Hoe zet je een goed cybersecuritybeleid op? Sándor Incze, CISO bij CM.com, legt stap voor stap uit wat hij gedaan heeft om CM.com tegen cybercriminelen te beschermen. “Het gaat niet om één of enkele goede maatregelen”, zegt hij. “Het gaat om het geheel.”
Sándor vergelijkt cybersecurity met het computerspel bubble shooter dat in de jaren ’90 populair was. Dit spel bestaat uit een veld met gekleurde ballen. Als speler heb je de mogelijkheid om telkens een andere kleur ballen weg te schieten.
“Zo werkt het ook met cybersecurity”, legt Sándor uit. “Iedereen wordt continu op een andere manier aangevallen. Als je dat niet ziet, dan kijk je mogelijk niet goed genoeg. Ook bij CM.com zien we deze aanvallen voorbij komen. Daarom hebben we een heel pakket aan mitigerende maatregelen nodig om tegen al die bedreigingen beschermd te zijn.”
Kun je allereerst uitleggen wat CM.com voor bedrijf is? Wat doen jullie?
“CM.com biedt cloud software waarmee bedrijven hun klantervaring verbeteren. Met ons communicatie- en betalingsplatform kunnen zij het contact met klanten via mobiele kanalen automatiseren en personaliseren. Onze software wordt bijvoorbeeld gebruikt door evenementorganisaties voor de kaartverkoop en om in contact te zijn met fans of bezoekers, zoals bij voetbalwedstrijden en de Formula 1 Heineken Dutch Grand Prix. We verzorgen het hele traject: van de kaartverkoop tot aan de QR-code die bij de ingang wordt gescand en het contact tussendoor via een chatbot of WhatsApp. Ook het bestellen en betalen van drankjes op de locatie kan, met onze software, allemaal via de mobiele telefoon. CM.com is in 1999 opgericht in Breda. Inmiddels zitten we in ruim 20 landen en hebben we wereldwijd ruim 800 medewerkers.”
Waar begint voor jou een goed cybersecuritybeleid?
“Een cybersecuritybeleid heeft geen begin en einde. Alle maatregelen die we nemen zijn even belangrijk. Maar laten we voor het gemak beginnen bij de gebruikers, dus de medewerkers van ons bedrijf. Het is belangrijk dat de medewerkers weten wat zij kunnen doen om cybercriminelen buiten de deur te houden. Niet alleen op het werk, maar ook thuis en bij familie en vrienden. Daarom krijgen alle medewerkers (van de receptionisten tot de directieleden) elke maand een verplichte e-learning over security awareness aangeboden. We behandelen daarin telkens een ander thema, zodat zij een goede basiskennis krijgen. De medewerkers worden zo onze eerste ‘human’firewall. Als softwarebedrijf hebben we natuurlijk ook veel ontwikkelaars in dienst. Voor hen worden aanvullende trainingen georganiseerd. Hierin wordt bijvoorbeeld uitgelegd hoe ze veilige software kunnen blijven ontwikkelen.”
Wat is stap 2?
“De computers waar de medewerkers mee werken. We doen er alles aan om dat zo veilig mogelijk te maken. Alle computers worden beschermd met endpoint protection, daar kun je eigenlijk niet meer omheen in deze tijd. Diverse leveranciers bieden dit aan. Bovendien worden alle computers, vanuit onze centrale ICT-afdeling, gepatcht (bijgewerkt, ge-update). De gebruikers hebben daar eigenlijk geen omkijken naar. Ze zien alleen op hun beeldscherm staan dat het systeem aan het updaten is. Dit patchen gaat in een hoog tempo. Zodra er een nieuwe kwetsbaarheid bekend wordt, worden de betrokken systemen gepatcht.”
En wat is stap 3?
“Het e-mailverkeer. E-mails kunnen gevaarlijke berichten bevatten, daarom worden deze gescand. Voor de diepgravers dien je ook na te denken over datalekken via het uitgaande e-mailverkeer en daar passende maatregelen voor te nemen, zoals het tonen van een bevestiging pop-up in specifieke situaties. E-mails kunnen ook Word- en Exceldocumenten met macro’s bevatten. Met zo’n macro download het programma automatisch gegevens van het internet. Mijn advies is om het gebruik van macro’s standaard niet toe te staan.”
Ondanks deze maatregelen zullen cybercriminelen toch proberen om jullie systemen binnen te dringen. Hoe houden jullie hen zo goed mogelijk tegen?
“We hebben daarvoor een Security Operations Centre (SOC) ingericht. In het SOC zien we vanuit welke locatie een gebruiker probeert in te loggen en wat hij aan het doen is.”
Mochten cybercriminelen toch jullie systemen binnendringen, hoe zorgen jullie er dan voor dat zij zo weinig mogelijk schade aanrichten?
“Iedereen die al wat langer meeloopt in de wereld van netwerken en security, weet dat je je netwerk moet opdelen in kleinere stukken (segmenteren), zodat de schade bij een incident beperkt blijft tot dat segment. Wil je het nog een stap verder trekken, dan kun je gaan denken aan het toepassen van Zero Trust Access. Dit wil zeggen dat het hele netwerk in principe voor iedereen gesloten is. De gebruikers krijgen alleen nog maar toegang tot de tools die zij voor hun werk nodig hebben. Je krijgt dus toegang tot applicaties en niet tot een netwerk. Dit is wel een andere manier van denken, merk ik.”
Zijn er meer maatregelen waarmee je de schade bij een aanval kunt beperken?
“Zeker. Denk ook aan een goed beleid rondom het stapelen van autorisaties. Medewerkers die lang bij een bedrijf werken, krijgen vaak steeds meer autorisaties. Telkens als zij een andere functie krijgen, komen er weer autorisaties bij. Daardoor krijgen medewerkers vaak toegang tot een groot gedeelte van het netwerk. Iets wat je absoluut wilt voorkomen. Zero Trust Access gekoppeld aan je profiel in bijvoorbeeld de Active Directory kan daarbij helpen.”
Hoe test je of jullie cybersecurity op orde is?
“Dat doen we met pentesting. Zoals vele bedrijven hebben we een (publiek) bug bounty programma. Dit is een programma waarbij ethische hackers proberen om kwetsbaarheden (bugs) op te sporen in onze systemen. Zij krijgen betaald voor elke kwetsbaarheid die ze vinden. In het begin levert zo’n programma veel op. Na verloop van tijd wordt het steeds moeilijker om nog iets te vinden. Zij dragen nu dus minder kwetsbaarheden aan dan in het begin. Toch blijft het belangrijk dat zij dit werk doen, want elke kwetsbaarheid is er één teveel. Het geeft ook een morele boost aan de developers. De kwaliteit van hun werk is zichtbaar omhoog gegaan. Daarnaast werken we samen met externe bureaus waaronder digiweerbaar.nl. Zij voeren minimaal twee keer per jaar een onafhankelijke pentest voor ons uit. Het voordeel van een extern bureau is dat je hen in specifieke gevallen een aanvullende toegang kunt geven zodat ze dieper in het systeem kunnen doortesten. Bovendien hebben ethische hackers soms de neiging om zich te focussen op de applicaties waar zij de meeste kwetsbaarheden verwachten. Een extern bureau kunnen we vragen om de applicaties te testen waar de ethische hackers minder aandacht voor hebben.”
Heb je een tip voor bedrijven die met pentesting aan de slag gaan?
“Laat ook eens een pentester in-house plaatsnemen als een soort insider threat en hem uitzoeken wat hij kan vinden met een regulier medewerkers-account.”
Daarnaast maken jullie natuurlijk back-ups. Wat vind je daarin belangrijk?
“Dat de gegevens offline opgeslagen zijn. Daarmee voorkomen we dat cybercriminelen tijdens een aanval ook de back-ups aantasten. Daarnaast vind ik het belangrijk om regelmatig te testen of het lukt om de back-ups terug te zetten.”
Welk advies zou je andere bedrijven geven als het gaat om het maken van back-ups?
“Bepaal per systeem wat de beste back-upstrategie is. Om een voorbeeld te geven: bij een computer zit een virus vaak in het besturingssysteem en niet direct in de data (denk aan een database). Dus als je een back-up maakt van het hele systeem, neem je ook het virus daarin mee. Bij een database kun je er ook voor kiezen om alleen de data uit de database te back-uppen en niet het hele systeem. Na een incident kun je dan het systeem vaak eenvoudiger herstellen.”
Kun je nog meer maatregelen noemen die jullie genomen hebben tegen cybercriminaliteit?
“Zeker. We hebben bijvoorbeeld maatregelen genomen om ons te weren tegen het grote, boze internet. Hiervoor hebben we een Network Operations Centre (NOC) ingericht. Zij grijpen in als ze zien dat we vanaf het internet worden aangevallen en er mogelijke operationele verstoringen dreigen. Ook werken we samen met partijen die ons kunnen beschermen tegen DDOS-aanvallen. Bij een DDOS-aanval krijgen we veel verzoeken op ons systeem binnen. Daar zit natuurlijk ook onschuldig internetverkeer bij. Een partij die helpt bij DDOS-aanvallen zal het verkeer eerst ‘schoon wassen’ waardoor je schoner verkeer terug krijgt en waardoor je eigen systemen niet onderuit gaan.”
Welke tips heb je nog meer als het om dit onderwerp gaat?
“Let ook op het gebruik en onderhoud van beveiligingscertificaten. Dat is het groene slotje dat gebruikers voor elk webadres zien. Als je dit proces op orde hebt, zorg je altijd voor een beveiligde en dus veiligere verbinding tussen jou en je klant. Veel bedrijven nemen bovendien allerlei clouddiensten af van andere bedrijven. Mijn advies is om te zorgen dat het gebruikersbeheer van die externe clouddiensten ook centraal wordt geregeld en wordt bijgehouden bijvoorbeeld met Single sign-on (SSO). Dit betekent dat wij als bedrijf een account voor een medewerker aanmaken. Dit account komt automatisch te vervallen als zij uit dienst gaan.”
Je hebt een groot pakket aan maatregelen genomen om CM.com te beschermen. In hoeverre is de directie betrokken bij de keuzes die je maakt?
“De directie is zeer betrokken. Ik heb elke 3 weken een gesprek met onze CEO. Het voordeel is dat hij technisch ook zeer onderlegd is. Ik vind zo’n gesprek belangrijk om ook uit te kunnen leggen welke nieuwe bedreigingen we zien en welke maatregelen we daartegen kunnen nemen. Bovendien heb ik het geluk dat onze directie cybersecurity erg belangrijk vindt. Daardoor krijgen ik en mijn team de ruimte en het budget om de maatregelen te nemen die nodig zijn om het bedrijf goed te beschermen.”
Er zijn natuurlijk ook bedrijven die minder budget vrijmaken voor cybersecurity. Welk advies zou je hen willen geven?
“Zorg in ieder geval dat je de basis op orde hebt, zoals endpoint protection, het maken van back-ups en het regelmatig patchen van je systemen. Begin ook met een gratis web application firewall van bijvoorbeeld Cloudflare. Het maakt cybercriminelen over het algemeen niets uit welke diensten je aanbiedt. Ze hacken de organisaties waar ze het gemakkelijkste binnen komen. Dus als je de basis op orde hebt (vergelijk het met een woning en het hang- en sluitwerk), dan is het vaak al lastiger om bij jou binnen te komen en gaan ze het mogelijk bij de buren proberen.”
Bron: decrisismanager.nl | Maaike Tindemans
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Inschrijven voor wekelijkse nieuwsbrief
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer actueel cybercrime nieuws
Dataverrijking: waarom het Odido lek gevaarlijker is dan je denkt
Op 1 maart publiceerde de hackersgroep ShinyHunters de volledige dataset van Odido op het darkweb. Gegevens van 6,5 miljoen personen en 600.000 bedrijven liggen nu open en bloot op internet. Namen, adressen, IBAN nummers, geboortedatums, paspoortnummers en zelfs BSN nummers van zzp'ers. Maar het echte gevaar van dit datalek zit niet in wat er gestolen is. Het zit in wat criminelen er straks mee gaan doen.
Odido finale: 6,1 miljoen op straat, overheid kwetsbaar
Het datalek bij Odido heeft zijn definitieve omvang bereikt. Beveiligingsonderzoeker Troy Hunt bevestigt dat de gegevens van 6,1 miljoen klanten inmiddels op het darkweb staan, inclusief burgerservicenummers van zelfstandigen. In Den Haag stapelen de zorgen zich op, de Dienst Justitiële Inrichtingen werd vijf maanden lang bespioneerd via een kwetsbaarheid in Ivanti, de Belastingdienst vertrouwt het systeem voor de omzetbelasting toe aan een Amerikaans bedrijf en duizenden applicaties op het Mendix platform lekken wereldwijd gevoelige data. Het IBM X-Force rapport onthult dat een kwart van alle cyberaanvallen op Europa is gericht, terwijl het Nederlandse Jaarbeeld Ransomware laat zien dat gehackte accounts de belangrijkste aanvalsmethode zijn geworden. Dit journaal bestrijkt het nieuws van 28 februari tot en met 2 maart 2026.
NB407: Jouw Odido data staat nu op het darkweb
Deze week werd het ergste scenario werkelijkheid: ShinyHunters publiceerde de gestolen gegevens van honderdduizenden klanten van Odido op het darkweb, inclusief IBAN nummers en paspoortnummers. We leggen uit wat criminelen nu over jou weten en welke stappen je moet nemen. Daarnaast gebruikte een Russische hacker AI om meer dan 600 FortiGate firewalls te kraken, misbruikte een hacker Claude AI voor een overheidshack en onthulde Google een Chinese spionagecampagne die bijna tien jaar lang 53 organisaties bespioneerde. CrowdStrike meldde dat AI aanvallers in recordtijd van 27 seconden door netwerken bewegen. Tot slot zoekt de politie een verdachte van bankhelpdeskfraude bij een goudsmid in Naarden. Lees alle details in de zes artikelen van deze week.
Odido data op straat, AI hackt overheden en Chinese spionage
Het ultimatum van hackersgroep ShinyHunters is verlopen en de gestolen gegevens van honderdduizenden Odido klanten staan op het darkweb. In de eerste publicatie verscheen data van 430.000 particulieren en 290.000 zakelijke klanten, waarna een dag later opnieuw klantgegevens werden vrijgegeven. De politie adviseert bedrijven expliciet niet te betalen. Tegelijkertijd misbruikte een hacker het AI model Claude om 150 gigabyte aan gegevens van de Mexicaanse overheid te stelen, en integreert Kali Linux nu AI voor penetratietesten. Google onthulde een Chinese spionagecampagne die bijna tien jaar lang 53 organisaties in 42 landen bespioneerde, terwijl de Tweede Kamer vragen stelt over een killswitch in Chinese bussen. Dit journaal bestrijkt het nieuws van 26 en 27 februari 2026.
Goudsmid in Naarden voor tonnen opgelicht
Een goudsmid uit Naarden is in oktober 2025 slachtoffer geworden van een geraffineerde vorm van bankhelpdeskfraude. De vrouw werd eerst telefonisch benaderd door iemand die zich voordeed als medewerker van haar bank. Vervolgens verscheen een man op de afgesproken locatie die haar tas vol sieraden, goud en contant geld meenam. De geschatte schade loopt op tot enkele honderdduizenden euro's. De politie heeft camerabeelden van een verdachte en doet een dringend beroep op getuigen.
ShinyHunters publiceert gestolen Odido data: "Dit is jullie schuld"
Wat veel Odido klanten vreesden, is vandaag werkelijkheid geworden. De hackersgroep ShinyHunters heeft de eerste lading gestolen klantgegevens gepubliceerd op het darkweb. Op hun eigen website verscheen vandaag een map met de naam "pay_or_leak" waarin een bestand met de titel "Information.txt" en een map "day1" staan. De boodschap van de criminelen is even kort als dreigend: Odido heeft geweigerd te betalen, dus nu betalen de klanten de prijs.
ShinyHunters eist miljoenen, AI breekt door in 27 seconden
De hackersgroep ShinyHunters eist miljoenen euro's losgeld van Odido en dreigt de gestolen data van miljoenen klanten openbaar te maken. Diezelfde groep blijkt ook achter datalekken bij CarGurus, Optimizely en tientallen andere organisaties te zitten. Het CrowdStrike Global Threat Report 2026 onthult dat aanvallers met behulp van AI nu gemiddeld in 29 minuten door een netwerk bewegen, met een record van slechts 27 seconden. Ondertussen kopieerden drie Chinese bedrijven op illegale wijze de mogelijkheden van het Claude AI model via 16 miljoen queries. In Nederland en Belgie sluiten instanties de rijen: SIDN verwijderde honderden kwaadaardige domeinen, DNB neemt extra maatregelen en Firefox lanceert een schakelaar om alle AI functies uit te zetten. Dit journaal bestrijkt het nieuws van 24 en 25 februari 2026.
Gehackt bij Odido: wat criminelen nu over jou weten
🚨 Update 26 februari: ShinyHunters publiceert gestolen Odido data: "Dit is jullie schuld"
AI kraakt 600 firewalls, beurzen dalen en Odido escaleert
Een Russisch sprekende hacker gebruikte kunstmatige intelligentie om in vijf weken meer dan 600 FortiGate firewalls te compromitteren, terwijl de lancering van Claude Code Security een schokgolf door de cybersecuritymarkt stuurde. De software supply chain blijft onder vuur: meer dan 30.000 OpenClaw instances werden gecompromitteerd en een nieuwe npm worm richt zich specifiek op AI coding tools. In Nederland en Belgie escaleert de nasleep van het datalek bij Odido met risico's voor bankrekeningen, verloor een Belgische kerkfabriek 100.000 euro door factuurphishing en kregen advocaten een tik op de vingers voor verkeerd gebruik van AI in de rechtszaal. Dit journaal bestrijkt het nieuws van 21, 22 en 23 februari 2026.
NB406: PromptSpy kapt je Android en 90% ransomware via je firewall
Deze week verscheen de social engineering techniek ClickFix in maar liefst vier varianten waarmee aanvallers slachtoffers verleiden om zelf malware te installeren. In België kwamen gevoelige gegevens op straat en de NAVO sloeg alarm. Onderzoekers onthulden hoe aanvallers het geheugen van AI vergiftigen, de Odido-soap groeide verder en de beruchte ransomwarebende LockBit kondigde versie 5.0 aan. ESET ontdekte PromptSpy, de eerste malware voor Android die Google Gemini AI misbruikt, het Delftse architectenbureau cepezed verscheen op de leksite van ransomwaregroep DragonForce en een nieuw rapport onthulde dat 90% van alle ransomware begint bij kwetsbare firewalls. Tot slot zoekt de politie een nepagent die via een babbeltruc een kluis stal van een oudere vrouw in Breda. Lees alle details in de vier artikelen van deze week.
PromptSpy, cepezed gehackt en 90% ransomware via firewalls
Onderzoekers van ESET onthulden PromptSpy, de eerste malware voor Android die Google Gemini AI misbruikt om gestolen gegevens te analyseren, terwijl op ClawHub 1.184 kwaadaardige skills werden aangetroffen en de populaire coderingstool Cline slachtoffer werd van een supply chain aanval. In Nederland en België verscheen het Delftse architectenbureau cepezed op de leksite van de ransomwaregroep DragonForce en claimde een cybercrimineel 27.000 personeelsgegevens van RTL Group te hebben buitgemaakt. Een nieuw rapport van Barracuda laat zien dat 90% van alle incidenten met ransomware begint bij kwetsbare firewalls en VPN. Dit journaal bestrijkt het nieuws van 18 en 19 februari 2026.
Nepagent steelt kluis bij babbeltruc in Breda
Een oudere vrouw uit de wijk IJpelaar in Breda werd op woensdag 3 september 2025 gebeld door iemand die zich voordeed als politieagent. Even later stond een jonge verdachte voor haar deur, die er met haar kluis vandoor ging. De kluis werd later teruggevonden, maar de inhoud was verdwenen. De politie zoekt de verdachte via Bureau Brabant en vraagt het publiek om hulp.