Cybercriminaliteit hoeft tegenwoordig geen rumoer te maken om schade aan te richten. Steeds vaker proberen aanvallen onopvallend te blijven, zo lang mogelijk within systemen te verblijven en van daaruit de economische, strategische en reputatie-impact te maximaliseren. Een van de kernconclusies uit het Cybersecurity Threat Intelligence Rapport van NTT DATA voor de tweede helft van 2025 is diepergaande verandering in werkwijzen: low-profile, langdurige inbraken die gericht zijn op het beïnvloeden van beslissingen en processen.
Het rapport schetst een scenario waarin cybersecurity niet langer slechts een technisch of compliance-onderwerp is, maar een strategisch front. In plaats van snelle en zichtbare aanvallen, evolueren de aanvallen naar meer verfijnde en adaptieve operaties, waarbij de prioriteit ligt op de volharding, heimelijkheid en de mogelijkheid om langdurig invloed uit te oefenen in gecompromitteerde omgevingen. Op dit nieuwe speelveld wordt de grens tussen georganiseerde misdaad, hybride campagnes en geopolitieke spanningen steeds moeilijker te onderscheiden.
Een cyberruimte doordrongen van politiek en economie
NTT DATA benadrukt vooral een groeiende factor: de geopolitieke invloed. Internationale spanningen, technologische fragmentatie en verschuivingen in allianties beïnvloeden direct digitale infrastructuren, toeleveringsketens en kritieke sectoren. Het resultaat is tweeledig: ten eerste wordt het toeschrijven van aanvallen complexer; ten tweede bemoeilijkt internationale samenwerking, waardoor het risico toeneemt voor overheden, essentiële industrieën en private ondernemingen.
In dat kader fungeert de cyberruimte als een gebruikelijk terrein voor indirecte confrontaties. Het is een manier om druk uit te oefenen, verstoringen te veroorzaken en evenwichten te verschuiven, zonder openlijk militair conflict. Het verontrustende is niet alleen het incidentele voorval, maar het opgebouwde slijtageproces: blootgestelde inloggegevens, persistente toegangspunten, data die met chirurgische precisie worden gestolen en fijn afgestemde publieke drukcampagnes.
Kunstmatige Intelligentie als offensief multipliers
Een ander kernpunt uit het rapport is de toenemende inzet van kunstmatige intelligentie (AI) als strategische krachtversterker. Het gebruik ervan in cyberespionage, desinformatie en geautomatiseerde aanvallen verlaagt de toegangsdrempel, versnelt den ciclo van aanvallen en vergroot het bereik van hybride campagnes, zowel door staten als door geavanceerde criminele actoren.
De praktische consequentie is dat aanvallers minder tijd en middelen nodig hebben voor herhaling en verfijning. Waar eerst handmatige exploratie en trial-and-error de norm waren, is nu sprake van automatisering, aanpassing en een grotere capaciteit om aanvallen te personaliseren, technieken te finetunen en de druk laag te houden met relatief lage kosten. Tegelijkertijd groeit de noodzaak voor verdedigers om subtilere patronen te detecteren en zwakke signalen te correleren, zeker nu het digitale omgevingsgeluid toenemend is.
Minder “publieke pleinen” voor criminaliteit, meer verborgenheid
Het rapport benadrukt tevens de fragmentatie van het criminele ecosysteem. De afname van grote undergroundfora en gecentraliseerde marktplaatsen betekent niet dat illegale activiteiten afnemen; integendeel, ze veranderen van locatie en structuur: er komen gespecialiseerde markten, brokers voor toegang op initiatie en meer gesloten, private kanalen. Dit bemoeilijkt monitoring en verschaft minder vroegtijdige inlichtingen, omdat de criminaliteit zich verplaatst naar minder zichtbare ruimtes, met nauwer verbonden netwerken en meer gespecialiseerde illegale toeleveringsketens.
Operatief vertaald leidt deze “gefragmentiseerde markt” tot een meer modulaire aanvalseconomie: wie toegang krijgt, voert niet altijd de chantagemaatregel uit; wie tools ontwikkelt, operationeert niet altijd zelf de inbraak; wie data wischt of delvist, is niet altijd betrokken bij de daadwerkelijke inbraak. Dit creëert een professionelere sector die lastiger is te ontmantelen met enkele grote klappen op een centrale actor.
Volwassen ransomware en data-gebaseerde afdreiging
Parallel daaraan tonen ransomware en datagerelateerde afdreigingsmodellen een operationele rijpheid die het rapport als bijzonder zorgwekkend beschrijft. Campagnes combineren automatisering, selectief stelen van gevoelige informatie, gestaagde publieke druk en reputatieschade. Het gebruik van “stille” technieken en het misbruiken van legitieme diensten — vooral cloud en SaaS — om te blijven bestaan en laterale bewegingen te maken, neemt toe.
De sleutel ligt niet alleen in versleutelen, maar ook in het beheersen van de onderhandelingssnelheid en het verhogen van de reputatielast. Dwang wordt niet langer alleen uitgeoefend door betaling te eisen of toegang te beëindigen, maar ook door gefaseerde leaks, dreigementen met exposé en druk op klanten, regulators of partners. In dat speelveld speelt de tijd in het voordeel van de aanvaller: hoe langer hij binnen blijft, hoe beter hij het bedrijf leert kennen, hoe waardevoller de gestolen data en hoe preciezer de drukpunten kunnen worden gezet.
Meest getroffen sectoren en enorme economische impact
Het rapport geeft sectorale cijfers die inzicht bieden in waar de risico’s zich concentreren. Tijdens de onderzochte periode waren de sectoren met de meeste incidenten:
- Overheid en publieke administratie: 3.343 aanvallen
- Onderwijsinstellingen: 1.140
- Financiële diensten: 957
- Informatietechnologie: 802
- Telecommunicatie: 614
Gezamenlijk wordt de impact van cybercriminaliteit geschat op ongeveer US$10,5 biljoen per jaar, een omvang die illustreert waarom het cyberdomein een essentiële infrastructuur voor de mondiale economie is geworden en tegelijkertijd een prioriteit voor actoren met uiteenlopende motivaties.
De kloof: naleving betekent niet automatisch weerstand
Hoewel het rapport succesverhalen en verbeteringen erkent — zoals versterkt juridisch en regulerend beleid, grootschalige internationale politiewerkzaamheden en toenemende defensieve capaciteiten — is de uiteindelijke conclusie ongemakkelijk: de malafide actoren blijven de evolutie van systemen en processen voor. Een kloof blijft bestaan tussen simpelweg naleven van regelgeving en daadwerkelijke operationele weerbaarheid.
Het rapport roept op tot een mentaliteitsverandering: “We staan voor een paradigmaverschuiving: aanvallen zijn niet meer alleen bedoeld om te verstoren, maar om beleidslijnen, processen en strategieën op lange termijn te condicioneren: effectief risicobeheer vereist een geïntegreerde aanpak gericht op contextuele detectie, weerbaarheid en strategische anticipatie van persistente en zeer adaptieve dreigingen”, aldus María Pilar Torres Bruna, Head of Cybersecurity bij NTT DATA Iberia, International Organisations, LATAM en Consulting in Benelux en Frankrijk.
De kern ligt in een duidelijke boodschap: bij meer persistente en geavanceerde bedreigingen moet cybersecurity worden gezien en behandeld als een strategische functie, die in staat is te anticiperen, het bredere klimaat te begrijpen en digitale weerbaarheid op een duurzame wijze te ondersteunen. Minder checklists, meer operationele visie: vroeger detecteren, beter reageren en sneller leren dan de tegenstander.
Veelgestelde vragen
Wat houdt het in dat aanvallen “stil en persistent” zijn?
Dat ze prioriteit geven aan onopvallend blijven, langdurig binnen het systeem blijven en de impact (economisch en reputatie) maximaliseren vanuit een positie van controle.
Waarom wordt ransomware steeds meer gebaseerd op datagerelateerde afdreiging?
Omdat het niet alleen gaat om het versleutelen van systemen: criminelen stelen ook gevoelige informatie en gebruiken leaks en reputatieschade om betaling af te dwingen.
Welke sectoren werden het meest getroffen in de tweede helft van 2025 volgens het rapport?
Overheid en publieke administratie (3.343 incidenten), onderwijs (1.140), financiële diensten (957), informatietechnologie (802) en telecommunicatie (614).
Hoe beïnvloedt AI de evolutie van cybercriminaliteit?
Het rapport geeft aan dat AI als een versterker werkt: het verlaagt drempels, versnelt aanvalscycli en vergroot de reikwijdte van geautomatiseerde offensieve campagnes, cyberespionage en desinformatie.
via: nttdata