Plan een security-check van 15 minuten
In 15 minuten lopen we samen je belangrijkste risico’s langs. Je gaat weg met duidelijkheid over jouw situatie, zonder verplichtingen.
Cloud Expo 2025: waarom één klik genoeg is voor een security-incident
Label:
blog
door ilionx op 16 december, 2025
Filter:
security
Wat we leerden op Cloud Expo 2025 over de nieuwe security-realiteit
Twee dagen Cloud Expo, tientallen gesprekken. En steeds hetzelfde beeld: organisaties die volop investeren in groei, cloud en AI, maar security pas later bedenken. Of erger: denken dat het al geregeld is. Je merkt dat veel bedrijven zich focussen op groei en development, maar niet nadenken over de security-gevolgen," zegt Jeroen Reintjens, Accountmanager Security bij ilionx. "Ze maken applicaties, migreren naar de cloud, maar het stukje security komt pas later. Of helemaal niet."
Het zegt iets over hoe snel het speelveld is veranderd. In dit artikel delen we drie inzichten die in gesprekken tijdens Cloud Expo steeds terugkwamen.
Copilot doorzoekt je data: voor jou, of voor de aanvaller
De meeste organisaties zien AI als productiviteitstool. Bijvoorbeeld Microsoft Copilot die documenten samenvat, antwoorden genereert en zoekwerk overneemt. Handig. Maar diezelfde kracht werkt ook de andere kant op. "Veel bezoekers realiseerden zich niet direct wat het betekent als een aanvaller toegang krijgt tot een account met Copilot.", vertelt Jeroen. "Die hoeft niet meer zelf te zoeken. Hij vraagt gewoon aan de Copilot: 'Geef me alle documenten die als classified staan.' De LLM doet het werk voor hem."
Joep Kremer, Business Unit Director Cyber Security, liet tijdens zijn sessie over AI en security zien hoe de tijdlijn van AI-dreigingen zich ontwikkelt: van basic AI-phishing in 2024, naar autonome AI-aanvallen in 2026, tot het punt waarop aanvallers jouw eigen bedrijfs-AI gebruiken om data te exfiltreren.
Het probleem is niet AI zelf. Het probleem is dat AI toegang krijgt tot alles waar de gebruiker toegang toe heeft en dat veel sneller kan doorzoeken dan een mens ooit zou kunnen. Copilot gekoppeld aan SharePoint, aan e-mail, aan interne systemen: handig voor medewerkers, maar net zo handig voor wie hun account overneemt.
De cloud is veilig, maar niet vanzelf
Een ander patroon dat we tegenkwamen is datorganisaties die migreren naar de cloud ervan uitgaan dat security is inbegrepen. De redenering klinkt logisch, je neemt een gecertificeerde partij in de arm, dus het zit wel goed. Maar zo werkt het niet.
“Wat we vaak horen: ‘We kiezen een gecertificeerde cloudpartij, dus security zit wel goed.' Maar de cloudprovider levert het platform en de basisbeveiliging. Configuratie, toegang, wat developers 'even openzetten' om makkelijk te kunnen werken, dat is jouw verantwoordelijkheid. En daar gaat het mis.", aldus Jeroen.
In de praktijk zien we dit volgens hem regelmatig terug in het ilionx Security Operations Center (SOC): “Het ilionx SOC verwerkt 150.000 incidenten per jaar. Tijdens de SOC War Stories-sessie op Cloud Expo deelde onze collega Joep een case waarbij een gebruiker een firewall had opengezet om ‘lekker te kunnen werken.’ Het bedrijf geloofde eerst niet dat ze gehackt waren. Na een dubbelcheck moest de hele fabriek plat.”
Het klinkt als een uitzondering, maar het patroon is herkenbaar: iemand zet iets tijdelijk open, vergeet het terug te draaien en niemand heeft eigenaarschap over de configuratie. De cloud is veilig, maar alleen als je weet wat jouw deel van de verantwoordelijkheid is.
Eén klik en je bent binnen
De meeste mensen denken bij phishing aan slecht geschreven e-mails met verdachte links. Iets waar je met gezond verstand en een awareness-training wel doorheen prikt. Die tijd is met AI voorbij.
Scroll onderstaande tabel om meer te zien
| Jaar | Dreiging |
| 2024 | Ransomware: basic AI-phishing |
| 2025 | Deepfakes (voice & video): AI-powered attacks |
| 2026 | Autonome AI-aanvallen: AI die bedrijfs-AI gebruikt om data te stelen |
| 2027 | AI arms race: aanvallen op bedrijfs-AI-agents zijn normaal |
"Het is gewoon zo echt geworden"
"We lieten op de beurs een phishing-demo zien," vertelt Jeroen. "Eén klik en je sessie is overgenomen. Mensen schrokken echt. Zelfs wij als security-experts zouden erin kunnen trappen. Het is gewoon zo echt geworden."
De reacties in ons SOC-theater waren veelzeggend: mensen die dachten dat ze veilig zaten met MFA en een awareness-training, zagen live hoe een zogenaamde Adversary-in-the-Middle aanval dat volledig omzeilt. Hoe dat werkt legt Jeroen uit: “De aanvaller zet een phishing-site op die zich tussen jou en de echte website plaatst. Jij logt in, inclusief MFA. De aanvaller vangt de sessie-cookie op en is binnen. Geen wachtwoord nodig, geen tweede factor, niks van dat alles. Gewoon jouw actieve sessie.”
Zo werkt een AitM-aanval:
- Je ontvangt een overtuigende e-mail, bijvoorbeeld een uitnodiging om een document te ondertekenen
- Je klikt op de link en komt op een phishing-site die er exact uitziet als de echte
- De phishing-site vraagt je in te loggen en toont een MFA-scherm, nagemaakt van de echte site
- Je voert je wachtwoord en MFA-code in, zoals je gewend bent
- De aanvaller vangt de sessie-cookie op die de echte site terugstuurt
- De aanvaller is binnen, zonder je wachtwoord of MFA te hebben. Gewoon jouw actieve sessie.
Awareness helpt. Maar het is niet genoeg.
Je hebt tooling nodig die verdacht gedrag herkent vóórdat het in de inbox belandt, want op het moment dat iemand klikt, ben je te laat.
Security is meer dan antivirus
Wat deze drie voorbeelden gemeen hebben? Ze vallen buiten de beschrijving van wat veel organisaties onder ‘security’ verstaan.
"Veel bezoekers die ik deze dagen gesproken heb, denken bij security vooral aan malware en antivirus op de werkplek," zegt Jeroen. "Maar de documenten die je benadert vanuit je laptop en die de cloud in gaan, dat ziet de antivirus niet. Daar moet je iets anders voor regelen."
Het aanvalsvlak is de afgelopen jaren geëxplodeerd: van de werkplek naar de cloud, van e-mail naar AI-tooling, van servers naar SaaS-applicaties. Maar het beeld dat veel organisaties hebben van security is niet mee veranderd.
Een ander voorbeeld dat dit illustreert: op de beurs sprak Jeroen een organisatie die een bepalend onderdeel van hun infrastructuur nog niet goed had beveiligd. “Als je kernsysteem eruit ligt, stopt de omzet," vertelt Jeroen. "Dat besef was er niet, tot we het gesprek hadden. En dat is geen uitzondering. We hebben ervaring met diverse kassasystemen van grote retailers. Als die platgaan, heeft dat direct impact op de business."
De vraag is dus niet óf je ‘aan security doet’. De vraag is of wat je doet nog past bij hoe je organisatie er vandaag uitziet, met cloud, met AI, met koppelingen naar externe systemen.
Wat nu? Begin met je grootste risico's!
Het goede nieuws is dat je niet alles tegelijk hoeft op te lossen. Maar je moet wél weten waar je grootste risico's zitten. Dat was ook de insteek van de gesprekken die we voerden met bezoekers van Cloud Expo: Waar zit de meeste urgentie? Wat kun je snel oplossen? En waar heb je een langere adem voor nodig?
Drie vragen om mee te beginnen:
- Weet je welke AI-tools in je organisatie gekoppeld zijn aan interne data?
- Heb je zicht op wie verantwoordelijk is voor je cloud-configuraties?
- Hoe snel zou je het merken als een account gehackt is?
Als je over één van deze vragen twijfelt, is dat geen schande, maar wel een signaal.
Dit artikel is gebaseerd op de sessies en gesprekken die we voerden op Cloud Expo 2025. Heb je ons gemist of kon je niet op de beurs zijn? Lees hier dan meer over de sessies AI en ML: Bedreiging of kans voor security? en SOC War Stories.
Wil je meer weten over de sessies? Of ben je benieuwd naar jouw grootste security-risico's? We denken graag vrijblijvend mee, geen salespitch, maar een eerlijk gesprek over wat er speelt in jouw omgeving.
