Wie de laatste tijd boven Polen of de Baltische staten heeft gevlogen, heeft een gerede kans gehad dat het schermpje voor in de stoel het toestel even op de Atlantische Oceaan plaatste. Of in Iran. Of in een graanveld in West-Rusland. Niet omdat het vliegtuig verkeerd vloog, maar omdat het zijn GPS-signaal niet meer kon vertrouwen.
Dit is geen randverschijnsel meer. Boven NAVO-grondgebied — Estland, Letland, Litouwen, Polen, Roemenië — meldt de luchtvaart elke dag GPS-storingen. De stoorzenders staan in Kaliningrad en in het gebied rond Sint-Petersburg. In april 2024 stopte Finnair tijdelijk met de vluchten naar Tartu omdat de instrumentlanding niet meer betrouwbaar was. Estland en Litouwen hebben de jamming formeel aangeklaagd bij de internationale telecommunicatie-unie.
En dat is alleen het zichtbare deel.
01 — GPS jamming en cyberaanvallen
Twee dingen die we tot voor kort als sciencefiction beschouwden, zijn nu onderdeel van de Europese infrastructuur. Jamming is het overstemmen van een signaal — een paar honderd watt aan de grond verslaat een satellietsignaal van twintigduizend kilometer hoogte zonder veel moeite. Spoofing is subtieler en gevaarlijker: een ontvanger vertellen dat hij ergens is waar hij niet is.
In 2017 plaatste Rusland twintig schepen op de Zwarte Zee virtueel op een Russisch vliegveld. In 2024 en 2025 meldden vrachtschepen in de Perzische Golf positiesprongen tot in Iran. Voor zeevaart, luchtvaart en precision agriculture is dat geen filosofisch probleem maar een operationeel risico.
Voeg daar drie cyberaanvallen aan toe die u zou moeten kennen — niet als trivia, maar als kalibratie van wat mogelijk is.
Estland, 2007. Drie weken DDoS op banken, parlement en kranten — heel het digitaalste land van Europa lag plat omdat de regering een Sovjet-standbeeld had verplaatst. De NAVO richtte als reactie haar Cooperative Cyber Defence Centre in Tallinn op.
NotPetya, 2017. Een update van het in Oekraïne vrijwel verplichte boekhoudpakket M.E.Doc bleek een wiper te zijn die zich voordeed als ransomware. Maersk verloor in één nacht 4.000 servers en 45.000 pc's en moest binnen tien dagen alles herinstalleren. Globale containerlogistiek lag dagen plat. Geschatte schade wereldwijd: rond de tien miljard dollar. Maersk, Merck en TNT waren geen doelwit — alleen collateral damage. Toegeschreven aan Sandworm, een eenheid van de Russische militaire inlichtingendienst.
Viasat KA-SAT, 24 februari 2022. Een uur voor de Russische invasie van Oekraïne werd via de AcidRain-malware de firmware van ongeveer dertigduizend modems in heel Europa gewist. Doelwit: Oekraïense militaire communicatie. Bijvangst: duizenden Enercon-windmolens in Duitsland verloren hun centrale monitoring. De turbines bleven draaien — maar niemand kon ze aansturen.
Dat is het patroon. U krijgt de schade zonder dat iemand u beschoten heeft.
02 — Drones en digitale oorlogvoering
Oekraïne heeft de wereld iets geleerd wat het Pentagon twintig jaar niet wilde zien: een drone van vijfhonderd dollar kan een tank van vijf miljoen uitschakelen. Productiecijfers zijn niet meer in tienduizenden uit te drukken. Schattingen voor 2025 spreken van drie tot vier miljoen drones per jaar aan Oekraïense zijde alleen. Rusland zit in dezelfde orde van grootte.
Dit is geen oorlog meer van wie de zwaarste tanks heeft. Dit is een oorlog van wie het snelst firmware kan pushen. En als IT-er vind ik die cyclus fascinerend.
Stap één: een FPV-drone met radiogestuurde verbinding boven de linies. Stap twee: Rusland zet zware elektronische oorlogssystemen in — Pole-21, Krasukha — en de drones vallen uit. Stap drie: Oekraïense fabrikanten introduceren frequency hopping, dezelfde techniek die de Bluetooth-stack uit het begin van deze eeuw gebruikt. Stap vier: drones krijgen AI-fallback, zodat ze bij verlies van signaal autonoom doorvliegen op camerabeeld (de Saker Scout, in gebruik sinds 2024). Stap vijf, eind 2024 en in 2025: drones met een glasvezelkabel van tien à twintig kilometer er achteraan — geen radioverbinding meer, dus niet te storen. Beide partijen gebruiken dit nu.
Vijf stappen. Tijd tussen stap één en stap vijf: ongeveer twee jaar. Tijd voor een Westers defensie-inkoopproces om een nieuw systeem te integreren: zeven tot tien jaar.
Het civiele gevolg daarvan onderschatten we. De engineers die in 2025 frequency-hopping mesh-netwerken voor wapendrones bouwen, werken in 2027 voor een Chinese, Israëlische of Amerikaanse drone-fabrikant die levert aan inspectie-, landbouw- en surveillancebedrijven. De technologie komt naar onze klanten. De vraag is of de regelgeving meekomt.
Supply chain als wapen
Eén voorbeeld waar ik nog steeds van moet bijkomen.
In de aanloop naar september 2024 wist de Israëlische inlichtingendienst maandenlang precies welke pagers Hezbollah-leden bij zich droegen — want die waren besteld via een schijnbedrijf in Boedapest dat zogenaamd onder licentie produceerde van een Taiwanese fabrikant. In een paar duizend toestellen waren explosieven (PETN) ingebouwd.
Op 17 september 2024, om ongeveer half vier 's middags Libanese tijd, ontploften er drieduizend tegelijk. Een dag later volgden walkietalkies van een ander merk volgens hetzelfde recept. Twaalf doden, bijna drieduizend gewonden. De interne communicatie van Hezbollah was binnen een uur vernietigd.
Voor IT-inkoop is het inzicht: alles wat u via een fabrikant binnenhaalt — netwerkapparatuur, IP-camera's, slimme thermostaten, draadloze access points — komt uit een leveringsketen die u niet zelf kunt controleren. De controversiële Bloomberg-publicatie over Supermicro-servers ("The Big Hack", 2018) leek destijds vergezocht. In 2024 weten we dat dit type aanval operationeel mogelijk is, met succes is uitgevoerd, en niet voorbehouden is aan staatsactoren met decennia aan investeringen.
Dat heeft consequenties voor hoe we naar firmware-updates kijken, naar fabrikanten zonder Westerse productieketen, naar IoT-apparatuur uit goedkope marktplaatsen. Niet als complottheorie. Als geverifieerde realiteit.
03 — Impact op Europa
In de afgelopen twee jaar hebben we een nieuw woord geleerd: hybride oorlogvoering. Niet schieten, wel kapot maken.
Oktober 2023 — het Chinese vrachtschip Newnew Polar Bear sleept zijn anker door de Balticconnector-gaspijpleiding en een datakabel in de Oostzee. November 2024 — twee datakabels (C-Lion1 tussen Finland en Duitsland, BCS East-West tussen Litouwen en Zweden) worden in 24 uur tijd doorgesneden. Verdacht: het Chinese vrachtschip Yi Peng 3. December 2024 — de Estlink-2 stroomverbinding tussen Finland en Estland wordt doorgesneden door de tanker Eagle S, een schip uit de Russische schaduwvloot. Finland legt het schip aan de ketting. In 2025 start de NAVO operatie Baltic Sentry: oorlogsschepen die onderzee-infrastructuur bewaken.
Daarboven komt de continue GPS-jamming uit Kaliningrad. Daarnaast: desinformatie-operaties (Doppelganger, Voice of Europe) en advanced persistent threat-groepen als APT28, Sandworm en Turla die niet alleen overheidsdoelen aanvallen, maar ook Westerse defensie-toeleveranciers en politieke organisaties.
De verschuiving die telt: tot 2020 was staat-cybercriminaliteit vooral spionage. Stil binnenkomen, data wegnemen, ongezien blijven. Sinds 2022 is het doel ontwrichting. Civiele infrastructuur is doelwit geworden. Niet altijd het primaire doelwit — maar het terrein.
Waarom dit u raakt
Onze klanten zijn geen overheidsdiensten. Het is een bouwbedrijf met dertig man personeel. Een transporteur met vijftig vrachtwagens. Een producent van keukenkasten. En toch hebben we het afgelopen jaar meerdere van zulke bedrijven uit een ransomware-incident moeten trekken.
Het mechanisme is steeds hetzelfde. U bent geen interessant primair doelwit. U bent leverancier, of leverancier van een leverancier, van een organisatie die wél interessant is. Of u staat toevallig met dezelfde RDP-poort aan het internet als duizend andere bedrijven, en u wordt opportunistisch meegenomen in een scan.
Op Russischtalige fora bestaat een actieve markt voor Initial Access Brokers — toegangstickets tot Nederlandse MKB-bedrijven, prijzen variërend van een paar honderd tot tienduizenden euro's per organisatie, afhankelijk van omzet en sector. Wat in onze incidentpraktijk opvalt:
- Wachtwoord-hergebruik. Een medewerker hergebruikt een wachtwoord van een gelekte service, en daarmee staat een Microsoft 365-account open.
- RDP- en VPN-poorten direct aan het internet. Zonder multifactor, zonder geo-restrictie, zonder logging.
- Phishing met AI-gegenereerde, foutloze Nederlandse e-mails. De tijd dat phishing aan kromme spelling te herkennen was, is voorbij.
De situatie verandert verder doordat NIS2, de Europese richtlijn voor netwerk- en informatiebeveiliging, sinds 17 oktober 2024 in werking had moeten zijn. Nederland werkt nog aan de Cyberbeveiligingswet, maar de richting is duidelijk: achttien sectoren van essentiële en belangrijke entiteiten krijgen strengere verplichtingen — en die bedrijven moeten hun hele toeleveringsketen auditen. Als u levert aan een ziekenhuis, een vervoerder, een energiemaatschappij, een fabrikant, dan krijgt u die eisen contractueel doorgegeven. Of u verliest de klant.
Drie dingen om morgen te doen
Drie concrete acties, zonder buzzwords. U kunt ze prima zelf uitvoeren — en bij ons zijn ze al twintig jaar onderdeel van de dagelijkse praktijk. Loopt u onderweg vast, of wilt u dat we een keer kritisch meekijken, dan zijn we bereikbaar.
1. Weet wat u draait.
Driekwart van de bedrijven die we voor het eerst over de vloer krijgen, weet niet precies welke van hun apparaten aan het internet hangen. Maak een lijst. Inventariseer wat er fysiek op uw locaties staat, welke SaaS-abonnementen er automatisch verlengen, welke VPN-verbindingen open staan, welke camera's of slimme thermostaten ooit "even snel" zijn aangesloten. Shodan.io laat zien wat van u publiek zichtbaar is op internet. Dat is soms een ontnuchterend overzicht. Het is saai werk — en het is ongeveer de helft van uw beveiliging. Voor onze klanten leggen we deze inventarisatie standaard vast en houden 'm bij naarmate de omgeving verandert. Wilt u eenmalig zo'n nulmeting voor uw eigen bedrijf? Eén telefoontje of mail is genoeg.
2. Test uw back-ups.
Niet "controleren dat ze er zijn" — daadwerkelijk een back-up terugzetten op een gescheiden machine. De 3-2-1-regel: drie kopieën, op twee verschillende media, ten minste één offline en niet bereikbaar vanuit hetzelfde admin-account. Negen van de tien keer dat we een restore-test bij een nieuwe klant uitvoeren, blijkt de back-up al maanden niet meer correct te lopen. Meet ook hoe lang de restore duurt — dat is uw werkelijke recovery time, niet wat er in een SLA staat. Het is bijna altijd langer dan de IT-leverancier vertelt. Bij onze klanten zetten we periodieke restore-tests in als vast ritme. Twijfelt u of uw huidige opzet stand-houdt? We komen graag eens een uurtje meekijken, zonder verplichtingen.
3. Stop met aannemen dat u te klein bent.
NIS2 raakt formeel grote bedrijven, maar via de keten raakt het u. Cyberverzekeringen vragen al actief naar multifactor-authenticatie, naar offline back-ups, naar incident response-plannen. Geen MFA betekent in toenemende mate geen polis of geen uitkering bij een claim. Als u nu nog geen MFA op alle Microsoft 365- en Google Workspace-accounts heeft, doe dat deze week — dat is geen project, dat is een ochtendje werk. Twijfelt u of u onder NIS2 valt, of welke vragen u kunt verwachten van uw grote klanten? Daar denken we graag in mee. We doen dit dagelijks voor MKB-bedrijven die net als u onderdeel zijn van een grotere keten.
Tot slot
Het slagveld is verschoven. Van de Donbas en het Midden-Oosten naar onze glasvezelaansluitingen, onze leveringsketens en onze SaaS-administraties. Niet dramatisch — dat is gewoon de operationele realiteit van een digitaal-economisch Europa in 2026.
Het verschil met een tank is dat een netwerk in een week beter te maken is. Begin dus deze week. En als u onderweg vragen heeft — over de inventarisatie, een restore-test, NIS2, of een second opinion op uw huidige opzet — wij zijn er. Klant of geen klant, één gesprek kost u niets en levert vaak meteen drie concrete acties op. Neem contact op of stuur een mail naar info@ningaloo.nl.
— Rogier Banis · Ningaloo