U bent te kleinom interessantte zijn.Precies daarom.

De ondergrens voor georganiseerde cybercriminaliteit daalt radicaal. Wat dat voor uw organisatie betekent, weet u waarschijnlijk niet. Niet omdat u onoplettend bent — maar omdat uw IT-leverancier u een firewall heeft verkocht en uw verzekering u een polisblad heeft gegeven. Niemand heeft u verteld dat een aanvaller vandaag met honderd euro toegang kan kopen tot technieken waar drie jaar geleden een team voor nodig was. Dat is niet hypothetisch. Dat is de marktprijs.

AI heeft cybercriminaliteit gedemocratiseerd. Phishing-mails die vroeger te herkennen waren aan het gebrekkige Nederlands zijn nu ononderscheidbaar van interne communicatie. Deepfake-stemmen van directeuren die betalingsopdrachten geven. Geautomatiseerde aanvallen die uw infrastructuur aftasten terwijl u slaapt. Dit zijn geen toekomstscenario's — dit zijn de aanvallen die nu plaatsvinden bij bedrijven van uw omvang, in uw sector, in uw stad. Ik weet dit omdat ik kijk op plekken waar de meeste mensen liever niet kijken. De informatie is er. Ze ligt alleen niet in een LinkedIn-post.

Het probleem met de meeste security-adviezen is dat ze u verdedigen tegen het verleden. Lijsten met bekende kwetsbaarheden. Certificeringen die meten of uw beleid op papier klopt. Audits die zeggen wat er zes maanden geleden mis was. Het verleden is een comfortabel referentiepunt. Het is ook het enige wat de aanvaller al heeft opgelost.

De aanname dat u "te klein bent om interessant te zijn" is de reden dat u interessant bent. Automatisering zoekt geen grote doelen — het zoekt open deuren. Uw medewerkers zijn die deur. Niet omdat ze onoplettend zijn. Omdat niemand hen ooit heeft uitgelegd hoe een aanval er vandaag uitziet. Dat is oplosbaar. Wat ik breng is geen productcatalogus — het is het oordeel over waar uw werkelijke risico zit, vandaag, gegeven wie u bent.