De onrust in het Midden-Oosten heeft effect op jouw cyber security.
Het was de afgelopen dagen wereldnieuws: de aanval van de Verenigde Staten en Israël op Iran en de tegenaanvallen van Iran op Amerikaanse en Israëlische doelen, ook in andere landen. Deze aanvallen hebben effect op het cybersecurity- en privacy programma van jouw organisatie. Is deze gelieerd aan de Verenigde Staten, of een Amerikaanse (dochter-)onderneming? Dan is dit artikel zeker lezenswaardig.
De primaire doelstellingen van Iraanse natiestaatactoren omvatten voornamelijk spionage, sabotage en verstoring. Al langer worden Iraanse aanvallen gekoppeld aan geopolitieke gebeurtenissen.
Het Iraanse cyber ecosysteem.
Verschillende onderzoeksbureaus houden de Iraanse offensieve capaciteit nauwlettend in de gaten. Volgens analyse van Check Point Research werkt het cyberecosysteem van Iran via een gelaagd netwerk van op de staat afgestemde eenheden, inlichtingendiensten, ontkenbare operators en “hacktivistische” persona’s.
Bij de ontwikkeling van het cyberecosysteem heeft Iran opzettelijke inspanningen geleverd om hacktivistische proxy's in staatsacties te gebruiken zonder dat de Iraanse staat hiermee in verband gebracht kon worden. Het land hanteert nu een gecoördineerde cyberdreiging bestaande uit door de staat gesponsorde actoren van het Islamic Revolutionary Guard Corps (IRGC) en het Ministry of Intelligence (MOIS), in combinatie met een groeiend ecosysteem van opportunistische hacktivistische groepen.
Een van de meest prominente groepen in de huidige omgeving is Cotton Sandstorm, gevolgd door anderen als MarnanBridge of Haywire Kitten. Aangesloten bij de IRGC staat de groep bekend om “fast-reaction” campagnes die escaleren naast geopolitieke gebeurtenissen.
Dreigingen vanuit het Iraanse cyber offensief.
Lang stonden vooral Israelische doelen op het vizier van de Iraanse actoren. Tot in 2023 ook de Amerikaanse drinkwatervoorziening een doel werd. Analisten hebben de afgelopen dagen meer activtieten waargenomen van Iraanse actoren, ook naar de diverse Golfstaten, Cyprus en daarbuiten.
Iraanse actoren hebben, zoals gezegd, drie doelen: spionage, verstoring en sabotage. Hiervoor gebruiken ze een aantal technieken. DDoS aanvallen, Social engineering (versterkt door het gebruik van AI), zoals phishing, smishing, etc. Maar ook website defacements, hacks met gegevensdiefstal of toegang tot systemen. Daarnaast zijn zogenaamde wiper-tools veelvuldig ingezet en worden inmiddels brute force attacks gemeld. Het valt op dat de afgelopen dagen vooral organsiaties in de kritieke infrastructuur het doel van aanvallen zijn.
De Amerikaanse CISA, een federaal agentschap voor cybersecurity, waarschuwt ook voor de kwetsbaarheid van minder sterk beveiligde netwerken, vooral in productie- en industiesectoren. Echter, ook op het gebeid van gegevensdiefstal en – privacy zijn er risico’s.
Nu kan het zijn dat je zegt: wij zijn geen Amerikaanse organisatie of anderszins in verband met het huidige conflict. Dan is het toch goed om nu op te schalen met activiteiten. Er is vaker voorgekomen dat zogenaamde ‘colleteral damage’, of nevenschade in een dergelijk conflict voorkomt. En daar wil je niet per ongeluk tussen komen. Daarnaast is het voor organisaties die in de kritieke infrasturctuur van Nederland hét moment om op te schalen en serieus werk te maken van de NIS2. Deze wet is komend jaar toch een verplichting die op de roadmap hoort te staan.
Te nemen acties.
- Houd je informatiebeveilgingsprogramma tegen het licht: waar heb je in de risico analyse nog kwetsbaarheden staan die (nog) niet opgelost zijn? Haal de investeringen naar voren om deze nú aan te pakken.
- Houd je privacyprogramma tegen het licht: welke gegevens verwerk je nog, of heb je nog? Alles wat je hebt kan gestolen worden (zie de hack bij Odido). Start een programma om zoveel mogelijk data op te ruimen.
- Heb je applicaties waar je die DPIA tóch even wat beter had moeten doen? Doe dat nu. Beter dat, dan een hack of een lek in die apllicatie.
- Monitoring: dit is het moment om je monitoring op te hogen. Wees alert, ook op (veel) kleine signalen. Die maken helaas vaak een groot incident. Heb je geen monitoring actief aanstaan, of zegt je IT-leverancier ‘dat het wel goed zit’, bel ons.
- Heb je monitoring aan staan, maar weet je niet wie er meekijkt of wat je moet doen als er echt een incident is? Zorg voor een partij die je helpt met de analyse en sluit een Incident response retainer af. Bel me gerust voor advies.
- Heb je OT-systemen: wees dan extra alert.
- Verhoog je inzet op awareness en cyberweerbaarheid bij medewerkers en management. Dit is niet het moment om toch per ongeluk op die phishing link te klikken.
- MFA is echt een must en verschillende wachtwoorden ook. Stel een wachtwoordkluis beschikbaar voor de medewerkers
- Ben je NIS2-plichtig: ga snel aan de slag. Dat scheelt later in het jaar tijd, en wellicht een incident nu.
- Ben je niet NIS2-plichtig: check de wet en kijk wat je er van kan leren en eventueel toepassen.
Mocht je hulp nodig hebben bij bovenstaande punten: laat het me gerust weten. De professionals van Audittrail staan voor je klaar.
Auteur:
Jorrit van de Walle, CISA, CISM, CDPSE is directeur bij Audittrail, een Nederlands adviesbureau op het gebied van privacy en security. Samen met zijn collega’s helpt hij organisaties in binnen- en buitenland iedere dag iets veiliger en privacybewuster te maken.
Geraadpleegde bronnen:
1. CTech. (2 maart 2026). Mapping Iran’s hacking threats. Van: https://www.calcalistech.com/ctechnews/article/s1zm2ymtbx
2. Unit 41. (25 juni 2025). Threat Brief: Escalation of Cyber Risk Related to Iran. Van: https://unit42.paloaltonetworks.com/iranian-cyberattacks-2025/
3. America's Cyber Defense Agency. (16 oktober 2024). Iranian Cyber Actors’ Brute Force and Credential Access Activity Compromises Critical Infrastructure Organizations. Van: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-290a.
4. Jiwon Lim. (14 januari 2026). Beyond Hacktivism: Iran's Coordinated Cyber Threat Landscape. Van: https://www.csis.org/blogs/strategic-technologies-blog/beyond-hacktivism-irans-coordinated-cyber-threat-landscape.