Trendrapport: Meeste cyberincidenten niet veroorzaakt door innovatieve aanvallen, maar door achterstallig onderhoud

 

.

 

Cyberaanvallen slagen in de meeste gevallen niet dankzij innovatieve technieken van criminelen, maar simpelweg omdat organisaties de basale cybersecurity hygiëne niet op orde hebben. Achterstallig IT-onderhoud, zwakke identiteitsbeveiliging en gebrekkige monitoring vormen onder andere de oorzaak. Dit blijkt uit het 2026 Hunt & Hackett Trend Report, gebaseerd op 54.400 SOC- en IR incidentanalyses in 2025.

Van alle incidentresponsetrajecten was 71% financieel gemotiveerd. Ransomware kwam het meest voor (43%), gevolgd door emailfraude (29%). In 86% van de incidentresponsezaken belemmerde onvolledige logging en monitoring de detectie

Jurjen Harskamp, CEO Hunt & Hackett is bezorgd: “Ons trendrapport laat zien dat bekende en relatief eenvoudige aanvalstechnieken al een grote impact kunnen hebben op organisaties. Dit terwijl de complexiteit van de dreigingen in hoog tempo toeneemt. Aanvallen worden geavanceerder en moeilijker te detecteren. Dat betekent dat veel organisaties structureel achterlopen op de realiteit. Nieuwe wet- en regelgeving helpt, maar verandert weinig aan die fundamentele kloof. Zonder een serieuze inhaalslag in weerbaarheid is de kans groot dat we de komende jaren juist méér incidenten gaan zien, niet minder.”

 

Bekende technieken, voorspelbare gaten

De data laat zien dat aanvallers vooral misbruik maken van zwakke plekken in de identiteitsbeveiliging, zoals gestolen inloggegevens, niet-gepatchte kwetsbaarheden in internetgerichte systemen en langdurige kwetsbaarheden door opgebouwd achterstallig IT-onderhoud.

In de meeste gevallen waren de gebruikte technieken al lang bekend, uitvoerig gedocumenteerd en detecteerbaar met de juiste controles. Toch blijkt het in complexe IT-omgevingen lastig voor organisaties om die controles structureel en op schaal te implementeren en te onderhouden.

Zoals Harskamp uitlegt: “In grote organisaties met complexe IT- en OT-omgevingen is het allesbehalve eenvoudig om alles veilig te houden. In de loop der tijd stapelen kwetsbaarheden zich op door legacy-systemen, ingebedde componenten en complexe afhankelijkheden die vaak slechts gedeeltelijk worden begrepen. Omdat systemen gelaagd en onderling verbonden zijn, kan het oplossen van één kwetsbaarheid elders gevolgen hebben. Juist van deze hiaten en vertragingen maken aanvallers gebruik.”

Naast de bekende technieken breidt het speelveld van de aanvaller zich ook uit. Naast het benutten van de groeiende aanvalsoppervlakte en het gebruiken van achterstallig onderhoud verschuift de focus ook naar identiteitsgerichte aanvallen en het gebruik van generatieve AI. Het wordt voor organisaties steeds lastiger om aanvallen te voorkomen of detecteren.

 

 

Financieel motief grootste zorg

Van alle incidentresponsetrajecten die Hunt & Hackett behandelde in 2025 was 71% financieel gemotiveerd. Ransomware kwam het meest voor (43%), gevolgd door emailfraude (29%). Toegang werd vaak verkregen via kwetsbare remote services, edgeapparaten of het gebruik van gestolen inloggegevens.

In 86% van de incidentresponsezaken belemmerde onvolledige logging en monitoring de detectie. Ontbrekende auditlogs, beperkte logretentie of systemen die buiten het securitybereik vielen, gaven aanvallers ruimte om onopgemerkt binnen te komen.

Cloudomgevingen, apparaten met directe internettoegang en afhankelijkheden van leveranciers vergroten het aanvalsoppervlak. Succesvolle aanvallen worden vooral mogelijk doordat preventie, zicht en regie ontbreken; echt innovatieve technieken spelen (vooralsnog) een kleinere rol.  

Structureel probleem, geen kennisgebrek 

Bij het merendeel van de incidenten ontbraken basisvoorwaarden voor preventie, effectieve detectie en onderzoek. Denk aan voldoende logretentie, consistente monitoring en geteste responsplannen.

Ronald Prins, medeoprichter van Hunt & Hackett: “We praten al jaren over het oplossen van ‘lowhanging fruit’. Het probleem is geen gebrek aan bewustzijn, maar een gebrek aan uitvoeringskracht. Veel organisaties implementeren securitytools en gaan ervan uit dat die alles afvangen, maar effectieve bescherming vraagt om zichtbaarheid over het volledige aanvalspad, niet om steeds meer losse tools.”

Organisaties investeren volop in tooling, maar onderschatten hoe essentieel governance, onderhoud en continue controle zijn om die tooling effectief te laten werken.

Digitale soevereiniteit begint bij controle

Het rapport plaatst deze bevindingen in de bredere context van toenemende afhankelijkheid van cloudplatforms en externe leveranciers.

Digitale soevereiniteit gaat volgens Hunt & Hackett in de kern niet over de fysieke locatie van data, maar over controle en inzicht. Zonder betrouwbaar zicht op wat er binnen systemen en netwerken gebeurt, blijft effectieve detectie en respons beperkt. De eerste stap is daarom zicht krijgen op de securitydata onafhankelijk van het cloudplatform zodat de meldingen en inzichten verifieerbaar zijn.

Wat organisaties nu kunnen doen

Het rapport benoemt vier prioriteiten die het risico direct verlagen:

 

  1. Versterk identiteitsbeveiliging
    Beperk overmatige toegangsrechten, bescherm beheerdersaccounts en dwing sterke multifactor-authenticatie af.
  2. Beperk blootstelling
    Patch internetgerichte systemen snel en verwijder onnodige diensten van het publieke internet.
  3. Vergroot zichtbaarheid
    Zorg dat kritieke systemen securitylogs genereren, monitor deze actief en bewaar deze lang genoeg (liefst onafhankelijk van het cloudplatform) voor incidentonderzoek, proactieve detectie en threat hunting.
  4. Test respons
    Oefen incidentresponsescenario’s en zorg dat forensisch bewijs snel veiliggesteld kan worden.

 

 

Gerelateerde artikelen

Scripties over brandveiligheid gezocht voor NIPV-VVBA-scriptieprijs 2026 

Claims | 05-02-2026

De Vereniging van Brandveiligheidsadviseurs (VVBA) en het NIPV loven ook dit jaar de NIPV-VVBA-scriptieprijs uit. De prijs is ingesteld voor de beste bachelor- of masterthesis op het gebied van brandveiligheid. De beoordelingscriteria voor de scriptie zijn: de relevantie van het onderwerp in relatie tot de actualiteit en de maatschappij, de innovativiteit, de praktische toepasbaarheid, de diepgang van de analyse en het wetenschappelijk niveau. Voorwaarden […]

Internationaal onderzoek Workiva: Gebrekkige data belemmert besluitvorming bij één op de drie organisaties

Markt | 04-02-2026

  Ondernemen is tegenwoordig allesbehalve voorspelbaar. Geopolitieke ontwikkelingen en economische onzekerheid zetten besluitvorming onder druk. Dat vergroot de behoefte aan samenhangende data en real-time inzicht, zodat organisaties sneller kunnen bijsturen. Uit de Executive Benchmark Survey van Workiva, dat organisaties helpt op een verantwoordelijke, transparante manier te rapporteren, blijkt dat wereldwijd 79% van de bestuurders daarom […]

‘2025 New Generation of Risk Report’  Riskconnect: Politiek risico stijgt als belangrijkste bedreiging

Risks | 03-02-2026

Leidinggevenden van ondernemingen boeken weliswaar aanzienlijke vooruitgang op belangrijke gebieden, zoals het opstellen van worst case-scenario’s, de invoering van AI en het opstellen van plannen voor geopolitieke risico’s (die een jaar geleden nog grotendeels ontbraken), maar er bestaan  nog steeds kritieke hiaten bestaan, stelt Riskconnect in haar ‘2025 New Generation of Risk Report’  waarvoor wereldwijd […]

AI maakt het beschermen van persoonlijke data urgenter dan ooit 

Markt | 29-01-2026

Op 28 januari jl, is het World Data Privacy Day, volgens CheckPoint  een perfect moment voor organisaties wereldwijd om stil te staan bij hoe persoonlijke informatie wordt verzameld, opgeslagen en beschermd.” In de digitale economie waarin we nu leven is privacy niet langer een vinkje in de checkbox voor compliance. Het is de basis van digitaal […]