“Er zijn twee soorten bedrijven: degenen die weten dat ze gehackt zijn en degenen die het nog niet weten.” Met die zin zette AIVD-topman Bas Dunnebier de toon in zijn webinar van afgelopen week. Wie de komende tijd de noodzaak van cyberverzekeringen uit wil leggen aan klanten, krijgt het makkelijk. Gewoon woord voor woord herhalen wat de AIVD, NCTV en alle andere cyberexperts steeds luider roepen: het wordt alleen maar erger.

Eind vorige week publiceerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) het rapport Cybersecuritybeeld Nederland 2025. AIVD-topman Bas Dunnebier benadrukte de risico’s in een populair webinar en ook Het Verbond van Verzekeraars deed een duit in het zakje met een publicatie over de enorme stijging van cyberaanvallen.

Allemaal dreigingen, houdt het dan nooit op? (nee)
Het Cybersecuritybeeld Nederland 2025 van de NCTV schetst een toename van de digitale dreiging, die bovendien steeds diverser en onvoorspelbaarder wordt. We hebben te maken met meer activiteiten van statelijke actoren, van cybercriminelen en ook generatieve AI speelt inmiddels een grote rol.

Bas Dunnebier – Chief Science and Technology Officer bij de AIVD. Bron: rijksoverheid

Het Verbond van Verzekeraars vertaalde dit eind vorige week nog in gerichte adviezen voor de verzekeringssector: Let op dat u voldoende aandacht geeft aan systeemrisico’s, ketenafhankelijkheden en AI-gedreven fraude in risicomodellen, polisvoorwaarden en preventiebeleid.

In het webinar van de AIVD, waar vragen van het publiek werden beantwoord, was Dunnebier ongemakkelijk helder. Dunnebier is de Chief Science and Technology Officer bij de spionagedienst, hij is de hoogste cyberspecialist binnen de overheid: “We kunnen niet echt zeggen dat het oorlog is, maar er is wel ontzettend veel aan de hand. We leven tussen oorlog en vrede, met vijanden die zich digitaal innestelen in vitale infrastructuur, energie, telecom, overheid en in gewone bedrijven.”

Je gaat gehackt worden
Op de vraag ‘Wat zou u een bedrijf aanraden dat nog niet veel heeft gedaan op het vlak van cybersecurity en daar maar zeer beperkte middelen voor heeft?’ Gaf de AIVD-chef een aantal adviezen:

Op sectorniveau: “Samenwerken binnen de sector of met je keten is heel belangrijk. Probeer het dus niet zelf allemaal op te lossen. Werk in ecosystemen en samenwerkingsverbanden. Werk ook samen met het Nationaal Cyber Security Centrum, volg hun adviezen op, die geven ze niet voor niets.”

Over cyberverzekeringen en het voorkomen van schade: “Ze zeggen wel eens, er zijn twee soorten bedrijven. Degene die weten dat ze gehackt zijn en degene die het nog niet weten.” Dunnebier trekt de vergelijking met een brandverzekering: “Die heb je ook al afgesloten voordat er brand is.”

’90 procent cyber-ellende is makkelijk te voorkomen’
Voor het MKB heeft de AIVD een paar bruikbare tips. Dunnebier: “Heel veel MKB’ers zeggen, ja ik ben niet interessant. Nou dat bepalen de hackers wel. Ze kijken eerst of ze ergens binnen kunnen komen en dan pas kijken ze wie jij bent.”

Volgens Dunnebier zijn er heel veel overheidsprogramma’s, specifiek voor het MKB: “Maak het ontzettend ingewikkeld voor hackers door je basis op orde te hebben… We vergeten het wel eens, maar ook staatshackers zijn lui.”

Met wachtwoordenbeleid, een password manager, multi-factor authenticatie, en door het doen van updates hebben bedrijven “al 90 procent van alle cyber-ellende voorkomen”, zo legt Dunnebier uit. “En werk met een goed cybersecuritybedrijf samen.”

Basishygiëne als harde ondergrens voor dekking?
Er is genoeg werk aan de winkel voor de verzekeringssector, zo toont het rapport ‘Cybersecuritybeeld Nederland 2025’ aan. De NCTV beschrijft dat de digitale basishygiëne in veel organisaties nog steeds vér onder de maat is. Veel aanvallen worden niet, of pas laat ontdekt en terugvalopties ontbreken. Het Verbond ziet dezelfde patronen terug in schades: incidenten die begonnen vanwege simpele nalatigheid: geen wachtwoordbeheer, geen updates.

Kwetsbaar durven zijn: melden loont
Opvallend is Dunnebier’s nadruk op openheid. Hij prijst gemeenten, universiteiten en bedrijven die na een hack open vertellen wat er is gebeurd en wat ze geleerd hebben. “Stel je maar kwetsbaar op. Er is niks mis mee om te zeggen dat je het niet weet. Want als we het allemaal wisten, dan waren we echt briljant.” Ook Het Verbond onderstreept dat goede incidentdata essentieel zijn voor realistische modellering van cyberrisico’s én voor het ontwikkelen van effectieve preventiemaatregelen. Schaamte en onderrapportage maken het werk van riskmanagers namelijk erg moeilijk.

Heeft u vragen m.b.t uw verzekering?
Neem dan contact met ons op. We zijn van maandag tot en met vrijdag van tussen 8.00 en 17.30 uur bereikbaar.

Bel 040 21 11 789 of mail ons op info@leve.nl