Iedereen praatte over AI op Cybersec Europe 2026, maar de belangrijkste les ging er niet over.
Twee dagen lang stond Cybersec Europe bol van één thema: artificiële intelligentie. AI die aanvallen automatiseert en AI die de aanvalsoppervlakte vergroot. Elke standhouder had er een slide over, elke keynote een waarschuwing.
En toch was de meest waardevolle conclusie die wij meenamen er eigenlijk eentje die niets met AI te maken had.
We hebben twee dagen lang behoorlijk wat sessies bijgewoond om te luisteren naar wat security-experts, ethical hackers en threat researchers vandaag écht bezighoudt.
Wat ons opviel? Achter alle hype over slimme aanvallers schuilt een veel ongemakkelijkere waarheid: de meeste organisaties hebben hun fundamenten nog niet op orde. En daar verandert AI voorlopig niets aan.
Hieronder zes inzichten die we meenamen, en wat ze betekenen voor jou.
Snelle links 🔗:
1. AI is een wapen, maar nog geen toverstaf
Laten we beginnen met de olifant in de kamer. Ja, aanvallers gebruiken AI. In een sessie over offensieve AI-operaties zagen we hoe threat actors net dezelfde commerciële AI-tools inzetten die wij allemaal kennen: om phishingcampagnes te schrijven, scripts te genereren na een eerste inbraak, of om malware te helpen ontwikkelen.
Eens iets werkt, kunnen ze het schalen. Dat is reëel en het is geen sciencefiction meer. Maar er zat een belangrijke nuance in dat verhaal. Automatisering staat niet gelijk aan impact. AI zoekt vandaag nog te breed. Het mist de menselijke precisie die nodig is voor de echt gerichte, gevaarlijke aanvallen.
Een hallucinatie van een taalmodel kan een volledige campagne in de war sturen. En om een specifiek, hoogwaardig doelwit te raken, heb je nog steeds een mens nodig die exact weet wat hij zoekt.
2.Fix eerst de basis. Dan pas de hype.
Dit was misschien wel de boodschap die het vaakst terugkwam, in verschillende bewoordingen, op verschillende podia: we moeten ons eerst zorgen maken over de fundamenten, en pas daarna over AI.
Het klinkt bijna te simpel om op een internationaal cybersecurity-event te horen. En net daarom is het zo veelzeggend. We zien organisaties investeren in geavanceerde tools terwijl basiszaken blijven liggen: verouderde toestellen die niemand nog beheert, standaardwachtwoorden die nooit zijn aangepast, systemen die niemand patcht omdat niemand weet dat ze bestaan.
Uit de praktijk
In één verhaal over een geslaagde inbraak bleek de toegangspoort tot het volledige netwerk… een vergeten printer met de standaardlogin er nog op. Geen geavanceerde AI-aanval. Gewoon een opening die er al jaren was en die niemand had opgemerkt.
De boodschap is niet dat je geen geavanceerde tools mag inzetten. Wel dat je er weinig aan hebt als de fundamenten eronder rammelen.
3. Security is geen eenmalige installatie, maar vraagt om een continue aanpak
Dit was voor ons misschien wel het belangrijkste inzicht van de twee dagen, en het hangt rechtstreeks samen met het vorige punt. Want zelfs als je je basis vandaag perfect op orde krijgt, ben je er niet.
Het patroon dat keer op keer terugkwam: de meeste organisaties behandelen security als een eenmalige installatie of project. Iets met een begin en een einde. Een grote inhaalbeweging, een audit die je vorig jaar haalde, een vinkje dat je zet en waarna je weer overgaat tot de orde van de dag.
"En net daar zit de denkfout. Een eenmalige inspanning is per definitie verouderd voor je het weet."
Vergelijk het met je conditie. Je wordt niet fit door één keer per jaar acht uur in de sportzaal te staan en dan maanden stil te zitten. Je wordt fit door elke dag een beetje te bewegen. Security werkt net zo: je hebt veel meer aan kleine, consistente stappen, elke week iets verbeteren, dan aan één heroïsche inhaalslag die je daarna laat verwateren.
Er zit nog een verborgen voordeel in die continue aanpak: je leert bij. Wie security als project doet, evalueert nooit echt. Wie er een doorlopende beweging van maakt, ziet wat werkt, wat niet werkt, en stuurt onderweg bij.
4. "Niet verbonden" betekent niet "veilig"
In OT kan je niet zomaar de IT-aanpak copy-pasten. Veel toestellen zijn legacy, je kan ze niet zomaar herstarten, en een verkeerde patch kan letterlijk een productielijn stilleggen. Dat betekent dat je begint bij passive discovery: eerst weten wát er allemaal draait, en pas dan beslissen wat je beschermt en hoe.
5. De aanval gebeurt steeds sneller
Hier komt de snelheidsfactor in beeld, en dat is waar AI wél het speelveld verandert. Niet zozeer in hoe geraffineerd aanvallen zijn, maar in hoe snel en op welke schaal ze gebeuren.
Aanvallers scannen continu naar kwetsbaarheden. Op de darkweb verschijnen elke dag tientallen tot honderden berichten over nieuwe manieren om tools te misbruiken. Lekken van inloggegevens en kwetsbaarheden, dat zijn in essentie de twee enige manieren om een netwerk binnen te raken, worden in razend tempo verhandeld en uitgebuit.
Het beeld dat bleef hangen: je wil maximale zichtbaarheid binnen je organisatie en maximale onzichtbaarheid naar buiten toe. Je moet je eigen zwakke plekken kennen vóór een aanvaller ze vindt. In een sessie over attack surface management werd het mooi samengevat: de vraag is niet óf iemand naar je openingen kijkt, maar of jij ze als eerste ziet.
Dat verandert wat we van detectie en respons mogen verwachten. Een aanval die zich in minuten ontvouwt, kun je niet bestrijden met een proces dat dagen nodig heeft om op gang te komen. Wie kijkt er mee om 2 uur ‘s nachts op een zondag? Het is een ongemakkelijke vraag, maar wel de juiste.
6. Technologie én mens. Nooit het een zonder het ander.
"Een aanvaller hackt niet zozeer een systeem, hij hackt de mensen erachter."
Helpdesks, beheerders, accounts met veel rechten, dát zijn de doelwitten. En het werkt verbluffend goed, om een heel menselijke reden: ons brein houdt van efficiëntie.
We filteren de hele dag informatie weg om snel te kunnen handelen. Aanvallers buiten net die efficiëntie uit. In één voorbeeld waren aanvallers via een phishingmail in 25 minuten binnen, met genoeg rechten om in officiële systemen aanpassingen te doen die je niet voor mogelijk houdt.
De les is niet dat je je mensen moet wantrouwen. Wel dat awareness-trainingen pas werken als ze consistent zijn en aansluiten bij de échte rol van iemand in de organisatie. Een eenmalige sessie waar iedereen hetzelfde generieke verhaal krijgt, verandert weinig. Skill-based, herhaald, en gekoppeld aan wat die persoon dagelijks doet, dáár zit het verschil.
En tegelijk: de technologie mag je nooit loslaten. Want je verdediging is zo sterk als de zwakste van de twee. Een perfect getraind team dat op een lek systeem werkt, is even kwetsbaar als een dichtgetimmerd systeem waar iemand zijn wachtwoord weggeeft.
Waar dat ons brengt
Als je deze zes inzichten naast elkaar legt, zie je een rode draad: de bedrijven die het in 2026 goed gaan doen, zijn niet noodzakelijk de bedrijven met het duurste platform of de meest geavanceerde AI.
Het zijn de bedrijven die hun basis op orde hebben. En die basis is een stuk minder spectaculair dan je denkt, maar wel waar de meeste incidenten écht beginnen.
Maar wat is die basis?
- Ze weten precies welke systemen, servers en toestellen er bij hen draaien, want je kunt onmogelijk beschermen wat je niet eens in kaart hebt.
- Ze hebben overal multifactor-authenticatie aanstaan, zodat één gelekt wachtwoord niet meteen de voordeur openzet.
- Ze zorgen dat wachtwoorden effectief vernieuwd worden in plaats van jarenlang dezelfde te laten staan.
- En ze laten geen vergeten, onbeheerde toestellen op hun netwerk hangen waar niemand nog naar omkijkt, want net dát is vaak de opening die een aanvaller zoekt.
Bovenop die basis gaat het dan om de bedrijven die continu stappen blijven nemen, die snel kunnen detecteren én reageren, en die hun mensen even serieus nemen als hun technologie.
Gerelateerde artikelen
Wil je jouw basis in orde brengen of eindelijk vooruitgang boeken met een continue aanpak?
Met onze continuous security oplossing (CSx) zetten we maand na maand stappen vooruit.
We brengen jouw volledige omgeving in kaart en zorgen dat je eindelijk een overzicht krijgen van waar jouw prio’s nu echt liggen.