Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Dataminr 2026 Cyber Threat Landscape Rapport waarschuwt dat het tijdperk van cyber “mega-verlies” is aangebroken
Dataminr 2026 Cyber Threat Landscape Rapport waarschuwt dat het tijdperk van cyber "mega-verlies" is aangebroken

Dataminr 2026 Cyber Threat Landscape Rapport waarschuwt dat het tijdperk van cyber “mega-verlies” is aangebroken

by Patrick Spencer updated februari 26, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 9 minutes

De cijfers zijn binnen, en ze zijn schokkend.

Het 2026 Cyber Threat Landscape Report van Dataminr is deze week verschenen met bevindingen die elke CISO, compliance officer en bestuurslid rechtop zouden moeten laten zitten. We hebben het hier niet over een geleidelijke toename van cyberdreigingen. We hebben het over een stijging van 225% in het gemiddelde maandelijkse aantal meldingen van dreigingsactoren ten opzichte van 2024. Dit is geen evolutie — dit is een explosie.

Maar dit is wat echt telt: de aard van deze aanvallen is fundamenteel veranderd. Aanvallers breken niet meer in. Ze loggen in. En dat onderscheid verandert alles aan hoe organisaties moeten nadenken over gegevensbeveiliging, naleving en privacy.

5 Belangrijkste Inzichten

  1. Activiteit van dreigingsactoren is geëxplodeerd — 225% meer maandelijkse meldingen. Dataminr volgde meer dan 5.000 dreigingsactoren in 2025, registreerde meer dan 18.000 ransomwaremeldingen en detecteerde meer dan 2 miljoen incidenten van domeinimitatie. Het gemiddelde maandelijkse aantal meldingen van dreigingsactoren steeg met 225% ten opzichte van 2024. Dit is geen geleidelijke groei — het is een structurele verschuiving in de hoeveelheid en snelheid van cyberdreigingen waarmee elke organisatie die gevoelige data verwerkt wordt geconfronteerd.
  2. Identiteit is nu het primaire aanvalsoppervlak. Bijna 30% van de inbraken betreft nu geldige inloggegevens. Aanvallers breken niet in — ze loggen in. Een stijging van 84% in infostealer-malware via phishing voedt deze verschuiving, waarbij gestolen inloggegevens, sessietokens en browserdata verpakt worden voor verkoop op criminele marktplaatsen. De meeste social engineering-activiteiten worden nu versterkt door AI, waardoor phishingcampagnes overtuigender en moeilijker te detecteren zijn.
  3. Verliezen per incident worden catastrofaal groot. Hoewel het aantal ransomware-incidenten in 2025 stabiliseerde, werd de financiële impact per incident aanzienlijk groter. De genormaliseerde analyse van verliesernst door Dataminr toont clustering op het niveau van $100 miljoen — en sommige incidenten overschrijden zelfs $1 miljard. Organisaties worden nu geconfronteerd met minder, maar meer systematische, multi-vector aanvallen die diefstal van inloggegevens, data-exfiltratie, operationele verstoring en blootstelling aan regelgeving combineren.
  4. Traditionele kwetsbaarheidsscores weerspiegelen niet langer het echte bedrijfsrisico. Eén op de vier moderne datalekken maakt gebruik van een kwetsbaarheid bij een derde partij, vaak binnen hetzelfde kalenderjaar na openbaarmaking. CVSS-scores missen vaak cruciale context — patronen van branchegerichte aanvallen, waarschijnlijkheid van uitbuiting en potentiële financiële impact. Organisaties die herstel uitsluitend prioriteren op basis van technische ernstscores, optimaliseren voor de verkeerde maatstaven.
  5. Alleen menselijke securityteams kunnen het tempo niet meer bijbenen. Met meer dan 43 terabyte aan signalen die dagelijks worden verwerkt en miljoenen meldingen per jaar, zijn het tempo en de schaal van het huidige dreigingslandschap het menselijke vermogen voorbijgestreefd. Speciaal ontwikkelde detectieplatforms zijn nu vereist om signalen vroeg genoeg te correleren om de verblijftijd te verkorten en catastrofale verliesgebeurtenissen te voorkomen.

Het Identiteitsprobleem Waar Niemand Over Wil Praten

Bijna 30% van de inbraken betreft nu geldige inloggegevens. Lees dat nog eens. Bijna één op de drie datalekken gebeurt omdat iemand met een gestolen sleutel gewoon door de voordeur naar binnen loopt.

Dit betekent een enorme verschuiving in aanvalsmethodologie. Jarenlang richtten securityteams zich obsessief op perimeterverdediging. Firewalls. Inbraakdetectiesystemen. Netwerksegmentatie. Allemaal waardevol, allemaal noodzakelijk — en allemaal steeds minder relevant wanneer aanvallers zich simpelweg als legitieme gebruikers authenticeren.

Het mechanisme achter deze verschuiving? Infostealer-malware via phishing, die het afgelopen jaar met 84% is gestegen. Dit zijn geen geavanceerde tools van natiestaten. Het is standaard malware die inloggegevens, sessietokens en browserdata verzamelt en alles netjes verpakt voor verkoop op criminele marktplaatsen.

Het probleem wordt groter als je kijkt naar de schaal. Dataminr volgde meer dan 5.000 dreigingsactoren gedurende het jaar, registreerde meer dan 18.000 ransomwaremeldingen en detecteerde meer dan 2 miljoen incidenten van domeinimitatie. Dit is geen dreigingslandschap. Dit is een dreigingsecosysteem op industriële schaal.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het bewijzen?

Lees nu

Waarom Traditionele Security-Maatstaven Tekortschieten

Hier is een ongemakkelijke waarheid die het Dataminr-rapport blootlegt: traditionele kwetsbaarheidsscores weerspiegelen niet het werkelijke bedrijfsrisico.

Organisaties hebben jarenlang herstel geprioriteerd op basis van Common Vulnerability Scoring System-beoordelingen. Een kritieke kwetsbaarheid wordt direct gepatcht. Een gemiddelde wordt ingepland voor het volgende onderhoudsmoment. Deze aanpak was logisch toen technische ernst samenhing met daadwerkelijke uitbuiting.

Die samenhang is verdwenen.

Aanvallers maken kwetsbaarheden binnen enkele maanden na openbaarmaking tot wapen. Eén op de vier moderne datalekken maakt gebruik van een kwetsbaarheid bij een derde partij, vaak voordat traditionele risicobeoordelingen zijn bijgewerkt. Ondertussen missen CVSS-scores vaak context — patronen van branchegerichte aanvallen, waarschijnlijkheid van uitbuiting en, het belangrijkst, potentiële financiële impact.

Het resultaat? Organisaties patchen zorgvuldig, vinken compliance af, en worden toch getroffen omdat ze optimaliseren voor de verkeerde maatstaven.

De ‘Mega-Loss’ Realiteit

Misschien wel de belangrijkste bevinding in het Dataminr-rapport betreft de ernst van verliezen. Het aantal ransomware-incidenten stabiliseerde in 2025, wat goed nieuws lijkt tot je de verdeling van de impact bekijkt.

Verliezen per incident werden aanzienlijk groter. De genormaliseerde analyse van verliesernst in het rapport laat clustering zien op het niveau van $100 miljoen — en sommige incidenten overschrijden zelfs $1 miljard.

Dit betekent een structurele verandering in cyberrisico. Organisaties worden nu geconfronteerd met minder, maar meer systematische aanvallen die diefstal van inloggegevens, data-exfiltratie, operationele verstoring en blootstelling aan regelgeving in één incident combineren. Het oude model van frequente maar beperkte datalekken heeft plaatsgemaakt voor zeldzame maar catastrofale gebeurtenissen.

Voor compliance officers en risicomanagers vereist deze verschuiving een fundamenteel heroverwegen van hoe cyberrisico wordt gemodelleerd, openbaar gemaakt en verzekerd.

Het Data Security Gat in Operationele Omgevingen

De bevindingen van Dataminr sluiten aan bij bredere trends die zijn vastgelegd in het Dragos 2026 OT Cybersecurity Report, dat dreigingen voor operationele technologie en industriële controlesystemen onderzocht. Samen schetsen deze rapporten een beeld van convergerende IT- en OT-risico’s die nieuwe uitdagingen op het gebied van gegevensbeveiliging creëren.

Dreigingsgroepen nemen geen genoegen meer met alleen toegang. Ze brengen systematisch besturingslussen in kaart, voeren engineeringprojectbestanden, alarmdata, HMI/SCADA-databases en configuratieback-ups af. Deze operationele data wordt inlichtingenmateriaal voor toekomstige aanvallen — waarmee gerichte verstoring van fysieke processen mogelijk wordt.

De gevolgen voor gegevensbeveiliging reiken verder dan de traditionele IT-grenzen. Engineeringontwerpbestanden die worden gedeeld tussen productievloeren en leveranciers. Kwaliteitscontroleprocedures die wereldwijd worden uitgewisseld. Productieplanningen, onderhoudsrapporten en technische specificaties van leveranciers. Al deze gevoelige operationele data stroomt tussen systemen, vaak via verouderde SFTP-servers, e-mailbijlagen en onbeveiligde bestandsoverdracht.

Precies deze kanalen worden door dreigingsactoren uitgebuit. Wanneer minder dan 10% van de OT-netwerken over voldoende zichtbaarheid en monitoring beschikt, kunnen organisaties niet eens zien wat er wordt geëxfiltreerd tot de schade al is aangericht.

Gevolgen voor Data Privacy die de Meeste Organisaties Missen

De rapporten van Dataminr en Dragos richten zich primair op beveiliging en operationeel risico. Maar de betrokken datatypes brengen aanzienlijke privacygevolgen met zich mee onder moderne regelgeving.

Denk aan wat er wordt gestolen bij deze aanvallen: operatorinformatie, inclusief het gedrag van genoemde individuen, ploegendiensten, foutgeschiedenissen en veiligheidsincidenten. Inloggegevens en activiteitslogs die als gevoelige persoonsgegevens kwalificeren. Configuratiebestanden en inbraakbeschrijvingen die hacktivisten publiceren op Telegram en X, waardoor persoonlijke identificatiegegevens wereldwijd worden blootgesteld.

Organisaties classificeren deze operationele data doorgaans niet als persoonlijk identificeerbare informatie. Maar onder GDPR, CCPA en opkomende privacywetten van staten kwalificeert veel ervan wel degelijk. De combinatie van identiteitsdata, gedragsprofielen en locatie-informatie zorgt voor blootstelling aan regelgeving waar de meeste industriële organisaties geen rekening mee hebben gehouden.

Wanneer meldingsvereisten bij datalekken van kracht worden, ontdekken organisaties dat ze gevoelige persoonsgegevens in handen hadden die ze nooit goed hebben geïnventariseerd of beschermd.

De Compliance-Afrekening

De bevindingen in beide rapporten sluiten direct aan op wettelijke verplichtingen die organisaties systematisch niet nakomen.

Misbruik van identiteit via infostealer-logs, hergebruik van wachtwoorden en zwakke multi-factor authenticatie ondermijnt toegangscontrolevereisten in vrijwel elk compliance framework. Aanvallers authenticeren zich legitiem in VPN’s, RDP-sessies en cloudplatforms, waardoor perimeterdetecties volledig worden omzeild.

Kwetsbaarheidsbeheerprogramma’s houden het tempo van weaponization niet bij. Wanneer exploits binnen weken na openbaarmaking opduiken, creëren maandelijkse patchcycli hardnekkige blootstellingsvensters.

Misschien nog zorgwekkender: 30% van de incident response-cases begint met “er lijkt iets mis”, en in veel van die gevallen is operationele telemetrie nooit verzameld. Organisaties beweren publiekelijk “geen cyberbetrokkenheid” bij incidenten waar ze het zicht missen om die conclusie te onderbouwen. Onder zorgvuldigheids- en datalekbeoordelingsvereisten in de meeste regelgeving is dat onverdedigbaar.

Het detectiegat vertelt het verhaal duidelijk. Organisaties met volledige zichtbaarheid detecteren incidenten gemiddeld binnen vijf dagen. Het branchegemiddelde? Tweeënveertig dagen. Dat verschil van zes weken betekent langere blootstelling van data, grotere omvang van het datalek en aanzienlijk hogere wettelijke aansprakelijkheid — inclusief gemiste meldingsdeadlines onder de 72-uursregel van de GDPR en vergelijkbare vereisten in HIPAA en sectorspecifieke kaders.

De Kwetsbaarheid van Bestandsoverdracht

Ransomwaregroepen hebben platforms voor bestandsoverdracht geïdentificeerd als doelwitten met hoge waarde. Het Dragos-rapport benoemt specifiek de uitbuiting van MFT- en FTP-systemen, waaronder Cleo MFT, CrushFTP en Wing FTP. Deze platforms worden draaipunten voor het stelen van gevoelige bestanden, het plaatsen van backdoors en het verstoren van operaties op meerdere locaties tegelijk.

Deze focus is logisch vanuit het perspectief van de aanvaller. Systemen voor bestandsoverdracht verwerken per definitie gevoelige data. Ze verbinden vaak anders gescheiden netwerksegmenten. En ze draaien vaak met verhoogde rechten en minimale monitoring.

Voor organisaties die nog steeds verouderde infrastructuur voor bestandsoverdracht gebruiken, betekent dit een acute blootstelling van gegevensbeveiliging. Engineeringdocumenten, complianceverslagen, leveranciersspecificaties en gereguleerde data stromen allemaal door deze kanalen. Bij een compromis reikt de impact over het hele data-ecosysteem. Een speciaal ontwikkelde managed file transfer-oplossing met onveranderlijke logs, DLP-controles en anomaliedetectie vervangt de verouderde SFTP-blootstelling door een gecontroleerd, auditeerbaar kanaal.

Wat Werkt Echt

Het Dataminr-rapport concludeert dat het tempo en de hoeveelheid van het huidige dreigingslandschap menselijke securityteams voorbij zijn gestreefd. Met 225% meer meldingen van dreigingsactoren en miljoenen incidenten die correlatie vereisen, is het argument voor geautomatiseerde detectie en reactie sterker dan ooit.

Maar technologie alleen lost het probleem niet op. De op identiteit gebaseerde aard van moderne aanvallen vereist fundamentele veranderingen in de beveiligingsarchitectuur.

Multi-factor authenticatie overal — niet als afvinkoefening, maar als echte defense-in-depth. Phishing-resistente authenticatiemethoden die niet afhankelijk zijn van codes die gebruikers via social engineering kunnen prijsgeven. Continue monitoring op infostealer-blootstelling, in de wetenschap dat compromittering van inloggegevens een aanhoudende toestand is en geen eenmalige gebeurtenis.

Voor operationele omgevingen is zichtbaarheid de prioriteit. Je kunt niet beschermen wat je niet ziet. Organisaties hebben volledige auditmogelijkheden nodig over alle kanalen voor gegevensuitwisseling — e-mail, SFTP, bestandsoverdracht, API’s. De detectietijd van tweeënveertig dagen die het branchegemiddelde bepaalt, komt rechtstreeks voort uit blinde vlekken in hoe data tussen systemen beweegt. SIEM-platforms die signalen uit al deze kanalen verwerken — bestandsoverdracht, e-mail, webformulieren, API’s — dichten de gaten die tegenstanders in staat stellen onopgemerkt te blijven.

Zero-trust architectuur is van ambitieus naar essentieel gegaan. Alle data-uitwisselingen als onbetrouwbaar behandelen — inclusief interne overdrachten tussen IT- en OT-zones — sluit de laterale bewegingspaden af die aanvallers uitbuiten. Dit is vooral cruciaal op IT/OT-grenzen waar gevoelige operationele data moet stromen voor legitieme bedrijfsdoeleinden.

Toeleveringsketen– en derdepartijrisicobeheer vereist dezelfde nauwkeurigheid. Wanneer één op de vier datalekken voortkomt uit kwetsbaarheden bij derden, wordt toegangsbeheer voor leveranciers een primaire beveiligingscontrole. Tijdgebonden rechten, volledige tracking en directe intrekkingsmogelijkheden voor gecompromitteerde accounts of verdachte externe partijen zijn minimale vereisten.

Waar Organisaties Nu Heengaan

Het Dataminr 2026 Cyber Threat Landscape Report bevestigt wat securityprofessionals al vermoedden: we zijn een nieuw tijdperk van cyberrisico ingegaan, gekenmerkt door identiteitsaanvallen, versnelde weaponization en catastrofale verliezen per incident.

Voor gegevensbeveiliging betekent dit het heroverwegen van perimetergerichte verdediging ten gunste van identiteitsbescherming en continue monitoring. Voor privacy betekent het erkennen dat operationele data vaak persoonlijke informatie bevat die wettelijke bescherming vereist. Voor compliance betekent het het dichten van de kloof tussen afvinkoefeningen en echte beveiligingsmaatregelen die inspelen op hoe aanvallen daadwerkelijk plaatsvinden.

De stijging van 225% in meldingen van dreigingsactoren is geen trend om in de gaten te houden. Het is een wake-up call om te handelen. Organisaties die reageren door identiteitscontroles te versterken, volledige zichtbaarheid te bereiken en gegevensuitwisseling over alle kanalen te beheren, zullen deze periode doorstaan. Wie dat niet doet, belandt aan de verkeerde kant van de mega-loss-verdeling.

De keuze ligt, zoals altijd, bij de organisaties zelf.

Wil je weten hoe Kiteworks kan helpen? Plan vandaag nog een demo op maat.

Veelgestelde Vragen

Infostealer-malware — meestal verspreid via phishing — verzamelt inloggegevens, sessietokens en in de browser opgeslagen wachtwoorden van geïnfecteerde endpoints en verpakt deze voor verkoop op criminele marktplaatsen. Kopers gebruiken deze gegevens om zich als legitieme gebruikers te authenticeren in VPN’s, cloudplatforms en bedrijfssystemen, waardoor perimeterverdediging volledig wordt omzeild. Bijna 30% van de inbraken volgt nu dit patroon. Het stoppen hiervan vereist multi-factor authenticatie die niet afhankelijk is van SMS-codes of eenmalige wachtwoorden die via social engineering kunnen worden ontfutseld — phishing-resistente methoden zoals hardware keys of passkeys zijn veel effectiever. Het toevoegen van auditlogs en SIEM-gebaseerde anomaliedetectie bovenop MFA detecteert misbruik van inloggegevens dat authenticatie alleen niet voorkomt.

CVSS-scores meten technische ernst — de complexiteit van uitbuiting en potentiële systeemimpact — maar houden geen rekening met het gedrag van aanvallers in de praktijk. Eén op de vier moderne datalekken betreft een kwetsbaarheid bij derden, vaak binnen enkele maanden na openbaarmaking tot wapen gemaakt. CVSS-scores missen cruciale zakelijke context: of de kwetsbaarheid zich richt op jouw branche, hoe snel exploitcode in het wild verschijnt en de potentiële financiële impact als het tegen jouw omgeving wordt gebruikt. Organisaties die uitsluitend op CVSS-score patchen, dichten kwetsbaarheden die aanvallers niet prioriteren en laten juist de relevante open. Effectieve prioritering vereist een combinatie van technische scores met Threat Intelligence over actieve uitbuitingspatronen en de blootstelling van jouw toeleveringsketen.

Managed file transfer- en SFTP-platforms behoren tot de aantrekkelijkste doelwitten in elke omgeving om drie redenen. Ten eerste verzamelen ze gevoelige data uit diverse bronnen — engineeringbestanden, complianceverslagen, leveranciersspecificaties, gereguleerde persoonsgegevens — op één plek. Ten tweede verbinden ze vaak anders gescheiden netwerksegmenten, waardoor ze natuurlijke draaipunten voor laterale beweging vormen. Ten derde draaien verouderde implementaties vaak met verhoogde rechten en minimale monitoring, waardoor compromittering onopgemerkt blijft. De documentatie van aanvallen op Cleo MFT, CrushFTP en Wing FTP in het Dragos-rapport weerspiegelt dit patroon. Het vervangen van legacy SFTP door een gecontroleerd MFT-platform met onveranderlijke logs, DLP-controles en anomaliedetectie elimineert de blinde vlekken die deze systemen zo kwetsbaar maken.

Ja — en dit is een van de meest consequent over het hoofd geziene compliance-risico’s in industriële en kritieke infrastructuurbeveiliging. Operatorinformatie die routinematig wordt verzameld in OT-omgevingen — ploegendiensten van genoemde personen, toegangs- en foutgeschiedenissen, gedragslogs — vormt persoonsgegevens onder GDPR en CCPA. De meeste organisaties classificeren het niet als PII en hebben het daarom niet geïnventariseerd of beschermd. De blootstelling wordt acuut wanneer hacktivistengroepen credential dumps en activiteitslogs openbaar maken — waardoor meldingsplichten ontstaan waar organisaties niet op rekenden onder kaders waarvan ze dachten dat die alleen voor hun IT-systemen golden. Data privacy impact assessments moeten expliciet OT-omgevingen omvatten om deze blootstelling in kaart te brengen voordat een toezichthouder dat doet.

Het branchegemiddelde van 42 dagen voor het detecteren van OT- en bedrijfsdatalekken zorgt voor een stapelende compliance-aansprakelijkheid op meerdere fronten. GDPR vereist melding aan toezichthouders binnen 72 uur na ontdekking — een termijn die organisaties routinematig missen als ze geen zicht hebben op hun kanalen voor gegevensuitwisseling. HIPAA stelt een deadline van 60 dagen voor meldingen door betrokken partijen, en vereisten voor datalekbeoordeling eisen gedocumenteerd bewijs van welke data is benaderd. Sectorspecifieke kaders zoals NERC CIP en toezichthouders in de financiële sector hanteren hun eigen meldingsdeadlines. Naast melding betekent de verlengde verblijftijd dat organisaties geen forensische tijdlijnen kunnen overleggen die toezichthouders eisen: wie heeft welke data via welke systemen en wanneer benaderd. Volledige auditlogs over bestandsoverdracht, e-mail, API’s en MFT-kanalen zijn een basisvereiste — zonder die logs bestaat er simpelweg geen compliance-bewijs.

Aanvullende Bronnen

  • Blog Post Zero Trust Architectuur: Vertrouw Nooit, Verifieer Altijd
  • Video Microsoft GCC High: Nadelen die defensie-aannemers richting slimmere voordelen drijven
  • Blog Post Hoe je geclassificeerde data beveiligt nadat DSPM het signaleert
  • Blog Post Vertrouwen opbouwen in Generatieve AI met een Zero Trust-aanpak
  • Video De definitieve gids voor veilige opslag van gevoelige data voor IT-leiders

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks