Er speelt sinds deze week iets dat de meeste ondernemers niet op hun radar hebben, maar dat dichter bij huis komt dan het klinkt. De Europese Commissie presenteerde op 7 juli een actieplan voor cybersecurity en kunstmatige intelligentie. Kort gezegd erkent Brussel daarmee openlijk wat security-experts al een tijdje zeggen: AI staat inmiddels aan beide kanten van de streep. Dezelfde techniek die aanvallers slimmer en sneller maakt, is ook het beste gereedschap om die aanvallen af te weren. Het plan is een poging om die tweestrijd in Europees voordeel te kantelen — maar het speelt zich grotendeels boven het hoofd van de gemiddelde MKB'er af.
Begin bij de aanvalskant, want daar merk je het eerst iets van. AI maakt het opstellen van overtuigende phishingmails, nepwebsites en zelfs nagemaakte spraak- en videoberichten goedkoper en makkelijker dan ooit. De klassieke tekenen waaraan je een verdachte mail herkende — kromme zinnen, rare spelfouten, een onpersoonlijke aanhef — verdwijnen razendsnel. Een bericht dat lijkt te komen van je boekhouder, je bank of zelfs je eigen directeur, met de juiste toon en de juiste details, is technisch geen kunst meer. Juist kleine bedrijven zijn een aantrekkelijk doelwit: er valt genoeg te halen, en de beveiliging is vaak lichter dan bij grote organisaties.
De verdedigingskant is waar het Europese plan op inzet. De Commissie wil onder meer een testomgeving opzetten waarin organisaties in kritieke sectoren — denk aan energie, zorg, transport en financiën — AI-beveiliging veilig kunnen uitproberen, en moedigt bedrijven aan om AI in te zetten om kwetsbaarheden sneller op te sporen. Ook bestaande wetgeving zoals NIS2 en de Cyber Resilience Act wordt er steviger onder gezet. Dat is goed nieuws, maar wees eerlijk over de reikwijdte: dit is beleid voor de grote infrastructuur van Europa, niet een gereedschapskist die morgen bij de webshop of het installatiebedrijf op de mat ligt.
Voor het MKB is de nuchtere conclusie daarom tweeledig. De dreiging sijpelt naar beneden — betere neptrucs raken ook het kleine bedrijf — maar de zwaardere oplossingen doen dat voorlopig niet. Dat klinkt somberder dan het is, want het goede nieuws is dat je tegen deze nieuwe golf grotendeels nog steeds met de basis vooruitkomt. De aanvaller is slimmer geworden, maar mikt nog altijd op dezelfde zwakke plekken: iemand die op een link klikt, een betaling doet op basis van één berichtje, of overal hetzelfde wachtwoord gebruikt.
Praktisch zijn er een paar dingen die nu meer verschil maken dan een jaar geleden. Zet tweestapsverificatie aan op alles wat belangrijk is — je e-mail, je boekhouding, je websitebeheer — zodat een gestolen wachtwoord alleen niet genoeg is. Spreek binnen je team af dat betalingsverzoeken en gewijzigde rekeningnummers altijd via een tweede kanaal worden gecontroleerd; een kort belletje ontmaskert de meeste deepfake-trucs. Vertel je mensen bovendien eerlijk dat een foutloze, geloofwaardige mail tegenwoordig géén bewijs van echtheid meer is. En houd de basis op orde: software en je website up-to-date, back-ups die je ook echt weleens test.
De grote lijn is dat cybersecurity voor het MKB dezelfde kant op beweegt als AI zelf: het wordt volwassener en het hoort er gewoon bij. Je hoeft geen securityafdeling op te tuigen en niet in paniek te raken van elk krantenkopje. Je moet wél weten waar je zwakke plekken zitten en de basis op orde brengen voordat iemand die voor je vindt. Wil je eens rustig langs de belangrijkste kwetsbaarheden van jouw website en werkwijze lopen, en de basisbeveiliging aanscherpen zonder dat het een groot project wordt? Wij denken graag met je mee.