+1 (888) 440-2404

A Vanishing Act: When Data Disappears in the Age of AI

Een verdwijntruc:

Cyberaanvallen en gegevensverlies
De nieuwe realiteit: Meer incidenten, minder tijd om te reageren

Cyberincidenten worden voortdurende operationele risico’s met een hoge frequentie.

Vooruitgang in kunstmatige intelligentie heeft het dreigingslandschap vanuit aanvalsperspectief fundamenteel veranderd. AI is nu in staat om kwetsbaarheden te identificeren en te misbruiken op een niveau dat vergelijkbaar is met dat van elite menselijke operators, waardoor zowel ontdekking als aanvalscycli drastisch worden versneld.

Het resultaat is een structurele onbalans:

Meer ontdekte kwetsbaarheden

Meer uitgevoerde aanvallen

Meer incidenten dan door mensen geleide responsteams kunnen opschalen om te verwerken

Dit is geen geleidelijke toename. Het is een fundamentele verschuiving.

Voor organisaties betekent dit dat de kans op een destructieve cybergebeurtenis sterk toeneemt, terwijl het tijdvenster om effectief te reageren kleiner wordt.

Van versleuteling tot gegevenswissing: De evolutie van ransomware

Traditionele ransomwaremodellen waren gericht op data-exfiltratie en versleuteling. Dat model is aan het veranderen.

Moderne aanvallen, versneld door AI, zijn steeds vaker vooraf geplande, meerfasige operaties die zijn ontworpen om herstelopties al vóór uitvoering uit te schakelen.

In 2026 zijn aanvallers:

Omgevingen in kaart brengen met AI-ondersteunde verkenning

Het identificeren van back-uprepositories, snapshotketens en herstelworkflows

Deze systemen vooraf uitschakelen of beschadigen

De uitvoering vertragen om de operationele verstoring en de onderhandelingsdruk rond het losgeld te maximaliseren

In plaats van een zichtbare ‘detonatie’ worden organisaties geconfronteerd met een stille aantasting van hun herstelvermogen. Tegen de tijd dat systemen worden versleuteld en/of gegevens worden gewist, is de mogelijkheid tot herstel vanuit traditioneel disaster recovery-perspectief al systematisch geëlimineerd.

De verdwijnende laag: Hypervisors en back-upinfrastructuur

Een van de belangrijkste verschuivingen is waar aanvallen beginnen. Dreigingsactoren richten zich niet langer alleen op endpoints of servers. Ze bewegen zich verder omlaag in de technologiestack:

Hypervisors (VMware ESXi, Hyper-V)

Back-uporkestratieplatforms

Cloudback-up-API’s

Gedupliceerde opslagkluizen met deduplicatie

In 2025 toonden aanvallers aan dat zij virtualisatielagen kunnen compromitteren en gelijktijdig tientallen of zelfs honderden workloads kunnen treffen. In 2026 wordt dit gerichter en preciezer:

Selectieve corruptie van metadata

Manipulatie van retentiebeleid

Manipulatie van de integriteit van snapshots

Point-in-time-herstel onbetrouwbaar maken

Dit is de echte ‘verdwijntruc’: gegevens worden niet alleen versleuteld, maar bewust onherstelbaar gemaakt.

Gegevensverlies vs. disaster recovery: Een cruciaal onderscheid

Veel organisaties vertrouwen nog steeds op disaster recovery (DR)-strategieën die ervan uitgaan dat back-ups intact zijn.
Die aanname geldt niet langer.

  • Disaster recovery herstelt systemen wanneer de infrastructuur uitvalt
  • Dataherstel is vereist wanneer de gegevens zelf worden verwijderd, beschadigd of onbruikbaar gemaakt

Cyberaanvallen richten zich tegenwoordig routinematig op:

Verwijdering van back-ups

Corruptie van back-ups

Manipulatie van snapshots

Mislukte reconstructie van grote bestanden

Vrijwel elke organisatie die wordt getroffen door een cyberincident, ervaart een zekere mate van datacorruptie, met name in grote of complexe datasets.

En cruciaal is dat het betalen van losgeld geen herstel garandeert. Zelfs wanneer decryptietools worden verstrekt, blijven de slagingspercentages voor volledig herstel laag.

Regelgeving verandert het speelveld: Het Australische mandaat van 2025

In 2025 nam de Australische regering wetgeving aan die organisaties verplicht cyberbeveiligingsincidenten te melden.

Hierdoor verschuiven cyberincidenten van interne operationele crises naar extern zichtbare, gereguleerde gebeurtenissen.

De implicaties zijn aanzienlijk:

Toegenomen toezicht door toezichthouders en belanghebbenden

Juridische en financiële blootstelling gekoppeld aan de afhandeling van incidenten

Grotere nadruk op aantoonbare herstelcapaciteit, niet alleen op de responsinspanningen

In deze omgeving is de vraag niet langer: ‘Kunt u reageren op een incident?’

De vraag wordt dan: ‘Kunt u aantonen dat uw gegevens en uw bedrijfsvoering kunnen worden hersteld?’

Incidentrespons schiet tekort, herstel moet evolueren

De incidentresponsindustrie is historisch opgeschaald door de ontwikkeling van menselijke expertise en de uitbreiding van middelen.

Dat model staat onder druk.

AI vergroot het aantal incidenten tot boven wat traditionele teams kunnen verwerken:

  • Een toename van 2x is aannemelijk
  • 10x is niet onrealistisch

Dit stimuleert de opkomst van AI-native incidentrespons, waarbij automatisering het volgende afhandelt:

  • Onderzoeksworkflows
  • Patroonherkenning
  • Initiële inperkingsmaatregelen

Echter, zelfs met AI-ondersteunde respons:

  • Herstel blijft beperkt door de gegevensintegriteit
  • En het is juist de gegevensintegriteit die aanvallers als eerste aanvallen
Verwijderd betekent niet verdwenen, maar het betekent wel iets anders

Een van de meest verkeerd begrepen realiteiten bij cyberincidenten is dat verwijdering niet altijd permanent is, maar dat herstel en recovery niet langer eenvoudig zijn.

Effectief herstel vereist nu:

Grondige inspectie van productie- en back-upomgevingen

Reconstructie van corrupte bestandsstructuren

Platformoverschrijdende expertise (fysiek, virtueel, cloud)

Proprietaire tools voor complexe datasituaties

Standaardtools zijn in deze omgevingen steeds minder effectief.

Wat succes bepaalt, is niet alleen de tooling, maar de diepgang van de expertise in hoe gegevens daadwerkelijk worden opgeslagen en hoe zij zich gedragen onder storingsomstandigheden.

Wat dit betekent voor 2026 en daarna

Organisaties moeten hun aannames herijken.

1 Ga ervan uit dat back-ups doelwit zullen zijn
Niet alleen verwijderd, maar ook beschadigd, gemanipuleerd of ontoegankelijk gemaakt.

2 Beschouw de hypervisor als een kritiek aanvalsoppervlak
Het is niet langer slechts onderliggende infrastructuur, maar een primair doelwit.

3 Valideer herstel, ga er niet zomaar van uit
Test gegevensherstel EN gegevensintegriteit onder aanvalsomstandigheden.

4 Integreer dataherstelworkflows in incidentrespons
Herstel is niet langer een downstream-activiteit, maar een kernonderdeel van veerkracht.

5 Bereid u voor op toenemende toezichtbaarheid vanuit regelgeving
Herstelcapaciteit wordt een vereiste op het gebied van compliance en reputatie.

Conclusie: De illusie van herstel

In voorgaande jaren gingen organisaties ervan uit: ‘Als we back-ups hebben, kunnen we herstellen.’

In 2026 blijkt die aanname steeds vaker onjuist.

Cyberaanvallen evolueren van verstoringsincidenten naar nauwkeurig georkestreerde campagnes voor gegevensvernietiging.

Het werkelijke risico is niet langer downtime. Het is onomkeerbaar gegevensverlies dat zich voordoet als een ogenschijnlijk herstelbare infrastructuurstoring.

De organisaties die zich aanpassen, zijn degenen die erkennen dat veerkracht niet langer draait om het herstellen van systemen. Het gaat om het terughalen van gegevens die ontworpen waren om te verdwijnen.

Gerelateerde berichten

Waarom ransomware-eisen toenemen terwijl minder bedrijven betalen

DailyCyber: de realiteit van ransomware-herstel met Andy Maus, Head of Cyber Recovery Services bij DriveSavers

Case study: herstel van SQL Server en database na een ransomware-aanval

Gerelateerde berichten

Andy Maus is hoofd van Cyber Recovery Services bij DriveSavers. Hij leidt initiatieven die organisaties helpen bij het herstellen van kritieke gegevens na cyberincidenten, ransomware-aanvallen en andere beveiligingsinbreuken. Andy kwam in 2023 bij DriveSavers na meer dan twee jaar bij Arete Incident Response, waar hij Data Recovery Services toevoegde aan het herstelportfolio van het bedrijf, het technische team uitbreidde van 10 naar meer dan 70 specialisten, en strategische samenwerkingen opbouwde met SentinelOne, Dell en Presidio. Eerder was hij bij Ontrack Data Recovery verantwoordelijk voor de wereldwijde verkoop en ondersteunde hij complexe dataverherstellingen in 22 landen. Met meer dan dertig jaar ervaring in de technologiesector — waaronder leidinggevende functies bij Dell, Mitel en Level 3 Communications — beschikt Andy over diepgaande expertise in incidentrespons, dataherstelmethodes en grootschalige technische operaties.

Back To Top
Zoeken