Hackers targetten jou niet — Je businessmodel heeft zichzelf targetbaar gemaakt 

“We zijn gehackt omdat we gekozen werden.” Dat is het dominante narratief na een incident. Een doelbewuste aanvaller, een gerichte poging, een slachtoffer dat uitgekozen werd. 

Het klopt niet. 

Hackers targetten jou niet. Hackers kiezen geen slachtoffers zoals een inbreker huizen kiest. Ze optimaliseren frictieloze extractie. Ze zoeken niet naar wie ze willen aanvallen, maar naar wie het makkelijkst betaalt. 

Dat onderscheid klinkt subtiel. Het is fundamenteel. 

Hackers volgen geen targets — ze volgen betalingszekerheid 

Moderne cybercriminaliteit is een industrieel proces. Geen artistieke heist, geen persoonlijke vendetta, geen Hollywood-scenario. Het is optimalisatie van rendement per tijdseenheid. 

Wat bepaalt of jij interessant bent? Vier variabelen: 

1. Time-to-impact (hoe snel ontstaat schade?) 

Hoe lang duurt het voordat jouw organisatie pijn voelt? Bedrijven met real-time afhankelijkheden — webshops, productie, dienstverlening — voelen druk binnen uren. Bedrijven met buffers en alternatieven kunnen dagen of weken wachten. De aanvaller kiest het eerste. 

2. Cashflow-elasticiteit (hoe snel doet financiële pijn écht pijn?) 

Een bedrijf met brede marges en reserves kan schokken opvangen. Een bedrijf dat draait op krappe cashflow en just-in-time levering niet. Hackers modelleren dit impliciet: ze zoeken organisaties waar geld vastzit in operaties, niet op de bank. 

3. Alternatieven (kan het bedrijf omzeilen of wachten?) 

Zijn er back-ups die snel te activeren zijn? Kunnen klanten tijdelijk anders bediend worden? Kunnen processen handmatig? Hoe minder alternatieven, hoe hoger de betalingsbereidheid. 

4. Beslissingschaos (hoe rommelig is crisismanagement?) 

Organisaties die snel, helder en gedecentraliseerd beslissen zijn minder kwetsbaar. Organisaties waar niemand weet wie beslist, waar paniek escaleert en waar ad-hoc geïmproviseerd wordt, zijn goudmijnen voor aanvallers. Chaos is verhandelbare waarde. 

Je securityniveau — firewalls, patches, training — is secundair. Een zwakke beveiliging helpt bij toegang, maar bepaalt niet of je betaalt. Dat bepaalt je businessmodel. 

Waarom KMO’s structureel interessant zijn 

Niet omdat ze slecht beveiligd zijn. Niet omdat ze naïef zijn. Maar omdat ze structureel kwetsbaar zijn in de vier variabelen hierboven. 

KMO’s hebben: 

  • Weinig redundantie: Eén CRM-systeem. Eén boekhouder. Eén ERP. Als dat wegvalt, staat alles stil. 
  • Beslissingsconcentratie: Eén directeur, misschien één financieel manager. Onder druk worden emoties en belangen niet gespreid, maar versterkt. 
  • Geen emotionele delegatie: De CEO voelt de impact persoonlijk. Reputatie, relaties, gezicht verliezen — dat drukt harder dan bij een corporate compliance officer. 
  • Geen verliesabsorptie: Er is geen strategisch buffer om drie weken omzetverlies op te vangen. Elk uur telt. 

Dit maakt KMO’s niet dom. Het maakt ze voorspelbaar winstgevend

Een KMO betaalt niet omdat ze zwak is, maar omdat ze geen speelruimte heeft. 

De vraag die niemand stelt 

De standaardvraag na een incident is: 
“Hoe voorkomen we dit?” 

Een betere vraag is: 
“Welke macht heeft een aanvaller over onze beslissingen tijdens een incident?” 

Dat is geen technische vraag. Dat is onderhandelingsanalyse. 

Want de aanvaller test niet je firewall. Die test je besluitvormingsmodel onder druk: 

  • Wie beslist of we betalen? 
  • Op basis van welke informatie? 
  • Binnen welk mandaat? 
  • Met welke alternatieven? 
  • Onder welke tijdsdruk? 

Als die vragen tijdens een crisis improvisatie vereisen, heb je al verloren. Dan bepaalt de aanvaller het tempo, de opties en de uitkomst. 

Het harde experiment 

Stel: je CRM is 72 uur offline. 

  • Wie beslist wat er gebeurt? 
  • Op basis van welke data? 
  • Met welk mandaat? 
  • Met welke alternatieven? 
  • Wie communiceert naar klanten? 
  • Hoe wordt prioriteit bepaald tussen herstel, communicatie en continuïteit? 

Als het antwoord op deze vragen begint met “waarschijnlijk” of “we zouden moeten”, dan heeft een aanvaller volledige onderhandelingsmacht. Je hebt geen verweer, geen strategie, geen positie. 

Je bent niet aangevallen omdat je zwak bent, maar omdat je businessmodel structureel afhankelijk is van systemen, zonder structurele fall-back voor besluitvorming. 

Targetbaarheid is een ontwerpkeuze 

Hackers targetten jou niet. Je hebt jezelf targetbaar ontworpen. 

  • Door operaties te centraliseren zonder redundantie. 
  • Door beslissingen te concentreren zonder mandaat. 
  • Door afhankelijkheden te creëren zonder alternatieven 
  • Door niet te documenteren hoe je opereert onder druk. 

Dat zijn geen IT-keuzes. Dat zijn strategische ontwerpkeuzes die bepalen hoeveel macht je weggeeft op het moment dat iemand aan je systemen komt. 

Security begint niet met technologie. Het begint met de vraag: Wat kan een aanvaller ons laten doen? 

En als het antwoord “wat hij wil” is, dan is het probleem geen hack. Het is een ontwerpfout. 

RELATED POSTS

small office kmo

Hackers targetten jou niet — Je businessmodel heeft zichzelf targetbaar gemaakt 

“We zijn gehackt omdat we gekozen werden.” Dat is het dominante narratief na een incident. Een doelbewuste aanvaller, een gerichte poging, een slachtoffer dat uitgekozen werd.  Het klopt niet.  Hackers targetten jou niet. Hackers kiezen geen slachtoffers zoals een inbreker huizen kiest. Ze optimaliseren frictieloze extractie. Ze zoeken...

Read more
Visual on compliance and pentesting

Compliance and Penetration Testing: A Comprehensive Guide 

1. Penetration Testing: The Cornerstone of Modern Security  Penetration testing (pen testing) is no longer optional—it is a mandatory and foundational requirement in virtually every...

Read more
Annaconquer event Annacon x Refracted

COMMAND & ANNACONQUER: Recap

We Came, We Hacked, We Conquered What happens when you mix curious minds, laptops, and Hack The Box challenges? You get one epic night of...

Read more
Scroll to Top