Cyber hacks 101: wat bestuurders en toezichthouders in de cultuursector moeten weten

Digitale weerbaarheid in de culturele sector rust op drie pijlers: het beheersen van cyberrisico’s, het omgaan met kunstmatige intelligentie — met name generatieve AI — en technologische soevereiniteit: de vraag in hoeverre een organisatie afhankelijk wil zijn van Amerikaanse of andere niet-Europese hard- en software.

In een reeks artikelen zal ik deze drie thema’s nader belichten. Ik begin met cyberrisico’s.

Cyberaanvallen blijken voor veel bestuurders en toezichthouders, zeker in de culturele sector, nog altijd een onderwerp dat moeilijk te doorgronden lijkt. De gesprekken erover raken al snel verstrikt in technische termen en jargon die weinig houvast bieden voor wie uiteindelijk verantwoordelijk is voor beleid en toezicht.

Daardoor blijft vaak onduidelijk waar het in de kern om gaat: wat een cyberaanval of hack precies is, hoe die werkt en welke vormen er bestaan.

In de onderstaande ‘101’ zet ik de belangrijkste typen cyberaanvallen daarom overzichtelijk op een rij, met concrete voorbeelden uit de culturele sector (In internet- en academisch jargon betekent “101” een basisuitleg of introductie tot een onderwerp. Het verwijst naar de manier waarop vakken aan universiteiten vaak worden genummerd).

De culturele sector is een aantrekkelijke doelgroep voor ‘hackers’

Musea, festivals, theaters, ontwerpstudio’s, mediabedrijven en cultuurfondsen hebben lang de neiging gehad zichzelf te zien als onwaarschijnlijke doelwitten van cyberaanvallen. Die gedachte is begrijpelijk. Zij beheren geen elektriciteitsnetten, verwerken geen wereldwijde betalingsstromen en zijn geen ministeries van Defensie of inlichtingendiensten. Maar die oude rangorde is intussen stilletjes verdwenen. In het huidige dreigingslandschap gaan aanvallers niet alleen af op de plekken waar het meeste geld te halen is. Zij richten zich ook op organisaties waar het vertrouwen groot is, de verdediging ongelijkmatig, systemen sterk met elkaar verweven zijn en ontregeling tot haastige beslissingen kan leiden. En dat beschrijft een groot deel van de culturele en creatieve sector opvallend goed.

Drie recente rapporten (Riedel, Cloudflare en Proton) maken duidelijk waarom dat zo is en die vind je onderaan het artikel.

Hacks in drie smaken

Voor bestuurders en toezichthouders helpt het om dit landschap in drie brede categorieën te verdelen:

1. De eerste is de ethische of commerciële hack: een geautoriseerde poging om systemen te testen en kwetsbaarheden te vinden voordat een echte aanvaller dat doet.

2. De tweede is de statelijke hack: digitale activiteit die samenhangt met geopolitieke doelen, zoals spionage, het vooraf positioneren in systemen of het uitoefenen van invloed.

3. De derde is de criminele hack: financieel gemotiveerde inbraak met als doel afpersing, diefstal, sabotage of ontregeling.

De middelen kunnen overlappen. De motieven niet. En juist dat verschil in motief is voor governance van belang:

1. De ethische of commerciële hack

Dit is het domein van penetratietests, ‘red teaming,’ kwetsbaarheidsscans en het simuleren van een tegenstander. In de beste betekenis is het een gecontroleerde oefening in falen. Niet om schade toe te brengen, maar om blinde vlekken zichtbaar te maken voordat iemand met minder goede bedoelingen dat doet. Dat kan een verouderde server zijn, een zwakke identiteitsinrichting, fout geconfigureerde cloudopslag of een leverancierskoppeling die nooit volledig in kaart is gebracht. Het rapport van RIEDEL brengt een oude les opnieuw onder de aandacht: bekende kwetsbaarheden worden vaak nog uitgebuit lang nadat er al een oplossing beschikbaar was. Basale hygiëne, zoals patchmanagement, monitoring en een gestructureerde incidentrespons, maakt nog altijd het verschil tussen beheersbaar en catastrofaal. Voor een raad van bestuur of toezicht in de cultuursector is dat geen technisch detail, maar een bestuurlijk signaal. Ethisch hacken is een van de weinige manieren om veronderstelde veiligheid te vervangen door aantoonbare weerbaarheid. (Een zeer recenten ‘ethische hack’ bij McKinsey laat zien wat de volgende fase van digitaal risico is: de interne generatieve AI-assistent Lilli, die door tienduizenden consultants wordt gebruikt om te zoeken in decennia aan rapporten, analyses en presentaties, bleek kwetsbaar. Beveiligingsstartup CodeWall toonde met een autonome AI-agent aan dat zulke systemen binnen enkele uren zelfstandig zwakke plekken kunnen vinden en uitbuiten, waarmee AI de klassieke stappen van een cyberaanval sterk kan versnellen. (How we hacked Mckinseys AI-platform )

2. State Actor hacks

Aanvallen door staat gedreven aanvallers zijn allang niet meer beperkt tot het filmische beeld van een spion die diplomatieke geheimen steelt. Het rapport van Cloudflare beschrijft een wereld waarin aan staten gelieerde groepen hardnekkiger zijn, sterker op identiteit gericht en onderdeel van bredere strategische campagnes. Chinese dreigingsactoren worden bijvoorbeeld beschreven als partijen die langdurige posities zoeken in telecom, overheid en IT-dienstverlening, op een manier die wijst op voorbereiding voor toekomstige ontwrichting en drukmiddelen, niet alleen op onmiddellijke spionage. De bredere les is dat statelijke hacks steeds vaker draaien om vooraf positioneren: vroegtijdig binnendringen, geruisloos aanwezig blijven en opties opbouwen voor later.

Op het eerste gezicht lijkt een museum, theatergezelschap of uitgeverij dan geen logisch doelwit. Maar culturele instellingen beheren meer dan kunst en speelschema’s. Zij beschikken over donateurslijsten, bestuur correspondentie, contracten met kunstenaars, ongepubliceerd materiaal, salarisgegevens, internationale partnerschappen, politiek gevoelige communicatie en reputatiekapitaal. Bovendien zijn zij vaak open georganiseerd: sterk naar buiten gericht, afhankelijk van samenwerking en leunend op een lappendeken van externe platforms en tijdelijke krachten. In zo’n omgeving wordt de scheidslijn tussen spionage, beïnvloeding en opportunistisch compromitteren minder theoretisch dan veel bestuurders graag aannemen. (In maart 2026 werd het Amerikaanse medtech-bedrijf Stryker getroffen door een grote cyberaanval die wereldwijd de interne systemen verstoorde. Volgens berichtgeving verscheen op de login-schermen van medewerkers het logo van Handala, een hackgroep die door cybersecurity-experts wordt gelinkt aan Iraanse cyberoperaties. Het incident leidde tot verstoringen van het Microsoft-netwerk van het bedrijf en beperkte toegang tot interne systemen terwijl het onderzoek nog liep

US medical equipment company Stryker says cyberattack disrupted its global networks

3. De criminele hack

De derde categorie, de criminele hack, blijft voor de meeste organisaties de meest directe dreiging. Het is ook de breedste categorie. Vijf vormen verdienen daarbij bijzondere aandacht:

• De eerste is de ransomware-aanval. Ooit draaide ransomware vooral om het versleutelen van bestanden en het eisen van losgeld voor de sleutel. Dat gebeurt nog steeds, maar het model is veranderd. Steeds vaker is ransomware een afpersingsmodel geworden dat steunt op gestolen toegang en gestolen data. Het RIEDEL-rapport laat zien dat ransomware ook in de tweede helft van 2025 een van de dominante schadepatronen bleef. Cloudflare gaat verder en stelt dat moderne aanvallers vaak werken met geldige inloggegevens, of vertrouwde diensten in plaats van luidruchtige inbraaktechnieken. Criminelen slaan dus steeds vaker niet meer de deur in, maar loggen simpelweg in. Voor een culturele organisatie kan dat betekenen dat een aanvaller via een gecompromitteerd mailaccount of beheerderslogin voortbeweegt naar archieven, financiële systemen, donateursdatabases of ticketplatforms voordat iemand beseft dat het gebouw al in brand staat. (De case van het National Museum of the Royal Navy laat zien wat zo’n aanval voor schade kan toebrengen (National Museum of the Royal Navy hit by cyber attack )

• De tweede vorm is het datalek. Dat kan ontstaan via een webshop, een CRM-systeem, een cloud-opslagomgeving, een ticketpartner of een buitgemaakt wachtwoord. In culturele termen gaat het dan om ledenbestanden, bezoekersinformatie, correspondentie met begunstigers, provenance-dossiers, contracten met makers of HR-documentatie. De schade is zelden alleen technisch. Zij loopt door in meldplichten, juridische kosten, operationele afleiding en een sluipend verlies van vertrouwen. Het rapport van Proton onderstreept die zakelijke kant van vertrouwen: 66 procent van de organisaties zegt dat het aantoonbaar veilig omgaan met klantdata zeer of zelfs kritisch belangrijk is om nieuwe opdrachten of klanten te winnen. In sectoren die draaien op reputatie en relaties wordt een datalek daardoor al snel een strategische gebeurtenis in plaats van een IT-incident. (De case van de Metropolitan Opera laat dat zien: Security Gaps in Cultural Institutions )

• De derde is de insider threat of sabotage. Besturen denken bij cyberrisico nog vaak aan iets dat van buiten komt. Maar zwakke toegangsdiscipline, te ruime rechten en het informeel delen van accounts creëren risico’s van binnenuit. Proton constateert dat zelfs organisaties met password managers nog altijd inloggegevens delen via e-mail, documenten, berichtenapps en andere onveilige kanalen, terwijl gebrekkige toegangscontrole het lastiger maakt om verdacht gedrag te volgen of toegang netjes in te trekken. In de cultuursector, waar freelancers, curatoren, technici, producenten en tijdelijke samenwerkingspartners voortdurend tussen systemen en projecten bewegen, is dat geen randverschijnsel. Het zit vaak ingebakken in de dagelijkse werkwijze. (De case van het British Museum: Fired British Museum worker arrested after ‘shutting down’ museum computer systems )

• De vierde vorm is systeemuitval of datacorruptie. Niet elke digitale crisis begint met een tegenstander. Systemen vallen uit. Data raakt beschadigd. Afhankelijkheden breken. Foutieve configuraties veroorzaken storingen die van buitenaf verdacht veel op een hack kunnen lijken. Dat is van belang omdat instellingen steeds afhankelijker zijn van digitale continuïteit voor hun kernactiviteiten: ticketing, collectieregistratie, salarisadministratie, communicatie, fondsenwerving en publieksprogrammering. Een verstoring in één gekoppeld systeem kan snel leiden tot reputatieschade en operationele problemen elders. De les voor bestuurders is dat weerbaarheid niet alleen draait om het tegenhouden van aanvallers, maar ook om het snel kunnen herstellen wanneer technologie bezwijkt onder haar eigen gewicht. (De case van Crowdstrike: 2024 CrowdStrike-related IT outages )

• De vijfde vorm is de DDoS-aanval: een distributed denial-of-service-aanval die online diensten overbelast totdat zij onbereikbaar worden. Het doel is dan niet per se diefstal, maar verlamming. Cloudflare beschrijft een dreigingsomgeving waarin hyper-volumetrische DDoS-aanvallen infrastructuur in uitzonderlijk hoog tempo kunnen platleggen. Voor culturele instellingen is dat vooral relevant op momenten van maximale zichtbaarheid: de start van een kaartverkoop, een openingsweekend, een digitale première, een ledenwervingscampagne, een fondsenactie of een politiek gevoelig publicatiemoment. Als bereikbaarheid onderdeel is van de publieke opdracht, dan is een DDoS-aanval geen technisch zijspoor maar een aanval op het publieke gezicht van de instelling. (De case van Live Nation en Taylor Swift: Live Nation Entertainment blamed bots for the Taylor Swift ticket fiasco. Is it a legitimate explanation or just an excuse? )

En dan is er nog AI

AI loopt inmiddels als een elektrische stroom door alle drie categorieën heen. De kern van het Cloudflare-verhaal (zie rapporten) is dat AI de drempel verlaagt, de snelheid opvoert en aanvallers helpt om precies de verbindende lagen van moderne organisaties uit te buiten: cloud-omgevingen, SaaS-integraties en identiteitsstructuren. Het resultaat is niet simpelweg “meer hacks”, maar snellere, schaalbaardere en verder geautomatiseerde aanvallen.

Proton voegt daar de organisatorische kant aan toe. De meeste bedrijven gebruiken inmiddels cloud-services, velen zetten AI-tools in, maar het vertrouwen in de manier waarop aanbieders met bedrijfsdata omgaan blijft beperkt. Slechts 14 procent van de organisaties in het onderzoek zegt volledig vertrouwen te hebben dat cloud-providers hun data tegen datalekken kunnen beschermen, terwijl 69 procent al AI-tools gebruikt. Elke nieuwe toepassing kan de workflow verbeteren, maar ook het aanvalsoppervlak vergroten. De hack bij McKinsey laat daarbij de ‘state of the art’ zien, een AI-agent die het allemaal doet. De verwachting is dat binnen afzienbare tijd 80-90 % van de hacken door AI-agents zal worden uitgevoerd.

Dat is precies de les die bestuurders en toezichthouders in de culturele en creatieve sector zich nu eigen moeten maken. Cyber risico management is niet langer een technisch sub-onderwerp voor de IT-manager en een jaarlijkse paragraaf van de accountant. Het is een governance vraagstuk over continuïteit, vertrouwen, toegangsbeheer, afhankelijkheid van derden, zorgvuldig databeheer en bestuurlijk oordeelsvermogen. De juiste reactie is geen melodrama, maar discipline: systemen ethisch testen, identiteit en toegang aanscherpen, cloud- en AI-adoptie behandelen als veiligheidsbeslissingen en ervan uitgaan dat het volgende incident waarschijnlijker via de verbindende weefsels van de organisatie binnenkomt dan via de zichtbare voordeur. In een sector die drijft op publiek vertrouwen is cyberweerbaarheid allang geen backoffice-hygiëne meer. Het is onderdeel geworden van de culturele infrastructuur zelf.

Rapporten

1. Het OOPS H2-2025 Report van RIEDEL Networks is een overzicht van publiek gemelde cyberincidenten in Duitsland in de tweede helft van 2025. Het rapport brengt terugkerende aanvalspatronen, waarschijnlijke schadeposten en organisatorische lessen in kaart. De uitkomst is helder: cybercriminelen domineren nog altijd het incidentbeeld en datadiefstal en ransomware zijn samen goed voor ongeveer twee derde van de waargenomen aanvalsvormen. Ook evenementen en media staan op de sectorkaart, als herinnering dat cultuur allang niet meer buiten beeld valt.

2. Het Cloudflare 2026 Threat Report, dit jaar verschenen als de eerste wereldwijde dreigingsreview van het bedrijf, is gebaseerd op telemetrie van een netwerk dat naar eigen zeggen ongeveer twintig procent van het web beschermt. De kernboodschap is scherp: cyberdreiging industrialiseert, identiteit is het primaire doelwit geworden en AI plus de groeiende complexiteit van SaaS-omgevingen geven aanvallers een voordeel op machinesnelheid.

3. Het Proton SMB Cybersecurity Report 2026 ten slotte is een recente enquête onder 3.000 oprichters, bestuurders en IT-verantwoordelijken in zes markten, uitgevoerd eind 2025, naar cloudadoptie, menselijke fouten, AI-gebruik en klantvertrouwen. Ook daarvan is de boodschap voor culturele instellingen relevant: investeren in tools heeft de kwetsbaarheid niet weggenomen, terwijl digitale veiligheid steeds meer een commercieel vertrouwenssignaal op zichzelf is.

Waardeer dit artikel!