“We zijn gehackt omdat we gekozen werden.” Dat is het dominante narratief na een incident. Een doelbewuste aanvaller, een gerichte poging, een slachtoffer dat uitgekozen werd. Het klopt niet. Hackers targetten jou niet. Hackers kiezen geen slachtoffers zoals een inbreker huizen kiest. Ze optimaliseren frictieloze extractie. Ze zoeken niet naar wie ze willen aanvallen, maar naar wie het makkelijkst betaalt. Dat onderscheid klinkt subtiel. Het is fundamenteel. Hackers volgen geen targets — ze volgen betalingszekerheid Moderne cybercriminaliteit is een industrieel proces. Geen artistieke heist, geen persoonlijke vendetta, geen Hollywood-scenario. Het is optimalisatie van rendement per tijdseenheid. Wat bepaalt of jij interessant bent? Vier variabelen: 1. Time-to-impact (hoe snel ontstaat schade?) Hoe lang duurt het voordat jouw organisatie pijn voelt? Bedrijven met real-time afhankelijkheden — webshops, productie, dienstverlening — voelen druk binnen uren. Bedrijven met buffers en alternatieven kunnen dagen of weken wachten. De aanvaller kiest het eerste. 2. Cashflow-elasticiteit (hoe snel doet financiële pijn écht pijn?) Een bedrijf met brede marges en reserves kan schokken opvangen. Een bedrijf dat draait op krappe cashflow en just-in-time levering niet. Hackers modelleren dit impliciet: ze zoeken organisaties waar geld vastzit in operaties, niet op de bank. 3. Alternatieven (kan het bedrijf omzeilen of wachten?) Zijn er back-ups die snel te activeren zijn? Kunnen klanten tijdelijk anders bediend worden? Kunnen processen handmatig? Hoe minder alternatieven, hoe hoger de betalingsbereidheid. 4. Beslissingschaos (hoe rommelig is crisismanagement?) Organisaties die snel, helder en gedecentraliseerd beslissen zijn minder kwetsbaar. Organisaties waar niemand weet wie beslist, waar paniek escaleert en waar ad-hoc geïmproviseerd wordt, zijn goudmijnen voor aanvallers.
