Cyberdreigingen in de Cloud: Veerkracht Ontwerpen Voor de Volgende Onderbreking

De Migratie naar de Cloud en de Opkomst van Kunstmatige Intelligentie: Innovatie en Risico’s

De migratie naar de cloud en de versnelde adoptie van kunstmatige intelligentie (AI) transformeren de bedrijfsvoering met zichtbare voordelen in snelheid en efficiëntie. Echter, ditzelfde momentum heeft de aanvallers meer kansen gegeven. Ze combineren nieuwe tools met oude tactieken om via zwakke plekken binnen te dringen, zich lateraal te verplaatsen en verstoringen te veroorzaken die nadelige gevolgen hebben voor zowel de operaties als de reputatie. De centrale vraag is niet langer of er een incident zal plaatsvinden, maar of de organisatie in staat is om dit op te vangen en door te gaan. De sleutel, benadrukt het rapport “Cyberbedreigingen in de cloud: strategieën tegen digitale verstoring”, is te zorgen voor een integratie van risicobeheer vanuit het ontwerp, in plaats van dit als een laat additioneel hulpmiddel toe te voegen.

Drie Kernideeën om het Probleem te Plaatsen

1) Efficiëntie met een Dubbel Rand. De cloud en AI stellen bedrijven in staat om meer te doen met minder, maar concentreren ook waardevolle activa en inloggegevens op platforms die, per ontwerp, toegankelijk zijn via internet. Bij een grotere concentratie en connectiviteit neemt ook de aantrekkingskracht voor aanvallers toe.

2) Evoluerende Tegenstanders. Ransomware bendes, staatsondersteunde groepen en bedrijfsfraude hebben hun arsenaal gemoderniseerd: ze maken gebruik van AI-gestuurde sociale engineering, deepfakes en ‘man-in-the-middle’-kits, maar blijven ook vertrouwen op wat effectief is (phishing, misbruik van inloggegevens, en exploitatie van zwakke configuraties).

3) Veerkracht door Ontwerp. Bedrijven bouwen continuïteit niet op basis van certificering, maar door deze in te bouwen. Sterke identiteiten, segmentatie, encryptie met adequaat sleutelbeheer, nuttige telemetrie, onveranderlijke back-ups en geoefende crisisscenario’s zijn fundamenten, geen versieringen.

Cloud en AI: Efficiëntie ten Kosten van Blootstelling

De overgang van gegevens en workloads naar publieke, private en hybride clouds is geen naadloze verschuiving: het verandert het dreigingsmodel. Bijna de helft van de bedrijfsgegevens in clouddiensten zijn gevoelig, en zakelijke e-mail binnen SaaS-suites blijft een favoriete toegangspoort via accountcompromitteringscampagnes (BEC). Generatieve AI verlaagt echter de kosten aan beide zijden: verdedigers vergroten de snelheid in detectie en respons; aanvallers produceren gepersonaliseerde phishing-campagnes en convincerende imitatie van stemmen en afbeeldingen. Dit resulteert in een toenemende incidentcurve en een hogere frequentie van aanvallen die leiden tot operationele verstoringen.

Ransomware + Phishing: De Dubbele Blootstelling van het Cloudmodel

Ransomware heeft zijn “businessmodel” verfijnd. Het versleutelt niet alleen gegevens; het exfiltreert deze eerst en bedreigt met publicatie. Bovendien zoekt het bewust opslag en samenwerking in de cloud om de impact te verhogen. Tegelijkertijd blijft phishing de meest rendabele vector. De variant ‘Adversary-in-the-Middle’ (AITM) steelt sessietokens en omzeilt zwakke of verouderde authenticaties, wat indringers in staat stelt om zelfs de traditionele tweefactorauthenticatie te omzeilen. Het patroon herhaalt zich: gecompromitteerde inloggegevens, stille laterale beweging, exfiltratie naar externe opslagruimten en versleuteling op het slechtste moment voor het slachtoffer.

Derden en de Toeleveringsketen: Van Puntfalen naar Systeemimpact

Het uitbesteden versnelt projecten, maar voegt ook ‘gecorreleerde risico’s’ toe: duizenden bedrijven zijn afhankelijk van een handvol software- en beveiligingsleveranciers. Een incident bij een derde kan zich verspreiden naar tienduizenden systemen, en een fout in een kritische update kan wereldwijde uitval veroorzaken, zelfs als de trigger geen cyberaanval was. De les is hard: het is niet genoeg om alleen je eigen perimeter te beschermen; je moet technische en operationele afhankelijkheden begrijpen en beheren, transparantie eisen en ontsnappingroutes garanderen wanneer een schakel in de keten breekt.

Recente Gevallen die We Niet Mogen Vergeten

• Okta (2023): Ongeoorloofde toegang tot ondersteuningssystemen en exfiltratie van sessietokens raakten tientallen klanten. Het maakte duidelijk dat technische ondersteuning en toegang door derden kritische vectoren zijn en dat het principe van het minimumprivilege ook buiten de IT-kern moet worden toegepast.

• DDoS-aanvallen op perifere diensten (2024): Uur lange onderbrekingen op cloudplatforms herinnerden eraan dat zonder multi-region verkeerengineering en alternatieve routes de beschikbaarheid kan ineenstorten als dominostenen.

• Slecht gedefinieerde AI-agents (2025): Proeven toonden aan dat een agent met teveel vergunningen destructieve acties kan uitvoeren zonder malware. De boodschap: de beveiliging van AI mag niet oppervlakkig zijn; het vereist sterke identiteits- en autorisatiecontroles zoals bij elke andere microservice.

• Ransomware bij email- en hostingleveranciers (2022-2024): Gecompromitteerde inloggegevens, een geëxploiteerde kwetsbaarheid en een gebrek aan segmentatie leidden tot langdurige uitval, dure rechtszaken en verlies van vertrouwen. Segmentatie en isolatie van functies zijn geen optionele zaken.

Van “Voldoen” naar “Veerkracht”: Veerkracht vanaf het Ontwerp

Cloud en AI vereisen een verschuiving van een checklist naar een ontwerp van veerkracht:

1. Duidelijke Risicobereidheid. De directie moet vaststellen welke diensten niet mogen uitvallen en voor hoe lang. Zonder dit kader vervaagt de beveiliging en verspreidt de uitgaven.

2. Beveiligde Identiteiten. MFA die bestand is tegen phishing, Just-in-Time (JIT) privileges voor beheerders, Privileged Access Management (PAM) voor risicovolle accounts en geheimenkluizen. Geen MFA via sms, behalve als laatste redmiddel.

3. Segmentatie en minimumprivilege in de cloud. Gescheiden accounts voor verschillende omgevingen, policy’s die standaard ‘deny’ zijn, microsegmentatie in netwerken, egressfilters en fijne controle over toegangsrechten in opslag, wachtrijen en serverless functies.

4. Encryptie en sleutelcontrole. Encryptie tijdens transport en in rust is basis; cruciaal is wie de sleutels beheert en waar deze zich bevinden.

5. Continue Configuratiehygiëne. Periodieke audits, patchbeheer binnen afgesproken tijdframes, onveranderlijke beelden en infrastructure-as-code met benodigde veiligheidsmaatregelen. Configuratie is code en moet als zodanig worden behandeld.

6. Geïntegreerde Detectie en Respons. Nuttige telemetrie (logs, metrics en traces), AI-analyse om anomalieën te detecteren, en geoefende runbooks. Theorie zonder oefeningen bereidt niemand voor.

7. Back-ups 3-2-1-1-0. Drie kopieën, twee medias, één off-site, één onveranderlijk/offline en nul fouten tijdens herstel. Meet en test RTO en RPO alsof een losgeld ervan afhankelijk is (omdat het dat is).

8. Governance van Derden. Een levend inventaris van SaaS/PaaS afhankelijkheden, enquêtes die telemetrie, notificatie-SLA’s en continuïteitsplannen evalueren.

9. Crisisoefeningen. Scenario’s voor het uitvallen van een leverancier, verlies van identiteiten, DDoS en e-mailcompromittering.

10. Cyberverzekering in lijn met de realiteit. Vervangt geen controles, maar vult deze aan. Veel polissen vereisen robuuste MFA, EDR-systemen, onveranderlijke back-ups en segmentatie om gedekt te worden.

Metrieken die Ertoe Doen voor het Bestuur

Veerkracht moet worden aangetoond met cijfers, niet met presentaties. Actiegerichte metrieken zijn:

• MTTD/MTTR per type incident en per betrokken leverancier.
• Patch naleving op basis van belangrijkheid binnen gedefinieerde vensters.
• Percentage van JIT sessies en hun gemiddelde duur.
• Encryptie dekking per classificatie van gegevens.
• Percentage van succesvolle herstellingen tegen beloofde RTO/RPO.
• Kaart van kritieke afhankelijkheden met een geverifieerd alternatief plan.

Tien Acties om Morgen te Beginnen

1. Activeer MFA die bestand is tegen phishing en verwijder verouderde methoden.
2. Inventariseer SaaS-applicaties, sluit weesconnectors en herzie overmatige toegangsrechten.
3. Pas voorwaardelijke toegang toe op basis van risico, met blokkering op basis van locatie/apparaat waar nodig.
4. Dwing JIT af voor beheerders en registreer verhoogde sessies.
5. Isoleren van back-ups met onveranderlijkheid en maandelijkse hersteltests.
6. Herzien van e-mail regels en domeinen van typosquatting gerelateerd aan het merk.
7. Simuleer een AITM tegen de productiviteitssuite en pas detecties aan.
8. Oefen een continuïteitsplan voor het uitvallen van een kritieke SaaS.
9. Vereisen van derden notificatietijden, deelbare telemetrie en noodkanalen.
10. Train leidinggevenden in besluitvorming onder druk en communicatieprotocollen.

Cultuur en Governance: Het Verschil Tussen Struikelen en Vallen

Technologie bepaalt het tempo, maar cultuur bepaalt de richting. Organisaties die het best bestand zijn tegen verstoringen hebben duidelijke rollen en verantwoordelijkheden, commissies die dezelfde taal spreken (risico, business, technologie), budgetten die impact prioriteren en een gezonde obsessie om van incidenten te leren. Het doel is niet om risico’s volledig te elimineren — dat is onmogelijk in hypergeconnecteerde omgevingen — maar om blootstelling te beheren en hersteltijden te verkorten wanneer onvermijdelijk iets fout gaat.

Vraag & Antwoord

Wat zijn de beste praktijken om ransomware in multicloud-omgevingen in 2025 te stoppen?
Identiteiten met MFA die bestand is tegen phishing, segmentatie per omgevingen en gescheiden accounts, minimum privilege, patching met SLA naar belangrijkheid, onveranderlijke back-ups 3-2-1-1-0, unificatie van telemetrie en geteste runbooks. Voeg exfiltratie controles toe, korte sessies en intrekking van gestolen tokens.

Wat is een AITM-aanval en hoe kan deze worden verminderd in productiviteitsuites?
Het is de onderschepping van de sessie tussen gebruiker en dienst om tokens te stelen en authenticatie over te slaan. Dit kan worden verminderd met FIDO2/WebAuthn, voorwaardelijke toegang op basis van risico, detectie van anomalieën in sessies, herautorisatie bij gevoelige acties en goede hygiëne van geregistreerde applicaties/OAuth.

Hoe evalueer je het risico van derden SaaS zonder in “checklist”-denken te vervallen?
Kaart de werkelijke afhankelijkheden in (gegevens, identiteiten, processen), eis telemetrie en notificatie-SLA’s, herzie subprocessoren en jurisdicties, vraag om bewijs van onveranderlijke back-ups en continuïteitsplannen, en definieer operationele ontsnappingsroutes (exporteren, degradatiemodus).

Welke veerkrachtmetriek moet een bestuur volgen?
MTTD/MTTR, herstel successen ten opzichte van RTO/RPO, encryptie dekking per gegevensclassificatie, percentage tijdelijke admins JIT, multiregio overschakelingsduur en resultaten van crisisoefeningen (frequentie, bevindingen en uitgevoerde correcties).