, breder en overtuigender.

Daar komt nog iets bij. Vorige week maakte het Amerikaanse ministerie van Justitie bekend dat een Scattered Spider-lid schuld bekende aan hacks op meerdere bedrijven via text message phishing. Dat is belangrijk, omdat het nog eens onderstreept dat veel grote aanvallen niet beginnen met een technisch wondermiddel, maar met iemand die in een geloofwaardig bericht of pretext trapt.

Dat beeld wordt bevestigd door incidentdata. Palo Alto Networks stelt in zijn 2026 Unit 42 Global Incident Response Report dat identity-related social engineering, waaronder phishing, een leidende drijver van moderne breaches blijft. Cisco Talos meldde deze week ook dat phishing in Q1 2026 opnieuw de meest waargenomen initial access vector was in incidentrespons-onderzoeken waar de toegangsvector kon worden vastgesteld. Anders gezegd: de voordeur van veel aanvallen is nog steeds menselijk gedrag, identiteit en vertrouwen.

Niet alleen mensen, ook AI versnelt nu het aanvalstempo

Alsof dat nog niet genoeg is, zien we tegelijk dat AI de cyberwereld sneller maakt. Het NCSC waarschuwde op 15 april dat Anthropic’s frontiermodel Mythos om directe actie vraagt. Volgens het NCSC kan dit type model kwetsbaarheden sneller opsporen en koppelen tot volledige exploits en aanvalsketens, en moeten organisaties daarom hun patchtempo, monitoring en basisbeveiliging versnellen.

En daar bleef het niet bij. The Verge meldde vandaag dat een kleine groep ongeautoriseerde gebruikers toegang kreeg tot Anthropic’s Mythos Preview via een derde partij. Dat incident laat zien dat niet alleen traditionele tooling risico draagt, maar ook de beveiliging rond frontier cybermodellen zelf.

Ondertussen laat een tool als Shannon zien hoe ver de automatisering al is opgeschoven. De makers beschrijven Shannon als een autonome, white-box AI pentester voor webapplicaties en API’s die broncode analyseert, aanvalspaden identificeert en echte exploits uitvoert om kwetsbaarheden te bewijzen. De repository kreeg deze week nog een nieuwe release. Shannon is nadrukkelijk bedoeld voor legitiem, geautoriseerd securitytesten, maar de bredere les is duidelijk: de drempel naar geautomatiseerde exploitatie daalt. Dat is gunstig voor defenders, maar het verkleint ook de afstand tussen nieuwsgierigheid en misbruik. Dat laatste is een conclusie van ons, gebaseerd op wat de tool technisch mogelijk maakt.

En precies nu komt de Cyberbeveiligingswet dichterbij

Alsof de operationele druk nog niet groot genoeg is, komt de juridische druk er nu nadrukkelijk bovenop. De Tweede Kamer stemde op 15 april in met de wetsvoorstellen voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. De Cyberbeveiligingswet implementeert NIS2 in Nederland, vervangt de huidige Wbni en verankert zorgplicht, meldplicht en registratieplicht voor duizenden organisaties. Het NCSC verwacht op dit moment dat de Cyberbeveiligingswet rond 1 juli 2026 in werking treedt, afhankelijk van de verdere parlementaire afronding.

Dat betekent dat dit onderwerp niet meer alleen iets is voor securityspecialisten. Dit is een bestuursvraag geworden. Niet alleen: hebben we tooling? Maar vooral: kennen we onze risico’s, trainen we onze mensen, detecteren we snel genoeg, en kunnen we aantonen dat onze processen en maatregelen op orde zijn?

De markt reageert al, en dat is niet voor niets

De leverancierskant beweegt hard mee met die realiteit. Fortinet previewde in maart FortiSOC, een cloud-delivered aanbod dat SIEM, SOAR, TIP en analysecapaciteit dichter bij elkaar brengt, terwijl het tegelijk FortiAI uitbreidt met agentic workflows in security operations. Arctic Wolf lanceerde op 23 maart zijn Agentic SOC en positioneert dat als een nieuwe fase van AI-ondersteunde security operations. TrendAI kondigde op 16 april een samenwerking met Anthropic aan, gericht op AI-beveiliging over de volledige lifecycle, van kwetsbaarheidsontdekking tot geautomatiseerde verdediging. En KnowBe4 breidde zijn Phish Alert Button uit naar Microsoft Teams, terwijl het ook Agent Risk Manager lanceerde om niet alleen menselijke, maar ook agentic AI-risico’s beter te beheersen.

Voor ons is dat geen los verzameld vendor-nieuws. Het bevestigt één grotere verschuiving: cyberbeveiliging draait niet meer alleen om het blokkeren van malware, maar om het beheersen van menselijk gedrag, identity-risico, AI-risico, detectiesnelheid en operationele opvolging.

Wat wij daar als Flowerbed tegenover zetten

Bij Flowerbed geloven we daarom niet in één silver bullet. We geloven in een samenhangende aanpak, met een paar van de beste engineers van Nederland in huis, aangevuld met bewezen platformen en managed services die echt aansluiten op hoe aanvallen vandaag verlopen.

1. Security Awareness as a Service, voor phishing, smishing, vishing en menselijke fouten
Onze Security Awareness as a Service is gebouwd om de menselijke voordeur sterker te maken. Daarvoor zetten we KnowBe4 in, een platform voor security awareness training met trainingscontent, realistische phishingsimulaties en gerichte inrichting per afdeling. Wij leveren daarbij niet alleen licenties, maar beheren de volledige lifecycle, inclusief platforminrichting, monitoring en bijsturing. Juist nu KnowBe4 ook Teams-meldingen en human risk management verder uitbreidt, wordt dit relevanter dan ooit.

2. SOC-as-a-Service en MDR, voor 24/7 detectie en opvolging
Als een aanval toch door de eerste laag heen komt, wil je niet afhankelijk zijn van toeval of kantoortijden. Daarom bieden wij SOC-as-a-Service en Managed Detection and Response. Onze MDR-service is gericht op het actief opsporen van dreigingen en snel reageren wanneer ze worden ontdekt. Daarnaast werken wij samen met Arctic Wolf voor cloud-native security operations, 24/7 monitoring, snelle incident response en risicobeheer. Dat sluit direct aan op de richting waarin de markt nu beweegt met agentic security operations.

3. Incident Response, voor wanneer het al mis is gegaan
Niet elke organisatie heeft intern een team klaarstaan voor containment, forensics en crisisbeheersing. Onze Incident Response Service, in samenwerking met Arctic Wolf, is erop ingericht om snel en effectief te reageren, incidenten te beheersen en schade te beperken. Dat is essentieel in een wereld waarin aanvallers sneller bewegen en wetgeving zwaarder gaat leunen op aantoonbare paraatheid.

4. Vulnerability Management, Security Health Checks en managed infrastructuur, voor de technische basis
Het menselijke risico is groot, maar basisbeveiliging blijft onmisbaar. Daarom leveren wij ook Managed Services, Vulnerability Management, Security Health Checks, Firewall & VPN Management en bredere infrastructuurbeveiliging. Daarmee helpen we organisaties hun aanvalsoppervlak te verkleinen, configuraties te verbeteren en kwetsbaarheden eerder te vinden dan aanvallers. Zeker met de opkomst van modellen zoals Mythos en tools zoals Shannon is dat geen luxe meer.

5. Compliant in NIS2 en Business Services, voor governance en aantoonbare weerbaarheid
Omdat de Cyberbeveiligingswet eraan komt, moet techniek worden verbonden aan governance. Met onze Business Services helpen we organisaties bij compliance-eisen zoals NIS2 en ISO 27001. Onze dienst Compliant in NIS2 biedt onder meer een compliance assessment en een praktisch startpunt voor organisaties die willen weten waar ze staan, wat nog ontbreekt en wat op korte termijn geregeld moet worden.

Onze conclusie

De belangrijkste les van deze week is niet dat er weer een paar incidenten in het nieuws waren. De belangrijkste les is dat het aanvalspatroon voorspelbaar blijft, terwijl het tempo omhoog gaat. Aanvallers misbruiken nog steeds vertrouwen, identiteit en menselijke reflexen, maar doen dat nu in een landschap waarin AI helpt versnellen, wetgeving strenger wordt en de operationele druk op organisaties toeneemt.

Daarom geloven wij dat organisaties nu niet alleen moeten investeren in tools, maar juist in voorbereiding. In medewerkers die weten wat ze moeten herkennen. In een SOC dat ziet wat er gebeurt. In processen die werken als het spannend wordt. In compliance die niet alleen op papier staat. En in een partner die dat geheel overziet en uitvoert.

Wil je sparren over waar jouw grootste risico vandaag zit: bij awareness, bij detectie, bij incident response, bij NIS2, of bij de combinatie daarvan? Plan dan een afspraak met ons in. Dan kijken we samen welke laag nu als eerste versterkt moet worden.

‍