Nieuws uit de technische commissie Cyber - juli 2026
Graag presenteren we de nieuwsupdate over de afgelopen periode. Vanaf nu zullen we jullie regelmatiger op de hoogte gaan houden van de belangrijkste ontwikkelingen binnen onze branchecommissie én daarbuiten. Zo zorgen we ervoor dat adviseurs meer tools en achtergrondinformatie krijgen om het (toenemende) cyberrisico met hun klanten te bespreken en dat adviseurs en leden weten wat er in de technische commissie Cyber speelt en wat er op ons afkomt.
Lees mee en ontdek wat er speelt in de technische commissie Cyber.
Shinyhunters: massaclaims, losgelddiscussie en supply chain attacks
Afgelopen maanden werd het cybernieuws gedomineerd door hackersgroepering Shinyhunters. Door misbruik te maken van configuratiefouten in de veelgebruikte CRM-software Salesforce konden zij binnendringen bij tientallen grote organisaties. Via deze wijze kregen zij toegang tot honderden miljoenen persoonsgegevens. Wij lichten drie bijzonderheden gerelateerd aan Shinyhunters nader toe:
#1 Cyberaansprakelijkheid in opkomst
In Nederland is de hack bij Odido het meest impactvolle wapenfeit geweest van Shinyhunters. De hack wordt ‘het grootste datalek ooit in Nederland’ genoemd en er is een massaclaim in de maak. Vorig jaar hebben we dit ook zien gebeuren bij het datalek van Onderzoeksinstituut Baarmoederhalskanker. Ook in deze zaak werden slachtoffers van de hack opgeroepen om zich te scharen in een class action. Het lijkt er dan ook op dat ‘cyberaansprakelijkheid’ in Nederland voet aan de grond begint te krijgen. Deze ontwikkeling kan druk gaan zetten op de verzekeringspremies voor bedrijven die met veel persoonsgegevens werken.
#2 Losgelddiscussie weer opgelaaid
Nog een bijeffect van Shinyhunters is dat in Nederland het publieke debat weer is opgelaaid over het wel of niet betalen van losgeld. Odido besloot namelijk het geëiste losgeld van een miljoen euro niet te betalen, een beslissing die niet door iedereen werd begrepen. Een miljoen euro zou immers een schijntje zijn voor Odido en niet in verhouding staan tot de schade die zou ontstaan als de data openbaar gemaakt zou worden. Wat in de beslissing echter zwaar is meegewogen, is dat Shinyhunters geen ‘dertien in een dozijn’ hackersgroepering is waar in de regel goed mee te onderhandelen valt. Sterker nog, deze hackersgroep staat er om bekend dat zij er geen enkele ethische moraal op na houden. Met de komst van Shinyhunters zijn losgeldonderhandelingen dan ook nóg complexer geworden.
#3 Supplychain attack Canvas
Een andere spraakmakende actie van Shinyhunters was de hack bij softwareplatform Canvas. Canvas wordt wereldwijd gebruikt door onderwijsinstellingen waaronder veel universiteiten. Ook tientallen Nederlandse onderwijsinstellingen konden Canvas dagenlang niet gebruiken en hadden mogelijk te maken met een datalek. Als er veel organisaties slachtoffer worden van hetzelfde incident kan dit tot cummulatie schades leiden bij verzekeraars. Dergelijke supply chain attacks kunnen de verzekerbaarheid onder druk zetten, aangezien verzekeraars juist niet hieraan blootgesteld willen worden. Tegelijkertijd pleiten deze aanvallen juist voor een cyberverzekering omdat klanten het risico bij externe dienstverleners nauwelijks zelf kunnen beheersen.
Gaat Mythos een gamechanger worden?
Er wordt in cybersecuritykringen al geruime tijd over gesproken; gaat de AI-tool Mythos ervoor zorgen dat hackers veel gemakkelijker kunnen binnendringen bij organisaties? Mythos legt namelijk op een zeer geavanceerde manier kwetsbaarheden in de software bloot. Zeer nuttig natuurlijk voor securitymedewerkers die hun organisatie goed beveiligd willen houden, maar evengoed voor hackers die hier misbruik van willen maken! Dit past in het algemene beeld dat AI zowel de beveiliging als de aanvaller sterker maakt, dus wat dat betreft niets nieuws onder de zon. Tóch wel wellicht, want veel van de door Mythos gevonden kwetsbaarheden kunnen door de softwareleverancier niet zomaar gerepareerd worden. Hier kunnen mogelijk weken of maanden overheen gaan en in de tussentijd kunnen hackers de kwetsbaarheid misbruiken. Of het écht zo’n vaart zal lopen, daar zijn de meningen over verdeeld. De verzekeringsmarkt lijkt zich in ieder geval nog geen grote zorgen te maken aangezien de markt nog onveranderd zacht is.