'Universiteiten benaderen ShinyHunters om datalek na Canvas-hack te voorkomen'

Verschillende universiteiten overwegen ShinyHunters te betalen om te voorkomen dat de hackers data lekken. Dat schrijven beveiligingsonderzoeker Brian Krebs en Reuters. ShinyHunters hackte recent Canvas, een onderwijsplatform dat door duizenden scholen en universiteiten wereldwijd wordt gebruikt.

'Een aantal universiteiten' heeft ShinyHunters benaderd over het betalen van het losgeld. Dat schrijven Krebs en Reuters, op basis van 'een anonieme bron die betrokken is bij het onderzoek'. De media noemen geen aantallen. Het is ook niet duidelijk waar de universiteiten zich bevinden en of ook Nederlandse of Belgische universiteiten ShinyHunters hebben benaderd.

ShinyHunters hackte eind vorige maand Instructure, de ontwikkelaar van Canvas. Hierbij zijn berichten tussen leerlingen en leraren gestolen, naast namen, e-mailadressen en studentennummers. ShinyHunters claimt ook telefoonnummers te hebben bemachtigd.

Instructure had in ieder geval eind vorige week nog geen contact opgenomen met ShinyHunters; de groep hackte Canvas eind vorige week daarom opnieuw. Hierbij dreigden de hackers op 12 mei data te lekken als er niet werd betaald. Scholen konden hierbij ook direct contact opnemen met ShinyHunters, stond in het bericht. Na dit bericht haalde Instructure Canvas urenlang offline.

Na die tweede hack besloten verschillende Nederlandse onderwijsinstellingen voorlopig te stoppen met Canvas, meldt de NOS. Leerlingen kunnen daardoor niet langer Canvas gebruiken om opdrachten in te leveren, of lesmateriaal of cijfers in te zien. De hack op Canvas verstoort het onderwijs dus ook en kan ervoor zorgen dat deadlines of hele tentamens uitgesteld worden.

ShinyHunters is in Nederland vooral bekend van de Odido-hack eerder dit jaar, maar hackte recent ook Rockstar Games, de Europese Unie en PornHub.

Shinyhunters Instructure Canvas

Door Hayte Hugo

Redacteur

Feedback • 10-05-2026 10:42 113

10-05-2026 • 10:42

113

Lees meer

Onderwijsplatform Canvas sluit deal met hackersgroep, 'data is verwijderd'
Onderwijsplatform Canvas sluit deal met hackersgroep, 'data is verwijderd' Nieuws van 12 mei 2026
Cyberaanval op Canvas ontregelt onderwijs bij Nederlandse universiteiten
Cyberaanval op Canvas ontregelt onderwijs bij Nederlandse universiteiten Nieuws van 11 mei 2026
Criminelen nemen kort Canvas-omgevingen universiteiten over na 'tweede hack'
Criminelen nemen kort Canvas-omgevingen universiteiten over na 'tweede hack' Nieuws van 8 mei 2026
Onderwijsinstellingen Nederland en België waarschuwen studenten na Canvas-hack
Onderwijsinstellingen Nederland en België waarschuwen studenten na Canvas-hack Nieuws van 6 mei 2026
Dieven stelen privédata van studenten en docenten via onderwijssoftware Canvas
Dieven stelen privédata van studenten en docenten via onderwijssoftware Canvas Nieuws van 4 mei 2026
Stichting begint massaclaim tegen Odido vanwege datalek
Stichting begint massaclaim tegen Odido vanwege datalek Nieuws van 20 april 2026
Vercel is gehackt via geïnfecteerde OAuth-app, maar Next.js is nog veilig
Vercel is gehackt via geïnfecteerde OAuth-app, maar Next.js is nog veilig Nieuws van 20 april 2026
Uitgelekte data toont dat GTA Online 9,6 miljoen dollar per week oplevert
Uitgelekte data toont dat GTA Online 9,6 miljoen dollar per week oplevert Nieuws van 14 april 2026
Datalek bij Hallmark treft 1,7 miljoen klanten; 82 procent al eerder slachtoffer
Datalek bij Hallmark treft 1,7 miljoen klanten; 82 procent al eerder slachtoffer Nieuws van 13 april 2026
Rockstar bevestigt datadiefstal, 'heeft geen gevolgen voor bedrijf of spelers'
Rockstar bevestigt datadiefstal, 'heeft geen gevolgen voor bedrijf of spelers' Nieuws van 12 april 2026
Shinyhunters claimt 'metricsgegevens' van Rockstar Games te hebben gestolen
Shinyhunters claimt 'metricsgegevens' van Rockstar Games te hebben gestolen Nieuws van 11 april 2026
EU bevestigt: ShinyHunters stal persoonsgegevens bij recente hack
EU bevestigt: ShinyHunters stal persoonsgegevens bij recente hack Nieuws van 3 april 2026
Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura
Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura Nieuws van 18 maart 2026
RTL Nieuws vindt gegevens van bedreigde personen en ministers in Odido-datalek
RTL Nieuws vindt gegevens van bedreigde personen en ministers in Odido-datalek Nieuws van 3 maart 2026
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026
Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden
Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden Nieuws van 27 februari 2026
Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe
Hackers publiceren weer Odido-data, Have I Been Pwned voegt eerste gegevens toe Nieuws van 27 februari 2026
Hackers zetten eerste batch met gestolen Odido-data online - update 2
Hackers zetten eerste batch met gestolen Odido-data online - update 2 Nieuws van 26 februari 2026
Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks
Gestolen Odido-klantgegevens blijken gevoeliger dan gedacht, Odido wist van niks Nieuws van 25 februari 2026
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten Nieuws van 24 februari 2026
'Pornhub-hack treft 1,5 miljoen Nederlandse accounts'
'Pornhub-hack treft 1,5 miljoen Nederlandse accounts' Nieuws van 17 december 2025
Hackers claimen diefstal kijkgedragdata van Pornhub Premium-abonnees
Hackers claimen diefstal kijkgedragdata van Pornhub Premium-abonnees Nieuws van 16 december 2025
Meer producten en artikelen
Beveiliging en antivirus Canvas Hack Hackers Onderwijs ShinyHunters Universiteit

Reacties (113)

-Moderatie-faq
113
112
42
3
0
62
Wijzig sortering

Sorteer op:

Weergave:
joyrider3774 10 mei 2026 10:46
waarom wordt betalen gewoonweg niet verboden ? Eigenlijk steun je misdaad op deze manier en vraag me of dat al niet door de beugel kan
Reageer
Blokker_1999
@joyrider377410 mei 2026 11:27
Omdat principes van aan de zijlijn altijd leuk zijn. Totdat je op een dag zelf voor de keuze komt te staan en je ineens realiseert dat principes op zo een moment een luxe zijn die je op dat moment niet meer hebt.

Stel je even voor. Je bent CEO van een onderneming die een omzet draait van een half miljard per jaar, die 3000 mensen tewerk stelt. Je doet niets verkeerd, je IT heeft een gezond budget van 8% van je totale jaarbudget. Je hebt een goed security team dat onafhankelijk zijn werk kan doen, een CISO die je vertrouwt en rechtstreeks aan jouw rapporteert. Jaarlijks goede rapporten op gebied van veiligheid. En ineens zitten die hackers binnen.

Ze eisen 50 miljoen van je, de helft van je verwachte jaarwinst. Al je systemen liggen stil. Niemand kan nog werken en als je niet binnen de week weer aan het werk bent hangt er je een boeteclausule van je klanten boven het hoofd die wel eens het einde van je onderneming kan betekenen. Ondertussen geeft je ICT dienst aan dat de backups van de laatste weken ook geinfecteerd lijken te zijn en je die data dus ook niet zomaar kunt herstellen, en zonder die data kan je niet verder.

Wat ga je doen, boeken toe uit principe, gewoon omdat je die hackers dat geld niet gunt? Je levenswerk de vuilbak in, 3000 mensen op straat met mogelijks nog eens duizenden anderen die in andere bedrijven hun job kunnen verliezen. Of denk je op dat moment dat je misschien beter kunt betalen, je data terug halen, je bedrijf laten doorwerken en weten dat je criminelen hebt gefinancierd.

Zoals gezegd. Principes hebben is eenvoudig, totdat het je treft en je voor die verschikkelijke keuze komt te staan.
Reageer
PeterPluijms @Blokker_199910 mei 2026 12:01
Hier is overigens wel een oplossing voor: stel betalen strafbaar met forse gevangenisstraffen zodat niemand meer betaalt. Dan is het businessmodel weg en wordt het een stuk minder aantrekkelijk.


Daarbij blijft het een taai verhaal, ik zit zelf ook in de security van een grote instelling en hou altijd het mantra aan: de vraag is niet of maar wanneer je een keer voor de bijl gaat. We proberen de kans daarop zoveel mogelijk te beperken en de gevolgschade als het gebeurt ook. Maar wie weet hoe wij er dan bij staan met als onze goede bedoelingen.
Reageer
pgj @PeterPluijms10 mei 2026 14:25
Het buisnessmodel is niet weg. Doorverkopen van buitgemaakte gegevens is dan het nieuwe verdienmodel.
Reageer
brammerd21 @pgj11 mei 2026 07:58
Blijft lastiger en ook duidelijk minder winstgevend, anders hadden ze het gelijk wel gedaan ipv eerst 'onderhandelen'. Verder heb je als partij nooit garantie op je afkoop.

Ik denk zelf dat de data verkoopmarkt ook veel moeilijker is. Je kan eerdere gelekte data aan bieden, geïnteresseerde lopen risico dat ze niet met Shiny hunters praten maar met Justitie of wie dan ook, data verouderd, de lijst is lang.
Reageer
Mathijs Kok @PeterPluijms10 mei 2026 13:00
Hier is overigens wel een oplossing voor: stel betalen strafbaar met forse gevangenisstraffen zodat niemand meer betaalt. Dan is het businessmodel weg en wordt het een stuk minder aantrekkelijk.
Dus als ondernemer heb ik dan de keus tussen:
  • Stiekum betalen
  • Betalen en de boete betalen (gevangenis straf is nonsense voor dit soort 'vergrijpen'
  • Falliet gaan
Zeg het maar, welke optie zou jij kiezen? Daarnaast, moet de ontwikkelaar van de software met de bug die de hack mogelijk maakte ook maar de bak in? Of zijn baas? Of de manager die die software uitzocht? Of zijn baas? Alles maar het gevang in?
Reageer
Powerblast @Mathijs Kok10 mei 2026 14:29
[...]

Dus als ondernemer heb ik dan de keus tussen:
  • Stiekum betalen
  • Betalen en de boete betalen (gevangenis straf is nonsense voor dit soort 'vergrijpen'
  • Falliet gaan
Zeg het maar, welke optie zou jij kiezen? Daarnaast, moet de ontwikkelaar van de software met de bug die de hack mogelijk maakte ook maar de bak in? Of zijn baas? Of de manager die die software uitzocht? Of zijn baas? Alles maar het gevang in?
Stiekem betalen wordt heel lastig. Hoe ga je een incident dat je moet melden bij de autoriteiten gaan ombuigen naar oepsie, het was toch geen lek. Niks aan de hand jongens.

Je lijkt nu te doen alsof de enige optie betalen is. Je hebt alsnog geen enkele garantie dat ze de gegevens niet vroeg of laat alsnog lekken. De enige garantie die er is, is dat je je geld kwijt bent. I know, naamsbekendheid, dan denk ik, precies of ze starten dan niet gewoon een ander nieuw groepje waarvan ze de naam zuiver houden en iedereen overhevelen eens de naam teveel besmeurd is.

Ik heb er persoonlijk ook geen oplossing voor, maar ik denk dat we als samenleving toch dringend eens moeten nadenken hoe we hiermee willen omgaan. Want én hopen op dat iedereen 100% waterdichte beveiliging heeft én gewoon betalen zijn beide sluitende oplossing naar mijn mening.

[Reactie gewijzigd door Powerblast op 10 mei 2026 14:31]

Reageer
vanviegen @Mathijs Kok11 mei 2026 17:54
gevangenis straf is nonsense voor dit soort 'vergrijpen'
Dat lijkt me niet. Je drijft aantoonbaar handel met criminelen, en het effect hiervan is dat je alle andere Nederlandse/Europese organisaties een target maakt. Bestuurders hebben het graag over de verantwoordelijkheid die ze nemen; nou bij deze dan.
Reageer
lucatoni @PeterPluijms10 mei 2026 12:10
Het business model is dan helemaal niet weg. Die data kan op andere manieren gebruikt worden om geld te verdienen. Denk aan de zwarte markt, en als dat niets oplevert de data gebruiken om media aandacht en verwarring te creeren, en naamsbekendheid te creeren. Heel Nederland kent deze groep.
Reageer
GS3315 @PeterPluijms10 mei 2026 13:00
Hier is overigens wel een oplossing voor: stel betalen strafbaar met forse gevangenisstraffen zodat niemand meer betaalt. Dan is het businessmodel weg en wordt het een stuk minder aantrekkelijk.
Bedoel je dan een wereldwijd verbod? Want een verbod in één land of een kleine groep landen (zoals de EU) gaat het echt niet minder aantrekkelijk maken. Sterker nog, ik vrees zelfs dat het averechts zal werken.

In regio's waar niet betaald mag worden, zullen datasets vaker publiekelijk worden gedumpt om als schrikbeeld te dienen voor de rest van de wereld. Hackers kunnen dan elders zeggen: 'Kijk naar deze lijst met slachtoffers die niet konden betalen; wil jij dat jouw data ook voor iedereen op straat ligt?' Het gevolg is dat organisaties in landen zonder verbod juist méér onder druk staan om snel te betalen.

Weet je... eigenlijk kan je de huidige lijsten (zoals die van SH) ook al precies op diezelfde manier zien.

We moeten stoppen met dit puur als een financieel businessmodel te zien. Bij groepen als SH draait het om meer dan geld alleen; het draait om macht en het zaaien van maximale paniek. Als het ze puur om de winst te doen was geweest, hadden ze de data van bijvoorbeeld Odido niet gratis online gezet voor de eerste de beste voorbijganger, maar hadden ze het op het darkweb geveild aan de hoogste bieder. Voor hen is de publieke vernedering en de chaos die ze veroorzaken vaak net zo waardevol als de buit zelf.

Vergeet niet ... wantrouwen creëren, paniek zaaien of de maatschappij ontwrichten kan ook een vorm van betaling zijn hé.
Reageer
vanviegen @GS331511 mei 2026 17:58
Het feit dat de odido data gratis gedumpt is, betekent dat deze op de illegale markt nauwelijks iets waard is. Dus inderdaad meer waard voor het stellen van een voorbeeld.

Een (goed gehandhaafd) verbod op betalen van losgeld betekent daarom dat er eigenlijk niks overblijft van het business model van deze criminelen. Kunnen ze misschien een wat minder destructief baantje gaan zoeken.
Reageer
Cor001 @PeterPluijms10 mei 2026 13:10
Als je dit toch strafbaar stelt, trek het dan breder. Bij ontvoeringen is losgeld betalen strafbaar gesteld, bij betalingen bij overige afpersingen ga je gelijk de bak in. Of toch niet?

Strafbaar stellen van betalingen is de oplossing niet. Wat de oplossing is zou ik ook niet weten, maar hoe dan ook moet nog steeds de focus liggen om die hackergroepen op te pakken, zo internationaal mogelijk.
Reageer
pgj @Cor00110 mei 2026 14:29
Onzin, het is niet strafbaar om losgeld te betalen. Het is wel verboden om aan terroristische organisaties te betalen.
Reageer
Cor001 @pgj10 mei 2026 15:53
Dat zeg ik ook niet. Ik reageer op het idee om betalen strafbaar te stellen en dan heb je gelijk:onzin.
Reageer
Oon @PeterPluijms10 mei 2026 21:36
Wie gaat er naar de gevangenis dan? Degene die de betaling heeft goedgekeurd? De finance medewerker die 'm heeft verwerkt? De hele directie?
Bij dergelijke organisaties is er doorgaans (gelukkig) weinig link tussen de rechtspersoon en de personen erachter, juridisch gezien. Lastig om dan iemand persoonlijk onder het strafrecht te straffen.
Reageer
Remzi1993 @PeterPluijms10 mei 2026 21:57
Of verbied betalen en richt als overheid een fonds voor bedrijven op die geraakt worden zodat ze niet failliet gaan. Dat fonds is er alleen als een bedrijf failliet dreigt te gaan. Dan heb je pas een oplossing.

En maakt als 1 van de eisen van het fonds dat je goede beveiliging moet hebben en de beveiliging op orde moet zijn.

[Reactie gewijzigd door Remzi1993 op 10 mei 2026 21:58]

Reageer
Mathijs Kok @siggy10 mei 2026 13:02
. Als je de indruk hebt dat op marktplaats een gestolen object wordt verkocht en je koopt het,dan doe je mee aan heling en dat is strafbaar.
Leg eens uit, wat heeft heling te maken met het betalen van losgeld? Ik snap je redenering niet.
Reageer
siggy @Mathijs Kok10 mei 2026 13:44
Meehelpen aan diefstal is strafbaar, zelfs als je slechts redelijkerwijs had kunnen vermoeden dat iet gestolen was.

Met digitale data is dat ineens geen enkel probleem meer. Het hele idee van heling strafbaar stellen is om dieven niet in de hand te werken, anders zouden er genoeg mensen in een gestolen Lambo rondrijden. Bij wijze van. En aangezien er meer verhalen zijn dat mensen die afgeperst worden van gestolen data meehelpen, werkt het deze cybercriminelen in de hand. Daarnaast is het ook enorm onhandig dat het nieuws van tegenwoordig dit ook volop publiceerd. Echt alsof men schreeuwt van de daken dat cybercriminaliteit loont en dat het de beste carriereladder is als IT'er.


Kort door de bocht? Vast. Niet helemaal 1 op 1 hetzelfde? Zeker. Maar zo doorgaan op deze manier heeft maar een resultaat: nog meer cybercriminaliteit.
Reageer
Powerblast @Mathijs Kok10 mei 2026 14:24
Heling wordt aanzien als meewerken aan illegale praktijken. Dat zou voor betalen van losgeld bij een hack ook zo kunnen zijn maar is het niet op dit moment.
Reageer
Deezers @Blokker_199910 mei 2026 11:55
En de politie maar roepen: criminaliteit mag niet lonen. Als je ze betaald doet dat het dus juist wel. Deze hackers maken precies zoals je zegt heel gericht werk van volgende slachtoffers uitzoeken en kijken hoe ver ze kunnen gaan en vaak bij organisaties die geen keuze hebben of waar anderen sterk van afhankelijk zijn of hele diepe zakken hebben. Waar het voorheen de slager op de hoek was met rammelende IT, gaan ze nu meteen voor de grote haaien / toeleveranciers. Hoe groter de druk/ophef van buitenaf, hoe groter de kans dat ze ook daadwerkelijk betaald krijgen.

[Reactie gewijzigd door Deezers op 10 mei 2026 11:56]

Reageer
_eLMo_ @Blokker_199910 mei 2026 12:08
In het geval van deze universiteiten gaat het om een datalek, niet om het niet meer functioneren van de systemen toch?
Ik mag hopen dat ze daarvoor niet gaan betalen, die data is al gelekt.
Reageer
siggy @Blokker_199910 mei 2026 12:24
Waarom hebben we dan principes als we die opzij kunnen zetten als het ons uitkomt? Dan zijn het geen principes meer.

En wat is dan de oplossing? Van de politie\FIOD\Interpol hoef je ook niks meer te verwachten.


Linksom of rechtsom is het criminelen in de hand werken én criminaliteit belonen. Misschien moet er maar een fonds komen dat criminelen kunnen aankloppen voor gratis geld zodat ze geen schade meer aanrichten? Beetje gelegaliseerde afpersing?
Reageer
xenn99 @Blokker_199910 mei 2026 12:13
Omdat principes van aan de zijlijn altijd leuk zijn. Totdat je op een dag zelf voor de keuze komt te staan en je ineens realiseert dat principes op zo een moment een luxe zijn die je op dat moment niet meer hebt.
En dat is precies de reden dat het verboden moet worden.
Om dit soort incapable CEO's de keus te ontnemen.
Als het simpelweg geen optie meer is kun je daar vooraf rekening mee houden.
Als dat dan niet lukt dan is dat IT Team dat je vertrouwde blijkbaar toch niet zo capabel, dat is dan jouw eigen schuld, jij hebt ze immers aangenomen.
Ik vind het zo makkelijk om maar te zeggen ja we konden er niks aan doen, dat is zeker in IT, bijna altijd onzin.
Reageer
Mathijs Kok @xenn9910 mei 2026 12:56
[...]

En dat is precies de reden dat het verboden moet worden.
Om dit soort incapable CEO's de keus te ontnemen.
Als het simpelweg geen optie meer is kun je daar vooraf rekening mee houden.
Als dat dan niet lukt dan is dat IT Team dat je vertrouwde blijkbaar toch niet zo capabel, dat is dan jouw eigen schuld, jij hebt ze immers aangenomen.
Ik vind het zo makkelijk om maar te zeggen ja we konden er niks aan doen, dat is zeker in IT, bijna altijd onzin.
Ahhhh, jij denkt echt dat je dit soort hacks altijd kunt voorkomen? Dat je zelf nooit het slachtoffer kunt zijn? Ik moet de IT-pro die dat denkt nog tegenkomen, de meesten zijn namelijk te intelligent om dat te zeggen en weten wel beter. Maar als jij het beter weet en garanties kunt geven, zul je kapitaal kunnen verdienen! Ik zou je zonder een seconde te nadenken in dienst nemen.
Reageer
xenn99 @Mathijs Kok10 mei 2026 13:08
Deze hack had inderdaad voorkomen kunnen worden, net zoals bijna alle hacks, dat lijkt me vrij logisch?
Ik stoor me enorm aan de mentaliteit dat er toch niks aan te doen is, daar gaan we de oorlog niet mee winnen.
De enige manier om bedrijven te forceren hun digitale zaken beter op orde te hebben is door daar strengere regels aan te hangen.
Actie in plaats van reactie, dat is wat we nodig hebben.

En als dit volgens jou niet de juiste weg is, wat dan wel?
Reageer
Teknix1982 @xenn9910 mei 2026 13:34
Er zijn niet genoeg @xenn99’s op de wereld om ieder bedrijfsnetwerk veilig te houden. De rest van de wereld snapt namelijk wel dat elke hack niet perse inhoudt dat de IT afdeling incapabel is. Waar mensen werken worden fouten gemaakt en de ene fout heeft wat grotere consequenties dan de andere. Vanaf de buitenkant oordelen is makkelijk.
Reageer
xenn99 @Teknix198210 mei 2026 14:09
Ik zeg nergens dat ik het op kan lossen hoor. ;)
En natuurlijk worden er fouten gemaakt, maar om dat als argument te gebruiken om dan maar niets te veranderen vind ik niet erg logisch.

Zeker de laatste tijd wordt wel duidelijk dat het probleem steeds groter groeit met de steeds verder gaande digitalisering van onze samenleving.
Deze hacks moeten gewoon gestopt worden, en dit is voor mij de meest logische eerste stap.

Zelf vind ik een autogordel wel een goede vergelijking, in 99.99% van de gevallen beveiligt het mensen tegen letsel maar in 0.01% van de gevallen is de autogordel de oorzaak van het overlijden.
Moeten we autogordels dan maar niet meer verplichten omdat er ooit situaties denkbaar zijn waarbij het nadelig zou kunnen uitpakken?
Reageer
uFx @xenn9910 mei 2026 13:33
Dit is echt een zo schattige reactie :) @Mathijs Kok gaf aan dat je meteen in dienst zou kunnen komen. Ik zou juist niemand in dienst nemen die zo stellig is dat een hack altijd te voorkomen is.
Reageer
R_Zwart @xenn9910 mei 2026 12:47
En als het kleinere bedrijven zijn die de klap van een hack niet kunnen opvangen? Gewoon maar lekker failliet laten gaan ipv losgeld betalen? Theoretisch heb je helemaal gelijk maar als je zelf in zo'n situatie terecht komt ben ik echt benieuwd hoe sterk je principes zijn.

En nu niet zeggen dat het zijn eigen schuld is dat hij gehackt werd want het kan iedereen overkomen.

[Reactie gewijzigd door R_Zwart op 10 mei 2026 12:50]

Reageer
metalmania_666 @xenn9910 mei 2026 13:49
Alles en iedereen kan gehackt worden. Ook de beste instanties.

Soms héb je gewoonweg geen keus.

Niet betalen en de heleboel failliet laten gaan? Nee. Dat ga je gewoon niet doen.

Princiepes zijn mooi en goed. Maar soms moet je ze toch opzij zetten omdat de realiteit nu eenmaak anders is
Reageer
Powerblast @xenn9910 mei 2026 14:14
Dat alle hacks te voorkomen zijn is ook een utopie. Je kan je beveiliging zelf nog zo goed in orde hebben, er moet maar één medewerker op een verkeerd linkje klikken en je kan al prijs hebben. Supply chain attacks enzovoort. Er valt vanalles te bedenken wat je zelf nooit 100% in handen hebt.

Plus het feit, we blijven mensen, zelfs de meest oplettende paranoïde persoon klikt misschien ooit per ongeluk wel eens op wat waar hij beter niet had op geklikt.

Betalen blijf ik ook altijd wat wrang vinden, het houdt een verdienmodel in stand wat uiteindelijk ook voor niemand goed is. Ik snap het wel, maar uiteindelijk financier je onrechtstreeks eigenlijk het volgende slachtoffer.

[Reactie gewijzigd door Powerblast op 10 mei 2026 14:18]

Reageer
xenn99 @Powerblast10 mei 2026 14:36
Tja als ze het digitaal niet beveiligd krijgen dan moeten ze misschien maar terug naar een papieren boekhouding. ;)
De tijd van hand boven het hoofd houden van dit soort bedrijven is wat mij betreft wel voorbij.
Wij als gebruikers/klanten zijn de dupe terwijl die bedrijven gewoon betalen, wat reputatieschade nemen en doorgaan of er niets gebeurd is.

Natuurlijk is 100% beveiliging een utopie, maar dat zou wel het doel moeten zijn.
Reageer
Powerblast @xenn9910 mei 2026 14:45
Natuurlijk is 100% beveiliging een utopie, maar dat zou wel het doel moeten zijn.
Ben ik het volledig met je eens :). De praktijk is echter dat er zoveel factoren zijn die je zelf niet in handen hebt, dat je alsnog prijs kunt hebben. Hacks zijn volgens mij de laatste jaren veel minder de "domme" gebruiker die een random USB stick inplugt. Dat geval kennen we ondertussen wel allemaal. Het heeft niet altijd te maken met een falend IT beleid.
Reageer
peize9 @xenn9910 mei 2026 16:26
Ja want je security team moet natuurlijk alle zero-days kennen en al opgelost hebben voordat het bekend wordt. Tuurlijk kan niets perfect zijn en beveiliging kan niet absoluut zijn. Het meestal juist geen onzin. Medewerkers zijn maar tot op zekere hoogte te trainen, IT heeft nu met AI veel zero days. Enige wat hij beter zou kunnen doen is een recovery plan hebben dat werkt.
Reageer
Guru Evi @Blokker_199910 mei 2026 12:59
Het gat in je verhaal is natuurlijk dat er voldoende budget, goede rapporten, uitstekende mensen en dan val je nog steeds slachtoffer? Daarnaast is data niet zomaar geïnfecteerd, data wordt niet uitgevoerd, dus maakt niet uit, en grote veranderingen in je data moeten opgemerkt worden.

Hier is het probleem grotendeels dat een derde partij hun data verloren heeft. Waarom dat hun aanspoort om te betalen begrijp ik niet, de data ligt al op straat, de schuld en juridische aansprakelijkheid ligt niet bij de klant. Er is niets dat betaling kan veranderen behalve dat ze aansprakelijk worden voor het steunen van digitale criminelen.
Reageer
m.z @Blokker_199910 mei 2026 13:13
Voor mij gevoel is het zit er vaak een sterke zwart/witte mening achter, terwijl de situatie vaak wisselend is, waar ik me afvraag of een sterke zwart/wit “regel” daadwerkelijk toepasbaar is voor diegene die slachtoffer is.

Ik ben verre van voorstander dat doormiddel betalingen, dit soort praktijken gestimuleerd blijven, maar ik heb ook wel begrip voor totale dienstverlening op zijn gat ligt, inclusief alle data verloren raakt of op straat komen te liggen, er wel even anders naar gekeken wordt.

Wat ik vrij weinig zie is, wat zijn de (onzichtbare) kosten die de organisatie maakt door zoiets, wat wegen de kosten op tegenover wel betalen en wat zijn mogelijkheden slachtoffer kosten/risico’s, zoals bijvoorbeeld vin Odido datalek.
Reageer
pgj @Blokker_199910 mei 2026 14:18
Volgens mij hadden ze aan odido iets meer dan 1 miljoen gevraagd. Ik heb ook 500000 voorbij zien komen.. Met een omzet van ongeveer 2.5 miljard euro hadden ze dat beter kunnen betalen.
Reageer
tr4m0ryp @Blokker_199910 mei 2026 15:12
.

[Reactie gewijzigd door tr4m0ryp op 10 mei 2026 16:34]

Reageer
peize9 @Blokker_199910 mei 2026 16:22
Dat is dan even door het stof bijten, alsnog ben je medeplichtig aan het tot stand houden van een criminele organisatie. Dit is groter dan alleen dat bedrijf. Door dat jij het betaald zijn de volgende paar bedrijven weer slachtoffer omdat deze organisatie weer geld heeft gekregen. Het is niet leuk voor jou, je bedrijf, je mensen. Maar je bedrijf zou ook vanuit volledige lockout weer opgebouwd moeten kunnen worden vanuit backups. De klant data is zodra het in de handen van shinyhunters is al verloren, dus dat kwaad is al geschied. De moeilijke keuzes voor de verbetering van een algeheel probleem moet juist via wetgeving besloten worden.
Reageer
Ryunoru @Blokker_199910 mei 2026 17:46
Gewoon lekker betalen en er dan achter komen dat de data op termijn alsnog gelekt wordt.

Of backups terugzetten. Ik zou dat doen. Maargoed, wie ben ik.
Reageer
mrPopo @Blokker_199910 mei 2026 19:19
Het probleem is dat de ShinyHunters in dit geval de data al volledig in handen heeft.
Als men betaald heb je nog steeds geen zekerheid dat de data niet lekt, en daarbij komt dat het al eerder is voorgekomen dat er leden bij shinyhunters zijn weggegaan en data alsnog hebben verkocht aan derden.

Daarom ben ik ook voor een algeheel verbod om hierop in te gaan, trekken we dat door in heel EU, dan wordt het voor hackers die er financieel op vooruit willen minder interessant om in de EU data te stelen en geld proberen te halen bij de slachtoffers.

Laten we de straffen maar eens hoge maken voor dit soort figuren en nog nauwer samenwerken met andere landen om ze ook daadwerkelijk te pakken te krijgen. Dit soort entiteiten, want mensen wil ik het niet meer noemen, moeten voor de rest van hun leven geen stuk elektronica meer aanraken mogen.
Reageer
GertMenkel
@Blokker_199910 mei 2026 19:36
Maar dat is juist de reden dat men dit bij wet wil verbieden. Je principes worden niet getest als je niet mág betalen. Afpersen werkt doordat deze insteek algemeen geaccepteerd is.

Heel leuk, dat verhaal van je halve jaarwinst, maar dan betaal je 50 miljoen, gaan ze er met het geld vandoor, en mag jij de schuldeisers van je alsnog failliete bedrijf vertellen waarom hun facturen nooit betaald zullen worden. 3000 mensen kloppen alsnog aan bij het UWV maar nu komt de fallout van 50 miljoen weggegooid geld bij de maatschappij terecht.

Daarnaast slaat dat voorbeeld helemaal nergens op in deze context, omdat de data er nog is. Het probleem is dat de crimineel de data ook heeft. Zodra die crimineel wordt gearresteerd en de dodemansknop omgaat, ligt die data alsnog op straat, alleen heeft de crimineel een paar jaar in luxe kunnen leven.

Die theorie gaat alleen op bij criminelen die je kunt vertrouwen. Bepaalde groepen binnen criminele organisaties zoals de maffia or yakuza kun je proberen te vertrouwen, maar een late tiener in een ver land die van hackgroep naar hackgroep zweeft?
Reageer
PixelPionier @Blokker_199910 mei 2026 21:16
Dat is dan echt wel het aller allerslechtste IT team ter wereld. Je kunt het best zo inregelen dat je nauwelijks data kwijt bent en binnen een paar uur weer operationeel bent. Er is echt 0,0 noodzaak tot betalen en als die noodzaak er wel is, dan heb je echt enorme fouten lopen maken en dien ze als bedrijf zowieso niet met data te werken!
Reageer
HoppyF @Blokker_199910 mei 2026 21:31
Mooi verhaal met één grote fout. Dit: “En ineens zitten die hackers binnen.”

Als je je security en ICT budgetten op orde hebt maken hackers geen kans. Ze zoeken de zwakste schakel bij bedrijven of organisaties waar ze hun zaakjes niet op orde hebben. Laag hangend fruit voor de hackers. Ze hebben geen zin om bij een goed beveiligde organisatie in te breken, kost teveel tijd en moeite, het is veel makkelijker om het ergens anders te proberen.

Dus: investeren in ICT en dergelijke afdelingen niet zien als kostenpost maar als een absoluut noodzakelijke afdeling die het bedrijf of organisatie in leven houdt.
Reageer
Flappiewappie @Blokker_199911 mei 2026 07:37
Ik begrijp je pleidooi, maar dit is inderdaad precies het punt dat je als leider/CEO principes moet hebben. Business cases kan iedereen maken, rationele keuzes op basis daarvan ook. Dan komt er creativiteit kijken in stressvolle situaties. Als een CEO kan uitleggen waarom dit nodig is, dan zou dat afdoende zijn.

Nu betalen, zijn ze er over een maand weer… wat hebben de aandeelhouders daar aan?

betalen = de markt aanjagen. Beter investeren in nieuwe systemen en weg bij partijen die de boel niet in orde lijken te hebben.

Als er is ingebroken vervang je toch ook alle sloten? Je gaat de dief toch niet betalen om de sleutel terug te geven? Owja en de schade - daar moet je je voor verzekeren. Die zorgen ervoor dat de schade verhaald kan worden bij de verantwoordelijke partij- dit is het enige business model wat je moet willen hebben.
Reageer
DeRinus @Blokker_199911 mei 2026 15:54
De data is in dit geval niet kwijt. Er dreigt een groep hackers alle studenten te doxxen.
Voor bedrijven is het vaak een kosten/baten afweging. Ook bij Odido was dit echt geen principe kwestie.
Reageer
Chris.Honselaar @Blokker_199911 mei 2026 17:15
Betalen betekent simpelweg dat je een directe sponsor bent van de activiteiten van zo'n groep. Terwijl je er voor je bedrijf ook eigenlijk bijna niets mee bereikt. Wie gaat er precies gerustgesteld zijn dat de gestolen gegevens inderdaad verwijderd zijn en er geen toekomstige aanvallen (onder een andere hackergroep naam of gewoon dezelfde, zoveel maakt het ook niet meer uit) meer plaatsvinden? Je klanten? Jijzelf?

Ik snap echt de mentale acrobatiek niet van "laten we cybercriminelen goed belonen zodat ze gegarandeerd meer van hetzelfde gaan doen, voor geen enkelen aantoonbare garantie terug". Principes is één ding, maar laten we beginnen met eenvoudige logica toepassen.

[Reactie gewijzigd door Chris.Honselaar op 11 mei 2026 17:17]

Reageer
Pasteis @joyrider377410 mei 2026 11:00
waarom wordt betalen gewoonweg niet verboden ? Eigenlijk steun je misdaad op deze manier en vraag me of dat al niet door de beugel kan
Klinkt leuk en misschien kan je dat als enkel land wel organiseren, maar om te slagen zullen veel meer landen dat moeten doen.

Bovendien. Het is makkelijk praten langs de zijlijn.
Reageer
siggy @Pasteis10 mei 2026 12:46
[...]

Bovendien. Het is makkelijk praten langs de zijlijn.
Het is ook makkelijk om te zeggen dat 8% van het budget prima is voor de beveiliging terwijl dat compleet geen relatie tot elkaar heeft.

Zo makkelijk omgaan met diefstal en het in de hand werken is een reden voor bedrijven om te besparen op IT veiligheid om zo een potje te maken voor uitbetaling.


En dan de criminelen op de blauwe oogjes geloven dat ze het niet op de zwarte markt verder verhandelen. Want daar heeft iedereen toch zo'n zicht op.....
Reageer
roelst1 @joyrider377410 mei 2026 12:19
Zal je het zelfde zeggen als je kind wordt ontvoerd? De ontvoerders vragen €10.000, anders wordt je kind verkocht aan de hoogste bieder op de zwarte markt. Ik denk dat de meeste ouders er dan alles aan doen om die €10.000 bij elkaar te sprokkelen, want de kans dat de politie het netjes oplost is klein.

Natuurlijk wil je criminaliteit niet steunen, maar je keuzes zijn vrij beperkt. Op het moment dat niemand betaalt, is het probleem ook niet opgelost. De criminelen gaan dan niet opeens voor het Wereld Natuur Fonds werken ofzo, die vinden gewoon een andere criminele activiteit. In dit soort gevallen moet je gewoon hopen dat de politie zo doorontwikkelt dat de pakkans te groot wordt voor jongeren om er aan te beginnen.
Reageer
GertMenkel
@roelst110 mei 2026 19:41
Toch betaalt de Nederlandse overheid geen losgeld voor gijzelaars, dus het idee dat je maar beter kunt betalen leeft nu ook weer niet bij de mensen die het land besturen.

Overigens is het idee dit jaar nog geopperd en is het duidelijk geworden dat de huidige overheid het niet zit zitten om losgeld betalen te verbieden.
Reageer
R_Zwart @joyrider377410 mei 2026 12:45
Ik heb pas een presentatie gezien van een ondernemer die uiteindelijk failliet is gegaan na een hack. Hij gaf aan dat als het nog een keer gebeurt hij direct zou betalen. De keuze is niet zo moeilijk als je moet kiezen tussen betalen van losgeld of je bedrijf failliet zien gaan.

Maar goed, er zijn altijd theoretici die denken dat regeltjes alles oplossen en voorkomen.
Reageer
Wolfos @joyrider377410 mei 2026 12:57
Ik zie liever dat we naar een zero trust systeem gaan, waar persoonsgegevens alleen in systemen staan waar security audits op uitgevoerd worden.

Momenteel mag iedere toko jarenlang jouw gegevens opslaan puur omdat je er ooit een bestelling hebt gedaan. Waarom? Jouw adres was maar één keer nodig.

[Reactie gewijzigd door Wolfos op 10 mei 2026 12:57]

Reageer
FreezeXJ @Wolfos10 mei 2026 14:30
Dat gaan we ook wel, maar bedrijven gaan zoiets pas implementeren als de verwachte kosten lager zijn dan die van het verliezen van data. Op dit moment is het nog best handig om gewoon effe alles in een tabelletje te gooien, en te laten staan. Gehackt worden kost je het losgeld en een dikke excuusbrief (gratis), en de kans dat je gepakt wordt kun je nog best laag inschatten, dus voorlopig zien bedrijven echt geen reden om hun hele infra en software te (laten) herbouwen met security in het achterhoofd.

Sowieso kun je altijd nog gewoon de tent dichtgooien als je gehacked bent, dus je maximale verlies is je hele bedrijf. Meer niet. Da's beroerd, maar niemand komt aan de euros die je al verdiend hebt, niemand gaat de cel in, en uiteindelijk vind je vanzelf wel weer een baan op niveau, als de storm om je toko een beetje uitgeraasd is.
Reageer
Wouterie @Wolfos10 mei 2026 16:27
Dat klinkt leuk, maar in dit geval gaat die vlieger niet op. Weet je nog dat in 2024 de Politie zelf ook een datalek had doordat ze gehacked waren? Audits zeggen niet alles.
Reageer
moonlander @joyrider377410 mei 2026 13:07
Als je vader/moeder/kind/oma/opa etc. ontvoerd wordt en losgeld wordt geeist, denk je er dan nog zo over? Dan maar niet betalen want misdaad moet je niet belonen?
Reageer
Zerora @joyrider377410 mei 2026 13:53
Het is kiezen tussen twee kwaden. Betalen van de criminelen is het mindere kwaad in dit geval. Alle data van studenten op straat is veel erger.
Reageer
litebyte @joyrider377410 mei 2026 14:07
Dat 'steun je misdaad' wordt ook altijd gezegd bij de ontvoering van personen in landen in zuid en midden-Amerika. Maar de familie/organisatie betaald vrijwel altijd.
Reageer
rjberg @joyrider377410 mei 2026 16:03
Omdat je slachtoffers dan chanteerbaar maakt wanneer ze in het geheim proberen te betalen, wat op de lange termijn lonender kan zijn voor criminelen.
Reageer
Wouterie @joyrider377410 mei 2026 16:24
Het verbieden op basis van wat? Het is afpersing, chantage en gijzeling. Er zijn hele rebellengroepen die daarop draaien... Het strafbaar maken om losgeld te betalen vind ik op z'n best dubieus. Het blijft een verhaal van wat het minste pijn doet: als iemand met een pistool in z'n hand achter de bosjes vandaan springt en je telefoon wilt of je dreigt dood te schieten, dan geef je ook braaf je telefoon af en ga je aangifte doen. Als je dan ook nog eens een boete van oom agent krijgt, dan ga je zeker geen aangifte meer doen.
Reageer
Discord @joyrider377410 mei 2026 16:57
Ben ik voor, ik ben dan echter ook voor het opleggen van een dikke boete bij een slechte cyber-strategie.

Ik ben consultant en de malen dat klanten het stukje cyber wegsnijden i.v.m. 'kosten' is niet te tellen.
Vervolgens worden ze gehackt en dan is het weer huilen..

Veel van deze hacks komen door slecht of laks beleid, het niet investeren in je cyber-reseliency met alle gevolgen van dien.
Reageer
themadone @joyrider377410 mei 2026 17:23
Communist tot je rijk wordt, feminist tot je trouwt, atheïst totdat het vliegtuig begint te vallen. En principieel tegen betalen totdat het je zelf overkomt en het de enige uitweg lijkt.

Niet iedereen heeft zijn zaken goed op orde, en al je studenten gegevens op straat is niet niks.

Echter, waar blijft de gecoördineerde aanval op shineyhunters? Want die gasten gaan momenteel een beetje te ver zo onderhand en het lijkt allemaal maar te mogen.
Reageer
kftnl @joyrider377411 mei 2026 13:19
Of we stoppen gewoon met zoveel aandacht eraan besteden. Alleen al in Nederland ligt van vrijwel iedereen wat data (zoals email/telefoon/oud wachtwoord) op het darkweb, en van de meeste mensen ligt heel veel data op straat waaronder NAW.

Vroeger stond veel van die info gewoon in de telefoongids. Na het odido lek is er verder ook vrij weinig gebeurd.

Ja het is heel vervelend voor bepaalde groepen (zoals mensen met stalkers), maar als jij jouw adres gebruikt in een database van bijv. een Ziggo, Odido, je energiebedrijf, een universiteit, hebben sowieso honderden of duizenden personeelsleden en contractors van zo'n bedrijf toegang tot die data. Het is misschien beter je maatschappij zo in te richten dat we er gewoon mee om kunnen gaan dat zulke data op straat ligt... want dat ligt het toch al.

Als er niet zo veel imagoschade en potentiële boetes van de overheid op het spel stonden zouden bedrijven ook niet snel gaan betalen.

[Reactie gewijzigd door kftnl op 11 mei 2026 13:21]

Reageer
Eren @joyrider377411 mei 2026 15:29
Omdat de politie en overheid altijd zeggen niet te betalen, en jij dan als je bedrijf hierdoor ten onder gaat en failliet en mogelijk in de schulden gaat, de overheid jou echt niet helpen om van de voeten te komen. Zeker als datalek niet door jou is gekomen, maar door de partij die is gesocial engineerd en via hun toegang heeft gekregen tot je data.
Reageer
Monday 10 mei 2026 10:45
Tja zo zie je maar weer dat misdaad loont, misschien is het voor de grote bedrijven beter om jaarlijks een test te laten doen door een security bedrijf die hierin is gespecialiseerd? Gebeurd met de beurs ook regelmatig dan wel.
Reageer
Blokker_1999
@Monday10 mei 2026 11:17
Wij laten meerdere pentests per jaar uitvoeren en volgen de aanbevelingen op die uit zulke tests komen, tenzij we goede redenen hebben om het niet te doen en het risico op een andere manier afdekken. Maar we zien ook elke keer dat er telkens andere manieren gevonden worden om toch weer redelijk ver te komen. En je moet eens een pentest laten uitvoeren met een drop van USB sticks in en rond het gebouw. Ook altijd leuke resultaten.

En de kans dat een hacker binnen geraakt in je systemen is sowieso vrij groot als ze voldoende tijd en doorzettingsvermogen hebben. Vergeet niet dat vele hacks vandaag beginnen met social engineering. Iemand die een bijlage opent die geinfecteerd is, een helpdesk die een wachtwoord reset van een gebruiker of een receptioniste die veel te loslippig is aan de telefoon en zo te veel informatie doorspeelt die weer misbruikt kan worden.

En met de huidige en aankomende wet- en regelgeving worden bedrijven meer en meer verplicht om te investeren in beveiliging en moet men meer en meer kunnen aantonen de nodige stappen te ondernemen. Pentests zullen daar zeker ook voor meer en meer bedrijven onderdeel van worden. Maar zulke testers zijn beperkt in hun mogelijkheden en tijd en kunnen nooit alles vinden en zijn ook niet zaligmakend. Want ze hebben hun rapport nog niet opgeleverd of je omgeving is alweer gewijzigd.
Reageer
Pasteis @Blokker_199910 mei 2026 12:08
Het probleem zit 'm veelal in dat het bestuur de risico's accepteert. De stortvloed van de laatste maanden en de komende regelgeving kunnen hier echter verandering in aanbrengen.

CISO's worden al snel als irritant en duur weggezet, maar ik denk dat ze in hun handen wrijven met het nieuws van de laatste tijd.
Reageer
Triblade_8472 @Monday10 mei 2026 10:52
Wie zegt dat dat niet gebeurt?

Er zijn ook vele certificeringen die alle bedrijven hebben en toch worden ze gehacked.

Sterker nog, naar mijn mening zijn de meeste certificeringen een wassen neus. Er wordt mee gesmoemeld bij het leven en de inhoud is ook niet echt geweldig. Veelal risicobeheersing, maar nergens technische kennis om dit ècht te toetsen. Er zitten ook veel vriendjes van elkaar in datzelfde circuit. Er zitten genoeg goede bij, vast wel, maar ik heb ook anders gezien en gehoord.
Reageer
closefuture @Triblade_847210 mei 2026 11:12
Er wordt mee gesmoemeld bij het leven en de inhoud is ook niet echt geweldig. Veelal risicobeheersing, maar nergens technische kennis om dit ècht te toetsen.
Een standaard als ISO 27001 is opzich een prima risico management framework. Mits je daadwerkelijk erin zit om er wat van te leren, maar de meeste partijen willen gewoon een certificaat aan de muur "omdat de klant erom vraagt". ISO auditors zijn veel al niet technisch en focussen zich vooral dus op de niet technische zaken van information security, de tastbare zaken zoals een clean desk policy. Daarnaast heeft ISO ook de eis laten varen dat een ISO auditor minimaal 4 jaar ISO ervaring moest hebben, en daarmee is (al zegt ISO natuurlijk van niet) de kwaliteit van auditors nog verder omlaag gegaan.

Dus de standaard is een goede template om te werken, maar in de praktijk willen bedrijven niet zo werken. Ze willen een certificaat.
Reageer
Triblade_8472 @closefuture10 mei 2026 11:18
Precies, gezien bestuurders verantwoordelijk zijn gemaakt voor hun omgeving, zullen er alleen maar meer "schijncertificaten" komen. Voor de vorm dus.

Wat ik hoop is dat er veel meer onafhankelijke controleinstanties komen die certificeringsinstanties aan kunnen pakken. Al zal je altijd wel ergens een kink in de kabel hebben...
Reageer
TerminalNL @closefuture10 mei 2026 11:32
Daarom is het ook belangrijk om te kijken wie het certificaat heeft afgegeven.

Dit gaat met alles rondom certificaten op. Het zou niet zo moeten zijn, maar toch zit daar verschil in. Daarom zie je ook dat de serieuze partijen ook naar de serieuze stappen voor een certificaat.

Waarbij ook nog eens het zo is dat een 27001 en 9001 net zo moeilijk of makkelijk zijn hoe je het zelf vormgeeft.
Reageer
batjes @Triblade_847210 mei 2026 11:14
Certificeringen hebben de waarde die de organisatie er zelf aan hecht. De audits zijn wel zelfverbeterend, maar slaan tegelijkertijd eigenlijk ook nergens op.

Audits graven nooit diep genoeg en de meeste bedrijven met zo'n certificering doen 1 dag per jaar "clean desk policy, kasten dicht, alles netjes'-beleid voeren.
Reageer
theduke1989 @Monday10 mei 2026 11:07
Dat kun je natuurlijk niet zo stellig stellen.

Persoonlijk heb ik ook altijd het gevoel dat het bedrijf waar ik werk zeer goed beveiligd is. We beschikken over een gespecialiseerd team dat continu CVE’s, Rapid7, Microsoft Defender en diverse andere security-oplossingen monitort. Daarnaast draaien er actieve honeypots en vinden er wekelijks meerdere overleggen plaats met Group IT om de beveiligingsscores van alle systemen te evalueren. Systemen met verhoogde risico-indicatoren worden nog dezelfde week gepatcht. Verder hanteren wij een strak patchbeleid waarbij er tweemaal per maand updates worden uitgerold: één keer een week na Patch Tuesday en nogmaals twee weken later.

Desondanks zou ik nooit beweren dat een organisatie “niet hackbaar” is. Die uitspraak kun je simpelweg niet garanderen. Wij zijn bovendien een portfoliobedrijf dat regelmatig portefeuilles van verzekeraars overneemt. In sommige gevallen nemen we ook infrastructuur over; deze wordt direct in een aparte DMZ-omgeving geplaatst en uitgebreid gecontroleerd op malware, verdachte PST-bestanden en andere risico’s. In de meeste gevallen gaat het echter uitsluitend om de portfolio’s zelf.

De realiteit is dat informatiebeveiliging een continu proces blijft en nooit volledig waterdicht is. Zeker met de komst van DORA-regelgeving ligt de lat nog hoger en moet vrijwel ieder potentieel security-incident formeel worden geregistreerd en opgevolgd, vaak zelfs direct als een P1-incident.
Reageer
Rikkert86 @Monday10 mei 2026 11:47
Garanties heb je helaas nooit. Het is en blijft risico afweging, waarin altijd (helaas) 'accepted risks' zullen zitten. Een bank kan theoretisch ook zijn pin apparaat in een bunker met 20 meter dikke muren stoppen om het risico op bijv ramkraken te mitigeren, maar dit zijn onrealistische maatregelen. Maatregelen kunnen altijd maar tot een bepaalde hoogte realistisch worden genomen. Mijn inziens zit de grootste tekortkoming in kennis en educatie van de individu. Het gros van de hacks begint nog steeds bij eindgebruikers.
Reageer
neversium @Monday10 mei 2026 11:10
Het zal vast hier en daar helpen, en voor een eventuele verzekering ook verplicht, maar je kunt je niet tegen alles beschermen, en tijdens zo'n test worden meestal alleen huidige bekende zwakheden getest/gecontroleerd. En binnen een jaar zullen verschillende open-source large language modellen dit op gigantische schaal kunnen uitvoeren, en het zou me niet verrassen als Shinyhunters daar nu al gretig gebruik van maakt.
Reageer
JJ Le Funk 10 mei 2026 10:45
kwaliteit van onderwijs staat al jaren onder druk, maar even een paar ton (of gaat het over miljoenen?) aan bitcoin weggeven aan criminelen om het eigen imago te redden is kennelijk geen probleem. dan zie je toch dat wetgeving dit zou moeten verbieden. en misschien ook wat wetgeving om grote bedragen die blijkbaar op de plank liggen te investeren in het eigen systeem.
Reageer
Jonathan-458 @JJ Le Funk10 mei 2026 11:06
Het gaat denk ik niet zo zeer om het imago van de instituten dan de hoeveelheid vertrouwelijke communicatie via het platform.

De hacks van de laatste tijd zijn van ongekende grote en maken targeted hacking en social engineering enorm gemakkelijk op grote schaal.
Reageer
Mathijs Kok @JJ Le Funk10 mei 2026 13:08
om het eigen imago te redden
Denk nou toch gewoon even na voor je typt. Denk jij serieus dat ze overwegen te betalen om hun (wiens?) image te redden? En niet omdat het uitlekken van de data grote gevolgen zal hebben?

Zeldzaam veel onnadenkende reacties op dit bericht. Zelfde met beoordelingen.
Reageer
Floort 10 mei 2026 10:46
Je zal maar gehackt zijn en tijdens herstel en/of onderhandelingen zit je eigen personeel of je extern ingehuurde hulp ook nog naar de pers te lekken.
Reageer
Zyppora @Floort10 mei 2026 11:01
Je zal maar gehackt zijn en vervolgens diezelfde hackers daar nog voor willen betalen ook.
Reageer
Floort @Zyppora10 mei 2026 11:37
Ik vrees dat het selectief openbaren dat een deel wel betaald heeft vooral extra druk zet bij degenen die dat nog niet gedaan hebben.
Reageer
_eXistenZ_ 10 mei 2026 10:44
Zij die betalen houden het probleem in stand.
Reageer
smv @_eXistenZ_10 mei 2026 17:30
Dat klopt, maar toch snap ik ook dat ze contact opzoeken.
Reageer
JoeBlack2k @_eXistenZ_11 mei 2026 11:11
Dat is gewoon niet waar, ze zullen het altijd blijven proberen ongeacht de uitkomst.
Reageer
Xiranhi @_eXistenZ_11 mei 2026 12:14
De vraag is of het probleem verdwijnt als zij niet betalen. Ik denk het niet namelijk.
En als je wel betaalt, dan zal de data niet zomaar openbaar komen - want anders verdwijnt het business model.

Daarnaast, als alle Canvas info openbaar wordt, dan moeten alle opleidingen een compleet nieuw curriculum ontwikkelen. In Canvas staan namelijk niet alleen zaken voor studenten, maar ook antwoorden op vragen en informatie die alleen bedoeld is voor onderwijzend personeel. Je komt niet meer door de accreditatie als dat alles op straat ligt.
Reageer
HummerHealey 10 mei 2026 10:47
En zo zorgen men voor het budged voor de volgende hack. Een goed werkend business model, lage pak kans en lage straffen.
Reageer
Pasteis 10 mei 2026 10:50
ShinyHunters hackte recent Canvas, een onderwijsplatform dat door duizenden scholen en universiteiten wereldwijd wordt gebruikt.
Hoe kan het zo zijn dat er een platform gehackt wordt, waardoor vervolgens duizenden scholen en universiteiten slachtoffer kunnen zijn? Ik ken Canvas niet, maar betekent dit dat alles in een public cloud omgeving en database zat?

Of hoe moet ik het zien?
Reageer
Triblade_8472 @Pasteis10 mei 2026 11:23
Wat je kan lezen in de (gelinkte) bronnen is dat het een messaging platform is, maar ook cijfers bevat en voor het uitwisselen van documenten (insturen van essays enzo)
Reageer
Mathijs Kok @Pasteis10 mei 2026 13:12
Waarom kijk je net even op Internet wat het is? Zou moeilijk lijkt me dat niet. De Tweakers-artikelen geven prima aan waarom de hack alleen een aantal scholen schaadt en bijvoorbeeld niet de vele duizenden andere scholen (wereldwijd).
Reageer
Triblade_8472 10 mei 2026 10:47
De universiteiten: wij betalen iedere crimineel die ons bedreigd. Kom maar geld te over, hack ons graag nog een keer!


Elke cent die ze betalen dienen ze geminderd te worden in subsidie wat mij betreft. Wellicht 2x als boete.

Ja ik weet dat het niet verboden is, maar dat zou van mij wel mogen. Het nodigt alleen maar uit op deze manier. En ik blijf dit herhalen bij elke onderhandeling over geld. Dit. Moet. Stoppen.
Reageer
stanny @Triblade_847210 mei 2026 11:14
Alleen zijn de universiteiten hier niet de oorzaak van het probleem, maar Canvas.
De universiteiten zijn eigenlijk ook slachtoffer in dit geval en overwegen te betalen om de eind-slachtoffers te proberen beschermen ondanks dat hen geen schuld treft.

Ik ben het 100% eens dat betalen geen juiste oplossing is, maar ik snap de universiteiten ook wel.
Reageer
Triblade_8472 @stanny10 mei 2026 11:21
De eerste zin is "Verschillende universiteiten overwegen ShinyHunters te betalen" Dan zijn, wat mij betreft, de universiteiten wèl het probleem.

Je kan best een slachtoffer èn het probleem tegelijk zijn hoor. Beschermen is allemaal leuk en aardig, maar waar waren zij dan met de controles vooraf bij hun leveranciers? Achteraf is lekker makkelijk praten.

Ik weet vrij zeker dat er geen enkele universiteit gevraagd heeft om (dure) onafhankelijke codechecks en pentests te laten uitvoeren. Achteraf betalen en met je vinger wijzen en wapperen is veel makkelijker hé?
Reageer
The Zep Man
@stanny10 mei 2026 12:17
Alleen zijn de universiteiten hier niet de oorzaak van het probleem, maar Canvas.
De universiteiten zijn eigenlijk ook slachtoffer in dit geval en overwegen te betalen om de eind-slachtoffers te proberen beschermen ondanks dat hen geen schuld treft.
De onderliggende reden is dat universiteiten verantwoordelijk blijven voor de verwerking van persoonsgegevens van studenten en personeel. Die verantwoording zelf kan niet uitbesteed worden aan een derde partij.

Nog steeds is betalen hooguit uitstel van executie m.b.t. het lekken van persoonsgegevens van de slachtoffers. Tegenwoordig worden persoonsgegevens via zoveel bronnen gelekt dat een datalek meer of minder nauwelijks verschil maakt. Waar een maatschappij beter op in kunnen zetten is strafrechtelijke vervolging bij nalatenschap van het adequaat omgaan met persoonsgegevens (zoals bij Odido). Data is a toxic asset, dus behandel het zo. Combineer dat met een betaalverbod. Er is minder criminaliteit waar minder te halen valt.

[Reactie gewijzigd door The Zep Man op 10 mei 2026 12:18]

Reageer
mark777 10 mei 2026 10:51
Lijkt me een goed plan om digitale bestanden allemaal offline te houden. Kunnen ze ook niet gehackt worden
Reageer
Mathijs Kok @mark77710 mei 2026 13:15
Lijkt me een goed plan om digitale bestanden allemaal offline te houden. Kunnen ze ook niet gehackt worden
Lijkt me ook, kunnen scholieren niet meer bij hun uitslagen, roosters etc etc? Gewoon allemaal weer terug naar de oude schoolagenda met plakplaatjes.
Reageer
Gladiator5 @Mathijs Kok10 mei 2026 15:27
Volgens mij hadden we toen geen last van al die dataleks xD
Reageer
pyro-tukker 10 mei 2026 12:12
Misschien een interessant feit voor de mensen hier. Maar verzekeraars (mits je goed verzekerd bent voor cyberrisico’s) kijken ook vanuit de ondernemer naar dit soort casussen. Als het voor een bedrijf voordeliger is om te betalen aan de hackers, dan betaald de verzekaar (deels) mee.

Persoonlijk snap het argument van niet betalen. Je houdt het instand. Maar ik sluit mij volledig aan bij @Blokker_1999 De realiteit en de real life consequenties zijn toch echt stevig als je niet betaald. Waarbij ik overigens mij afvraag of je als bestuurder wel de keuze hebt. Vaak heb je een bepaalde viduciaire plicht en dat zorgt ervoor dat je altijd in organisatie belang moet denken en niet aan ‘persoonlijke principes’. Ik vraag mij zelf af of er voorbeelden zijn dat wanneer je als bestuurder niet betaald en je organisatie gaat faillet dat dit tot bestuurdersaansprakelijkheid kan leiden.
Reageer

Om te kunnen reageren moet je ingelogd zijn