Hij legt uit hoe hackers vandaag de dag naar organisaties kijken en wat je daarvan kunt leren als accountantskantoor.
“Een hacker begint zelden met hacken”, vertelt Jonathan Bergers. “Er wordt eerst gekeken. Naar websites, domeinen, subdomeinen, gebruikte technieken, openstaande poorten en IP-adressen. Hiervoor zijn allemaal tooltjes waar je betrekkelijk eenvoudig aan kunt komen. Wat een organisatie online prijsgeeft, gebruikt een hacker als vertrekpunt om mogelijke zwakke plekken in kaart te brengen.”
Volgens Bergers onderschatten veel organisaties hoeveel informatie al online en openbaar zichtbaar is. “Eigenlijk alles wat is verbonden met het internet kun je enigszins inzien.” Daarmee doelt hij niet alleen op websites, maar ook op gebruikte cloudomgevingen, serverinformatie, gekoppelde applicaties en soms zelfs interne structuur. “Als ik vijf minuten naar een gemiddeld accountantskantoor kijk, weet ik vaak al welke cloud ze draaien, waar hun website draait, welke domeinen ze hebben en welke aanvalsmogelijkheden er zijn.”
Digitaler is niet kwetsbaarder
Toch betekent toenemende digitalisering niet automatisch veel of meer kwetsbaarheid. Integendeel zelfs. Grote organisaties zijn volgens hem vaak beter beveiligd, simpelweg omdat ze meer investeren en meer hebben te verliezen. “Een bedrijf is zo veilig als de zwakste schakel. Maar een bedrijf dat investeert in beveiliging is uiteraard moeilijker te hacken dan een bedrijf dat dat niet doet.”
De echte ingang zit bovendien lang niet altijd in techniek. “Mensen zijn eigenlijk altijd de zwakste schakel”, zegt Bergers. Volgens hem draait het bij veel aanvallen uiteindelijk om social engineering: “Mensen manipuleren, bijvoorbeeld met phishing, zodat ze zelf de deur openzetten. Dat is de simpelste hack die vandaag de dag nog steeds werkt. En dat is niet omdat systemen zo slecht zijn beveiligd, maar omdat mensen te manipuleren zijn. Kijk alleen al naar de recente grootschalige cyberaanvallen waarbij niet de software, maar medewerkers werden misleid.”
Dat patroon ziet hij ook terug bij accountantskantoren. In één geval trof hij een publiek toegankelijke logbestandenomgeving aan. “Bestandsnamen en e-mailadressen van gebruikers waren zichtbaar. Vanuit daar had ik relatief eenvoudig leden kunnen benaderen met een geloofwaardig nepverhaal om inloggegevens buit te maken. Ook kon ik brute-forceaanvallen, aanvallen op laaghangend fruit, uitvoeren op accounts om in hun omgeving te komen. Heb ik niet gedaan, maar het kon wel.”
Het begint bij gedrag
Volgens Bergers denken veel organisaties dat cybersecurity vooral draait om firewalls, software en certificeringen. Terwijl hackers vaak beginnen bij gedrag. “Mensen geven wachtwoorden weg, klikken op gevaarlijke links of downloaden malware. Dat gebeurt nog steeds het vaakst.” Bewustwording binnen organisaties is veel belangrijker dan veel bestuurders beseffen. “Ze vinden het niet belangrijk totdat het te laat is.”
Ook wachtwoorden blijven een terugkerend probleem. “Gebruik geen zelfbedacht wachtwoord. Gebruik een wachtwoordmanager en hergebruik nooit wachtwoorden. Doe je dat niet, dan kun je ervan uitgaan dat hackers uiteindelijk binnenkomen.” Volgens hem leveren relatief simpele maatregelen vaak al veel winst op, mits organisaties bereid zijn daarin te investeren. “Resultaat gaat vaak nog ten koste van security, terwijl het andersom zou moeten zijn. Security beschermt je resultaat, letterlijk en figuurlijk.”
Die focus op snelheid en resultaat ziet hij vaker terug. Organisaties investeren volgens hem liever in zichtbare groei, nieuwe software of efficiëntie, maar minder snel in beveiliging. “Veel bedrijven willen alleen resultaat ten koste van veiligheid.” Dat maakt beveiliging volgens hem lastig te verkopen binnen organisaties: “Het beste resultaat van investeren in cybersecurity is dat er niks gebeurt. En dat voelt voor veel mensen niet bevredigend.”
Nieuwe ontwikkelingen maken die dreiging ondertussen groter. Vooral AI verandert het speelveld razendsnel. “Hacken wordt steeds makkelijker met behulp van AI”, zegt Bergers. “Waar hackers vroeger handmatig kwetsbaarheden moesten zoeken, kunnen AI-agents dat proces steeds verder automatiseren. Een hacker is nu tien keer efficiënter omdat AI kwetsbaarheden kan vinden én misbruiken.”
Principle of Least Privilege
Dat effect ziet hij ook terug in zogeheten supply chain attacks: aanvallen via softwarecomponenten die door duizenden andere applicaties worden gebruikt. Bergers vergelijkt het met lego-blokjes. Hackers breken in op één klein softwareonderdeel, waarna kwaadaardige code zich automatisch verspreid naar alle software die dat onderdeel gebruikt. Dat kan zich in no-time verspreiden.” Daarbij spelen leveranciers en ketenpartners volgens hem een steeds grotere rol. “Veel bedrijven geven partners veel te veel toegang.” Daarom benadrukt hij het belang van het ’Principle of Least Privilege’ (PoLP): “Je moet medewerkers en leveranciers alleen toegang geven tot wat ze daadwerkelijk nodig hebben.”
Juist daarom vindt hij het riskant dat veel organisaties nog steeds onvoldoende zicht hebben op hun eigen beveiliging. “Ze denken dat ze veilig zijn, terwijl ze geen beeld hebben van wat ze aan security doen of hebben gedaan.” Volgens hem ontbreekt het vaak niet aan documenten, maar aan concrete processen. Ook certificeringen bieden lang niet altijd echte zekerheid. “ISO-certificeringen zijn vaak een hoop papierwerk, maar geen concrete oplossingen.”
Toch hoeft verbetering volgens Bergers niet altijd ingewikkeld of een grote investering te zijn. “Een wachtwoordmanager, training rondom phishing en social engineering, wachtwoorden regelmatig roteren en duidelijke meldpunten voor kwetsbaarheden maken een enorm verschil.” Ook adviseert hij kantoren AI juist defensief in te zetten: “Bedrijven moeten AI gebruiken om hun code te scannen voor risico’s.” Awarenesstrainingen kunnen volgens hem werken: “Uiteindelijk draait beveiliging vooral om bewustzijn. Een bedrijf moet alle zwakke punten beveiligen. Een hacker heeft namelijk maar één zwak punt nodig om binnen te komen.”
Tekst: Sander Voortman
Deze bijdrage komt uit het AV-magazine met als thema ICT & AI. Dit magazine is verschenen in juli 2026: https://www.accountancyvanmorgen.nl/kennisdoc/av-2-2026-ict-ai/


Geef een reactie