Trendrapport: Meeste cyberincidenten niet veroorzaakt door innovatieve aanvallen, maar door achterstallig onderhoud

Hunt & Hackett Trend Report 2026 onthult impact van tekortkomingen binnen organisaties van cyber hygiëne op basis van 54.000 incidentanalyses in 2025.
Van alle incidentresponsetrajecten was 71 procent financieel gemotiveerd. Ransomware kwam het meest voor (43%), gevolgd door emailfraude (29%).
In 86 procent van de incidentresponsezaken belemmerde onvolledige logging en monitoring de detectie.
Den Haag, 23 februari 2026 – Cyberaanvallen slagen in de meeste gevallen niet dankzij innovatieve technieken van criminelen, maar simpelweg omdat organisaties de basale cybersecurity hygiëne niet op orde hebben. Achterstallig IT-onderhoud, zwakke identiteitsbeveiliging en gebrekkige monitoring vormen onder andere de oorzaak. Dit blijkt uit het 2026 Hunt & Hackett Trend Report, gebaseerd op 54.400 SOC- en IR incidentanalyses in 2025.

Jurjen Harskamp, CEO Hunt & Hackett is bezorgd: “Ons trendrapport laat zien dat bekende en relatief eenvoudige aanvalstechnieken al een grote impact kunnen hebben op organisaties. Dit terwijl de complexiteit van de dreigingen in hoog tempo toeneemt. Aanvallen worden geavanceerder en moeilijker te detecteren. Dat betekent dat veel organisaties structureel achterlopen op de realiteit. Nieuwe wet- en regelgeving helpt, maar verandert weinig aan die fundamentele kloof. Zonder een serieuze inhaalslag in weerbaarheid is de kans groot dat we de komende jaren juist méér incidenten gaan zien, niet minder.”
Bekende technieken, voorspelbare gaten

De data laat zien dat aanvallers vooral misbruik maken van zwakke plekken in de identiteitsbeveiliging, zoals gestolen inloggegevens, niet-gepatchte kwetsbaarheden in internetgerichte systemen en langdurige kwetsbaarheden door opgebouwd achterstallig IT-onderhoud.

In de meeste gevallen waren de gebruikte technieken al lang bekend, uitvoerig gedocumenteerd en detecteerbaar met de juiste controles. Toch blijkt het in complexe IT-omgevingen lastig voor organisaties om die controles structureel en op schaal te implementeren en te onderhouden.

Zoals Harskamp uitlegt: “In grote organisaties met complexe IT- en OT-omgevingen is het allesbehalve eenvoudig om alles veilig te houden. In de loop der tijd stapelen kwetsbaarheden zich op door legacysystemen, ingebedde componenten en complexe afhankelijkheden die vaak slechts gedeeltelijk worden begrepen. Omdat systemen gelaagd en onderling verbonden zijn, kan het oplossen van één kwetsbaarheid elders gevolgen hebben. Juist van deze hiaten en vertragingen maken aanvallers gebruik.”

Naast de bekende technieken breidt het speelveld van de aanvaller zich ook uit. Naast het benutten van de groeiende aanvalsoppervlakte en het gebruiken van achterstallig onderhoud verschuift de focus ook naar identiteitsgerichte aanvallen en het gebruik van generatieve AI. Het wordt voor organisaties steeds lastiger om aanvallen te voorkomen of detecteren.

Financieel motief grootste zorg

Van alle incidentresponsetrajecten die Hunt & Hackett behandelde in 2025 was 71 procent financieel gemotiveerd. Ransomware kwam het meest voor (43%), gevolgd door emailfraude (29%). Toegang werd vaak verkregen via kwetsbare remote services, edgeapparaten of het gebruik van gestolen inloggegevens.

In 86 procent van de incidentresponsezaken belemmerde onvolledige logging en monitoring de detectie. Ontbrekende auditlogs, beperkte logretentie of systemen die buiten het securitybereik vielen, gaven aanvallers ruimte om onopgemerkt binnen te komen.

Cloudomgevingen, apparaten met directe internettoegang en afhankelijkheden van leveranciers vergroten het aanvalsoppervlak. Succesvolle aanvallen worden vooral mogelijk doordat preventie, zicht en regie ontbreken; echt innovatieve technieken spelen (vooralsnog) een kleinere rol.

Structureel probleem, geen kennisgebrek

Bij het merendeel van de incidenten ontbraken basisvoorwaarden voor preventie, effectieve detectie en onderzoek. Denk aan voldoende logretentie, consistente monitoring en geteste responsplannen.

Ronald Prins, medeoprichter van Hunt & Hackett: “We praten al jaren over het oplossen van ‘lowhanging fruit’. Het probleem is geen gebrek aan bewustzijn, maar een gebrek aan uitvoeringskracht. Veel organisaties implementeren securitytools en gaan ervan uit dat die alles afvangen, maar effectieve bescherming vraagt om zichtbaarheid over het volledige aanvalspad, niet om steeds meer losse tools.”

Organisaties investeren volop in tooling, maar onderschatten hoe essentieel governance, onderhoud en continue controle zijn om die tooling effectief te laten werken.

Digitale soevereiniteit begint bij controle

Het rapport plaatst deze bevindingen in de bredere context van toenemende afhankelijkheid van cloudplatforms en externe leveranciers.

Digitale soevereiniteit gaat volgens Hunt & Hackett in de kern niet over de fysieke locatie van data, maar over controle en inzicht. Zonder betrouwbaar zicht op wat er binnen systemen en netwerken gebeurt, blijft effectieve detectie en respons beperkt. De eerste stap is daarom zicht krijgen op de securitydata onafhankelijk van het cloudplatform zodat de meldingen en inzichten verifieerbaar zijn.

Wat organisaties nu kunnen doen

Het rapport benoemt vier prioriteiten die het risico direct verlagen:
Versterk identiteitsbeveiliging
Beperk overmatige toegangsrechten, bescherm beheerdersaccounts en dwing sterke multifactor-authenticatie af.

Beperk blootstelling
Patch internetgerichte systemen snel en verwijder onnodige diensten van het publieke internet.

Vergroot zichtbaarheid
Zorg dat kritieke systemen securitylogs genereren, monitor deze actief en bewaar deze lang genoeg (liefst onafhankelijk van het cloudplatform) voor incidentonderzoek, proactieve detectie en threat hunting.

Test respons
Oefen incidentresponsescenario’s en zorg dat forensisch bewijs snel veiliggesteld kan worden.

Over het Trend Report 2026

Het 2026 Hunt & Hackett Trend Report is gebaseerd op operationele data van het Security Operations Centre en het Incident Responseteam in Nederland, aangevuld met inzichten van externe experts. Het rapport biedt een praktijkgedreven blik op hoe cyberaanvallen zich daadwerkelijk ontwikkelen en waar structurele kwetsbaarheden blijven bestaan. Het rapport gaat verder in op hoe geopolitieke spanningen, gedeelde methodes van hacktivisten, staten en cybercriminelen en onze digitale soevereiniteit de cyberveiligheid in Nederland beïnvloed. Lees het trendreport hier.

###
Over Hunt & Hackett

Hunt & Hackett helpt Europese bedrijven bij het voorkomen, detecteren en bestrijden van de meest geavanceerde aanvallen van dit moment en beschermt zo tegen digitale dreigingen en spionage. Door gebruik te maken van threat modelling en datawetenschap bouwt, beheert en onderhoudt Hunt & Hackett digitale immuunsystemen die organisaties beschermen tegen Advanced Persistent Threat (APT)-groepen en minder geavanceerde vormen van cybercriminaliteit, zoals phishing en ransomware.

De aanpak van Hunt & Hackett onderscheidt zich door een proactieve focus: het actief opsporen van signalen van bestaande compromitteringen en het inzetten van hackingtechnieken voor validatie en verbetering. Dit gebeurt met datagedreven feedbackloops die klanten voorzien van concrete inzichten. Hierdoor kunnen organisaties hun cyberrisico’s beheersen en hun meest waardevolle digitale assets beschermen, zodat zij digitale transformatie veilig kunnen omarmen.
Persvragen