29 minuten: zo snel zijn cyberaanvallers je voor

Negenentwintig minuten.

Zo lang heeft de gemiddelde cyberaanvaller nodig om je eerste systeem te doorbreken en zich door je netwerk te bewegen. Dat blijkt uit het CrowdStrike 2026 Global Threat Report, gepubliceerd in februari 2026. De snelste geregistreerde doorbraak? Zevenentwintig seconden.

Laat dat even bezinken. In de tijd die je nodig hebt om een kop koffie te zetten, heeft een aanvaller al je inloggegevens gestolen, rechten verhoogd en is begonnen met laterale beweging door je systemen. Voor een land als Nederland, dat fungeert als een van de grootste datacentrumhubs van Europa, is dat geen abstract scenario.

De versnelling van 65% die niemand zag aankomen

In 2024 werd de gemiddelde eCrime breakout time (de tijd tussen eerste toegang en laterale beweging naar een ander systeem) nog in uren gemeten. In 2025 daalde dat naar 29 minuten: een versnelling van 65% in een enkel jaar. Het is niet alleen de snelheid die veranderde. De aard van de aanval zelf transformeerde.

AI-ondersteunde aanvallers verhoogden hun operaties met 89% ten opzichte van het jaar ervoor. De Russische groep FANCY BEAR zette door LLM aangedreven malware genaamd LAMEHUG in om verkenning en documentverzameling te automatiseren. De eCrime-actor PUNK SPIDER gebruikte AI-gegenereerde scripts om het dumpen van inloggegevens te versnellen en forensisch bewijs te wissen. Dit zijn geen hypothetische scenario’s: het zijn gedocumenteerde incidenten uit 2025.

De ongemakkelijke waarheid: aanvallers hebben niet langer menselijke operators nodig die achter een toetsenbord zitten voor elke fase van een inbraak. AI handelt het routinewerk af, van het scannen op kwetsbaarheden tot het opstellen van phishing-berichten, met een snelheid die geen menselijke beveiligingsanalist kan bijhouden.

Je beveiligingsteam zit nog in vergadering

Hier wordt de rekening pijnlijk. Een rapport uit februari 2026 laat zien dat 63% van de beveiligingsleiders erkent dat de dreigingsactiviteit is toegenomen, maar slechts 30% zegt dat hun organisatie daadwerkelijk voorbereid is op de huidige aanvalstypen. Die kloof van 33 procentpunten tussen bewustzijn en paraatheid is niet zomaar een statistiek: het vertegenwoordigt elke organisatie die weet dat de brand komt, maar de brandblusser niet kan vinden.

Een op de drie organisaties kan haar beveiligingsdata niet eens omzetten in tijdige beslissingen. Ze hebben de logs, de alerts en de dashboards. Wat ontbreekt is het vermogen om te handelen voordat de klok van 29 minuten afloopt.

Palo Alto Networks' Unit 42, dat in 2025 meer dan 750 grote incidenten onderzocht, schetste een nog scherper beeld. Bij de snelste 25% van de onderzochte inbraken bewogen aanvallers zich van eerste toegang naar data-exfiltratie in slechts 72 minuten. Dat is vier keer sneller dan het jaar ervoor. En bij 87% van de aanvallen speelde de inbraak zich tegelijkertijd af over meerdere aanvalsoppervlakken: endpoints, cloudinfrastructuur, SaaS-applicaties en identiteitssystemen, allemaal tegelijk geraakt.

Het identiteitsprobleem dat je waarschijnlijk negeert

Als je nog steeds denkt dat firewalls en endpointdetectie je belangrijkste verdediging zijn, suggereren de cijfers iets anders. Identiteitsgebaseerde aanvallen zijn nu verantwoordelijk voor 65% van de initiële toegang, volgens Unit 42. Gestolen inloggegevens, gecompromitteerde sessietokens en gekaapte service-accounts zijn de voordeur geworden waar aanvallers de voorkeur aan geven.

In bijna 90% van de onderzoeken van Unit 42 speelden identiteitszwakheden een materiële rol. Geen geavanceerde zero-day exploits. Geen nieuwe malware. Gestolen wachtwoorden en verkeerd geconfigureerde toegangscontroles.

CrowdStrike’s data versterkt dit punt: aanvallers injecteerden kwaadaardige prompts in legitieme GenAI-tools bij meer dan 90 organisaties in 2025. Ze stelen niet alleen je inloggegevens; ze kapen de AI-tools die je teams al vertrouwen.

De Noord-Koreaanse groep FAMOUS CHOLLIMA ging nog een stap verder door AI-gegenereerde persona’s te gebruiken om organisaties binnen te dringen als nepwerknemers. Een andere aan Noord-Korea gelinkte groep, PRESSURE CHOLLIMA, was verbonden met een cryptodiefstal van 1,46 miljard dollar: de grootste digitale roof ooit geregistreerd.

Wat de reactiekloof werkelijk kost

De financiële rekensom is genadeloos. Wanneer aanvallers in 29 minuten bewegen en je detectiecyclus in uren loopt, vertaalt elke minuut van die kloof zich naar een groter bereik van schade. Meer systemen gecompromitteerd. Meer data gestolen. Hogere herstelkosten.

Unit 42 merkte op dat ransomware-actoren hun strategie verschuiven. Op versleuteling gebaseerde afpersing daalde met 15% in 2025, omdat aanvallers beseften dat ze je data niet hoeven te versleutelen om je af te persen. Simpelweg stelen is sneller, stiller en even winstgevend. Wanneer exfiltratie begint binnen minuten na de eerste toegang, wordt versleuteling een overbodige stap.

En bij meer dan 90% van de incidenten waarop Unit 42 reageerde, was de oorzaak niets exotisch. Het waren vermijdbare gaten: inconsistent toegepaste beveiligingsmaatregelen, ongepatchte systemen, te ruime toegangsrechten. Dezelfde problemen waar beveiligingsteams al jaren van weten, nu misbruikt op machinesnelheid.

De kloof van 29 minuten dichten

De data wijst op drie onvermijdelijke verschuivingen.

Ten eerste: identiteit moet je primaire beveiligingsperimeter worden. Als 65% van de inbraken begint met gestolen inloggegevens, is investeren in netwerkfirewalls terwijl je identiteitsbeheer verwaarloost als het versterken van je muren terwijl de voordeur openstaat. Implementeer phishing-bestendige MFA, dwing least-privilege toegang af en monitor in real-time op afwijkend identiteitsgedrag. Met de Nederlandse Cyberbeveiligingswet (de NIS2-implementatie die naar verwachting medio 2026 in werking treedt) wordt dit voor veel organisaties niet langer optioneel maar wettelijk verplicht.

Ten tweede: automatiseer je detectie en respons. Menselijke analisten die alerts in een wachtrij beoordelen kunnen een klok van 29 minuten niet bijhouden. Organisaties die onderzoekscapaciteiten rechtstreeks in hun detectietooling inbouwden, verkortten hun time-to-contain met 38%. Het doel is niet om analisten te vervangen, maar om ze triage op machinesnelheid te geven zodat ze zich richten op beslissingen, niet op dataverzameling.

Ten derde: ga uit van een inbraak en oefen daarnaar. Als 87% van de aanvallen zich tegelijkertijd over meerdere oppervlakken afspeelt, zullen afzonderlijke beveiligingsteams die naar aparte dashboards kijken altijd verliezen. Geïntegreerd zicht over endpoints, cloud, identiteit en SaaS is geen luxe: het is overleving.

De klok van 29 minuten tikt al. De vraag is niet of je organisatie te maken krijgt met een door AI versnelde aanval. De vraag is of je respons het tempo kan bijhouden wanneer het zover is.