Cybersecurity is decennialang gekoppeld aan de ‘serverruimte’ van IT- en securityspecialisten. Beveiligd met steeds geavanceerdere tools en operationeel beheerd op basis van softwarecode en netwerkpakketten. Begin dit jaar heeft er echter een fundamentele paradigmaverschuiving plaatsgevonden. De verdere ‘verfijning’ van aanvallen is niet langer het belangrijkste cyberrisico. In plaats daarvan moeten raden van bestuur en directies nu rekening houden met een maatstaf die pragmatischer en impactvoller is, de Measure Of Effectiveness (MOE).
Cybersecurity MOE
Op cybersecuritygebied evalueert een MOE dreigingen op basis van de verhouding tussen de inspanning van de aanvaller en het operationele resultaat. We zijn de laatste tijd getuige van een industrialisatie van cyberdreigingen, waarbij de drempel voor toegang is verdwenen en de ‘interactieve hack’ is vervangen door een schaalbaar, geautomatiseerd businessmodel. Voor CEO’s is de boodschap duidelijk: het bindweefsel van hun digitale ecosysteem - integraties die zijn ontworpen om de productiviteit te verhogen - is de primaire kwetsbaarheid geworden.
Om uitkomst te bieden heeft Cloudforce One het afgelopen jaar triljoenen netwerksignalen, tactieken, technieken en procedures (TTP's) van kwaadwillenden vertaald naar de inzichten en aanbevelingen die organisaties nodig hebben om zich voor te bereiden op, en een effectieve verdediging uit te voeren. Het 2026 Cloudflare Threat Report is het resultaat van dit werk en daaruit blijkt dat we getuige zijn van de totale industrialisatie van cyberdreigingen. De drempel voor toegang tot de digitale infrastructuur van een organisatie is verdwenen en de 'interactieve hack' is voor cybercriminelen een schaalbaar en geautomatiseerd businessmodel geworden.
Instorting van de perimeter
Decennialang bepaalde de ‘gracht en kasteel’ verdedigingsstrategie de organisatiebeveiliging. Dat model is vanaf nu officieel verouderd. De ineenstorting van de traditionele perimeter van de IT-infrastructuur heeft identiteit tot het primaire doelwit gemaakt. In 2026 richten aanvallers zich niet langer op inbreken, maar op vertrouwd inloggen.
Door live sessietokens te oogsten via geïndustrialiseerde infostealer-engines, neutraliseren aanvallers standaard meervoudige authenticatie (MFA). Deze verschuiving heeft ransomware getransformeerd van een complexe technische aanval naar een simpele inlogactie. Als gevolg daarvan kunnen aanvallers met vergaande toegangsrechten door de netwerken van hun target navigeren zonder de traditionele waarschuwingen te activeren.
Integraties uitbuiten
Moderne organisaties kunnen niet meer functioneren zonder hun SaaS-naar-SaaS-integraties. Dit ‘bindweefsel’ is echter een krachtvermenigvuldiger voor de kwaadwillenden geworden. Eén enkele over-geprivilegieerde integratie, zoals een koppeling tussen een klantenservicetool en een CRM-systeem, is door cyberaanvallers via AI uit te buiten om multi-tenant inbraken over hele ecosystemen te veroorzaken.
In dit nieuwe landschap wordt de beveiliging van bedrijf- en persoonsgegevens niet langer gedefinieerd door de eigen firewall, maar door de zwakste externe integratie in de tech-stack. We hebben gevallen waargenomen waarin ongesofisticeerde actoren generatieve AI gebruikten om in realtime door complexe, onbekende SaaS-omgevingen te navigeren, waarbij ze gevoelige productiegegevens met chirurgische precisie lokaliseerden en exfiltreerden.
Industrialisatie van de ‘kwaadwillende insider’
Misschien is de meest verontrustende trend voor 2026 wel de industrialisatie van frauduleuze identiteiten binnen het Westerse personeelsbestand. Door staten gesponsorde agenten nestelen zich tegenwoordig namelijk in de personeelsbestanden van organisaties met behulp van deepfake-persona's en externe ‘laptopfarms’, om van daaruit hun werk te doen.
Dit maakt van het personeelsbestand een aanvalsbron, waardoor kwaadwillende insiders toegang krijgen tot de vertrouwde administratieve en financiële systemen van een organisatie. Het is een exploitatiemodel met hoog vertrouwen dat de geolocatie- en identiteitscontroles omzeilt, wat een verschuiving vereist van perimeterverdediging naar continue biometrische verificatie.
Transitie naar ‘beveiliging door het systeem’
De snelle opkomst van AI heeft een dubbel risico gecreëerd. Enerzijds betekent het ‘data gravity’-effect van het zakelijke AI-gebruik dat bedrijfseigen broncode en financiële details worden geleid naar systemen die lucratieve doelen worden voor exfiltratie. Anderzijds dient AI als een krachtvermenigvuldiger voor aanvallers, waardoor ze impactvolle geavanceerde operaties met hoge bandbreedte kunnen uitvoeren die traditionele filters omzeilen.
Het cybersecuritylandschap van 2026 is te definiëren als ‘aanval door het systeem’, waarbij de snelheid van het resultaat belangrijker is dan de onderscheidende vaardigheid. Om dit tegen te gaan, moeten organisaties overgaan op ‘beveiliging door het systeem’. Dit omvat:
-
Autonome verdediging: met hyper-volumetrische DDoS-aanvallen die momenteel pieken op een recordbrekende 31,4 Tbps, is het venster voor menselijke interventies gesloten. Mitigatie moet autonoom en edge-gebaseerd zijn om aanvallen te overleven die binnen enkele minuten eindigen.
-
Identiteitgebaseerd vertrouwen (Zero Trust): eenmalige codes vervangen door phishing-resistente MFA en continue sessiebewaking die de toegang ongeldig maakt op het moment dat een ‘onmogelijke reis’ of verdacht apparaatgedrag wordt gedetecteerd.
-
Supply chain bewaking: onmiddellijke audits uitvoeren van SaaS API-machtigingen en het principe van de minste privileges toepassen op elke integratie.
Strategische noodzaak
Het cyberdreigingslandschap van 2026 beloont de sluwe boven de luidruchtige. Tegenwoordig misbruiken kwaadwillenden de eigen cloud-, SaaS- en AI-infrastructuur van organisaties om hun missies te financieren en op te schalen. Dit is niet langer een technisch probleem dat door de IT-afdeling moet worden opgelost. Het is een structurele kwetsbaarheid geworden die een fundamentele heroverweging van het businessmodel vereist.
In het tijdperk van geïndustrialiseerde chaos gaat veerkracht niet alleen over het buiten houden van aanvallers, het gaat erom te verzekeren dat een organisatie de continuïteit kan handhaven terwijl de onderliggende hardware onder maximale druk staat. Het infrastructurele ‘bindweefsel’ dat groei aandrijft, moet nu het eerste zijn dat de directie verhardt door het beter te beveiligen.
Auteur: Tony van den Berge, Vice President EMEA bij Cloudflare