Als de overheid, de politie en Ajax gehackt worden: hoe veilig is jouw organisatie dan?

In september 2024 werden de contactgegevens van ruim 62.000 Nederlandse politieagenten gestolen via een gehackt account. Niet via een gesofisticeerde aanval van een statelijke actor, maar via een gewone phishingmail waarbij een medewerker op een verkeerde link klikte. Hetzelfde jaar raakten Ajax en meerdere Nederlandse gemeenten data kwijt bij beveiligingsincidenten. Organisaties met eigen IT-afdelingen, beveiligingsspecialisten en budgetten die de meeste MKB-bedrijven niet hebben.

Als die organisaties geraakt worden, wat zegt dat dan over een bedrijf van 30 of 80 medewerkers zonder eigen securityteam?

Hackers zoeken geen uitdaging, ze zoeken kansen

De gedachte dat kleine bedrijven te oninteressant zijn voor aanvallers klopt niet. Hackers richten zich niet op organisaties die interessant zijn, ze richten zich op organisaties die kwetsbaar zijn. En kwetsbaarheid heeft weinig te maken met omvang.

De meest gebruikte aanvalstechniek is nog steeds phishing. Een medewerker klikt op een link, vult gegevens in op een nep-inlogpagina, en een aanvaller heeft toegang tot het account. Dat werkt bij een politieagent net zo goed als bij een boekhouder. Het verschil is dat grote organisaties een aanval soms snel detecteren omdat ze monitoring draaien. Kleine organisaties ontdekken een inbreuk gemiddeld pas na 207 dagen.

Automatische aanvalskits maken het bovendien eenvoudig om op grote schaal te opereren. Aanvallers hoeven geen specifiek doelwit te kiezen: ze sturen miljoenen phishingmails en wachten af wie er intrappen. Het MKB is geen bijvangst, het is het doel.

Waar het misgaat in Microsoft 365

De meeste MKB-bedrijven werken met Microsoft 365. E-mail, Teams, SharePoint, OneDrive. Vrijwel alle bedrijfsinformatie zit erin. Maar de standaardinstellingen van Microsoft 365 zijn niet ontworpen om jouw organisatie te beschermen. Ze zijn ontworpen om snel te werken voor iedereen.

Dat betekent concreet een aantal dingen.

Geografische inlogrestricties ontbreken. Standaard kan een medewerker inloggen vanuit elk land ter wereld. Als een aanvaller in Nigeria toegang heeft tot het account van een medewerker in Enschede, krijgt niemand een melding. De inlog slaagt gewoon. Pas als iemand de logs bekijkt, en dat doet de gemiddelde MKB-organisatie niet structureel, valt het op.

Bestanden zijn breder gedeeld dan je denkt. In SharePoint en OneDrive worden links standaard aangemaakt voor iedereen die de link heeft, ook buiten de organisatie. Medewerkers sturen die links door per e-mail zonder na te denken over wie er uiteindelijk bij kan. Na een accountovername heeft de aanvaller direct toegang tot alles wat de betreffende medewerker ooit heeft gedeeld.

App-toestemmingen worden niet gecontroleerd. Standaard kunnen medewerkers zelf toestemming geven aan applicaties die toegang vragen tot hun Microsoft 365-account. Een aanvaller stuurt een link naar een kwaadaardige app, de medewerker klikt op accepteren, en de app heeft onbeperkte toegang tot e-mail en bestanden. Zonder dat er een wachtwoord is gestolen. Zonder dat MFA is omzeild. De medewerker heeft de toegang zelf verleend.

Verdachte activiteit blijft onzichtbaar. Een gehackt account kan weken of maanden actief zijn terwijl de aanvaller meeleest in de mailbox, bestanden downloadt of e-mails automatisch doorstuurt naar een extern adres. Zonder monitoring zie je het pas als de schade al is aangericht: een valse factuur betaald, een klantdossier gelekt, of een directieaccount dat phishingmails verstuurt naar zakenrelaties.

Wat kost een aanval een gemiddeld MKB-bedrijf?

Ransomware is de duurste en meest zichtbare vorm van een aanval, maar niet de enige. Business email compromise, waarbij een aanvaller meeleest in de mailbox en op het juiste moment een factuur met gewijzigd rekeningnummer instuurt, is moeilijker te detecteren en financieel minstens zo schadelijk.

Voor een bedrijf van 20 tot 100 medewerkers liggen de totale kosten van een ransomware-aanval gemiddeld tussen de 200.000 en 500.000 euro. Directe herstelkosten, externe experts, gemiste opdrachten tijdens de herstelperiode, eventuele boetes onder de AVG als er persoonsgegevens zijn gelekt, en reputatieschade bij klanten en partners. Tel daar bij op dat herstel bij organisaties zonder schone back-ups en een crisisplan drie tot zes weken kan duren.

Een week stilstand. Wat kost dat jou? Dat rekent een directeur zelf uit. En dan begrijpt hij waarom dit geen IT-probleem is, maar een bedrijfsrisico.

Wat kun je doen zonder een eigen securityteam?

Je hoeft geen fulltime beveiligingsspecialist in dienst te nemen om je basisbescherming op orde te krijgen. Maar je hebt overzicht nodig. Je moet weten wat er in jouw omgeving mis is voordat je zinvolle beslissingen kunt nemen over prioriteiten.

Zet multifactorauthenticatie aan voor alle medewerkers. MFA voorkomt dat een gestolen wachtwoord direct leidt tot accounttoegang. In combinatie met de juiste instellingen is het de effectiefste basisbeveiliging die je kunt instellen. Maar MFA is het startpunt, niet het eindpunt. Aanvallers omzeilen MFA steeds vaker via technieken als adversary-in-the-middle en device code phishing.

Beperk waar en hoe medewerkers kunnen inloggen. Conditional Access policies bepalen onder welke omstandigheden een inlog wordt toegestaan. Inloggen vanuit een onbekend land, een onbeheerd apparaat of een verdacht netwerk kun je blokkeren of extra beveiligen met aanvullende verificatie. Dit beperkt wat een aanvaller kan doen, zelfs als hij een geldig sessietoken heeft.

Stel in dat alleen beheerders app-toestemmingen kunnen verlenen. Een enkele instelling in Entra ID zorgt ervoor dat medewerkers niet langer zelf toestemming kunnen geven aan externe applicaties. Als iemand op een kwaadaardige consent-link klikt, wordt de toestemming niet verleend maar komt er een verzoek bij de beheerder terecht. Dit elimineert een complete aanvalsvector.

Monitor aanmeldactiviteit structureel. De sign-in logs in Microsoft 365 bevatten alle informatie die je nodig hebt om verdacht gedrag te detecteren. Inlogpogingen vanuit meerdere landen, onbekende apparaten, verouderde authenticatiemethoden, automatische mailbox-forwarding. Het probleem is dat handmatig controleren voor de meeste organisaties niet haalbaar is. Zonder geautomatiseerde controle zie je het niet.

De vraag is niet of je iets moet doen, maar wanneer

De organisaties die in het nieuws komen hadden vrijwel allemaal hetzelfde gemeen: ze wisten dat er risico’s waren, maar er was altijd iets urgenter. Een deadline. Een vacature. Een klant die wachtte.

Tot er ineens iets urgenter was.

Je hoeft niet de volgende kop in het nieuws te worden. Maar dan moet je weten waar je nu staat.

Controleer je Microsoft 365 omgeving

Weten waar je staat begint met meten. Welke accounts vertonen verdacht gedrag? Welke instellingen in je tenant wijken af van wat erkende beveiligingsstandaarden voorschrijven? Handmatig uitzoeken kost dagen en levert zonder de juiste kennis een onvolledig beeld op.

De Risky User Analyzer van Tenant Wizards controleert automatisch op verdachte sign-in patronen, verouderde authenticatiemethoden, onbekende apparaten en meer. Tien checks analyseren het risicoprofiel van een gebruiker en leveren binnen vijf minuten een rapport met een risicoscore en concrete aanbevelingen. Je ziet direct of een account verdachte activiteit vertoont, ook als MFA actief is.

Wil je direct alle gebruikers in je Microsoft 365 omgeving in kaart brengen? Met de Risky User Tenant Analyzer scan je alle accounts tegelijk en zie je binnen minuten welke gebruikers het meeste risico lopen — gerankt op risicoscore, zodat je direct weet waar je moet beginnen.

Controleer een individueel account | Scan alle gebruikers in je tenant