Drie hoofdsteden bewogen op dezelfde maandag
In december 2025, midden in de winter, kwam een aanval op de Poolse energie-infrastructuur zo dicht bij slagen dat regeringen nu beschrijven wat het gevolg zou zijn geweest: ongeveer 500.000 burgers afgesneden van hun elektriciteit. Het lukte niet. Op 13 juli 2026 zei Europa hardop wie het geprobeerd heeft.
De EU en het VK kondigden hun gecoördineerde sancties op dezelfde dag aan. Het VK wees 24 personen en entiteiten aan. De EU plaatste negen personen en vier entiteiten op de lijst, volgens haar hoge vertegenwoordiger voor buitenlands beleid het grootste cybersanctiepakket van de Unie tot nu toe. Samen 33 doelwitten, met bevriezing van tegoeden, reisverboden en een verbod om geld of economische middelen aan hen ter beschikking te stellen.
De namen zijn concreet. Drie GRU-officieren: Vyacheslav Stafeyev, Ivan Senin en Ivan Kasyanenko. De bulletproof hoster Media Land LLC en het gelieerde ML.Cloud, verbonden aan ransomware- en phishingschade in heel Europa. Z-Pentest, dat volgens de Raad kritieke infrastructuur aanviel, waaronder energie en water. Tien mensen achter Rybar LLC. De beheerders van Lumma Stealer, malware die inloggegevens steelt. En achter de aanval op het Poolse stroomnet een eenheid: FSB Centrum 16.
Sancties zijn een uitspraak over het verleden. Wat diezelfde dag naar buiten kwam, is een uitspraak over uw netwerk.
De ingang was niet ingenieus
Het Britse National Cyber Security Centre publiceerde samen met twaalf andere landen - de Verenigde Staten, Australië, Canada, Tsjechië, Denemarken, Estland, Finland, Frankrijk, Italië, Nieuw-Zeeland, Polen en Zweden - een gezamenlijk advies waarin staat beschreven hoe FSB Centrum 16 daadwerkelijk binnenkomt. De groep wordt al jaren gevolgd onder een hele plank vol namen: Berserk Bear, Energetic Bear, Dragonfly, Crouching Yeti, Static Tundra.
De technieken zijn het teleurstellende deel. Internetbreed scannen naar het Simple Network Management Protocol met standaard of zwakke community strings. Misbruik van Cisco Smart Install, een provisioningfunctie die het uitrollen van switches makkelijk moest maken en die de meeste organisaties na de uitrol nooit hebben uitgezet. Bekende, allang gepubliceerde kwetsbaarheden in de webportalen van netwerkapparaten. Doelsectoren: communicatie, defensie, energie, financiële dienstverlening, overheid, zorg.
In die lijst staat geen enkele exotische capaciteit. Een statelijke inlichtingendienst wandelt via standaardconfiguraties en ongepatchte randapparatuur de kritieke infrastructuur binnen, omdat het werkt en omdat het stil is. Op netwerkapparaten draait geen endpointagent. Ze duiken in de meeste kwetsbaarheidsscans niet op. Niemand wordt gealarmeerd als er één wordt gekraakt, want er staat niets op dat alarm kan slaan.
De maatregelen uit het advies zijn navenant nuchter: stap over op SNMPv3 en schakel de oude versies uit, gebruik sterke en unieke wachtwoorden op netwerkapparatuur, beperk de toegang tot beheerprotocollen en zet Smart Install uit. Nederland staat niet bij de dertien ondertekenaars, maar dat verandert weinig: NCSC-NL is de nationale cyberautoriteit waar deze zorgplicht en de meldingen thuishoren.
Waarom een bug uit 2008 een klok van drie dagen kreeg
Op diezelfde 13 juli voegden de Verenigde Staten precies één kwetsbaarheid toe aan hun catalogus van actief misbruikte kwetsbaarheden. Geen verse zeroday. CVE-2008-4128, een cross-site request forgery in Cisco IOS, openbaar gemaakt in 2008. De hersteldeadline die eraan hing was 16 juli: drie dagen.
Zo'n vermelding betekent één ding. Het is geen theoretische ernstscore en geen proof of concept van een onderzoeker. Het betekent dat het lek nu in het wild wordt misbruikt, en met deze toevoeging passeerde de catalogus 1.638 vermeldingen. De driedaagse deadline bindt Amerikaanse federale diensten, maar het signaal dat ervan uitgaat is niet administratief. Een achttien jaar oude bug krijgt geen noodklok omdat iemand hem herontdekt heeft. Hij krijgt er een omdat hij op dit moment in gebruik is.
Leg beide documenten naast elkaar en het beeld wordt scherp. Het advies zegt dat een statelijke actor op netwerkapparatuur woont. De catalogus zegt welke deur dat precies is: een Cisco-lek dat oud genoeg is om te mogen stemmen. Voor deze campagne hoefde niemand iets uit te vinden. Het volstond dat de verdediger nooit naar de switch keek.
Wie is eigenaar van de router?
Stel die vraag in uw eigen organisatie en kijk wat er gebeurt. Servers hebben een eigenaar, een patchcyclus en een monitoringagent. Laptops hebben een fleetmanager. De router in het rack, de switch in het filiaal, de firewall die de managed service provider vier jaar geleden heeft geïnstalleerd en waarop hij sindsdien niet meer heeft ingelogd: die horen doorgaans toe aan wie ze ooit heeft opgezet, en dat is vaak niemand die er nog werkt.
Dat gat is inmiddels ook juridisch. Onder NIS2, in Nederland vertaald in de Cyberbeveiligingswet, moeten essentiële en belangrijke entiteiten de risico's beheersen van de netwerk- en informatiesystemen die zij gebruiken, en netwerkapparatuur hoort daar onmiskenbaar bij. Vraagt NCSC-NL of uw toezichthouder hoe u toezicht houdt op uw leveranciers en uw infrastructuur, dan is het geen antwoord dat de randapparatuur tussen het eigen team en de uitbestede partij door is gevallen. Voor de relatie met de managed service provider geldt hetzelfde: beheert die uw netwerkapparatuur, dan is zijn configuratiehygiëne uw risico, en uw contract met hem is de plek waar dat wel of niet is geregeld.
Wie in energie, water, transport, zorg of digitale infrastructuur zit, leest hier geen algemeen bewustwordingsmateriaal. Het advies noemt uw sector, het noemt het protocol, en het komt met een lijst van aangewezen personen die het deden.
Wat u deze week doet
Eerst inventariseren, want u kunt niet patchen wat u niet in kaart hebt gebracht. Elke beheerde switch, router, firewall en netwerkappliance, ook die in de filialen en die een leverancier ooit heeft geplaatst. Bestaat die inventaris niet, dan is het opbouwen ervan het werk van deze week, en dat is meer waard dan welke tool u in plaats daarvan ook zou kopen.
Daarna drie concrete acties uit het advies. Zet Cisco Smart Install overal uit waar het nog aan staat, wat in de meeste omgevingen neerkomt op overal waar het ooit aan heeft gestaan. Til SNMP naar versie 3 met authenticatie en versleuteling, en schakel versie 1 en 2c uit, die community strings onversleuteld over de lijn sturen. Haal beheerinterfaces weg van elk pad dat vanaf het internet bereikbaar is en zet ze achter een gecontroleerd netwerksegment.
Controleer tot slot of uw netwerkapparaten logs produceren die iemand ook echt leest. Deze campagne hield stand omdat gekraakte netwerkapparatuur zwijgt. Een router die is geherconfigureerd ziet er precies hetzelfde uit als een router die dat niet is, tenzij iemand hem vergelijkt met een bekend goede configuratie.
Niets van dit alles is nieuw advies. Dat is precies het punt, en daarom vonden dertien regeringen het nodig om het samen te zeggen.
Lees hierna: Het eerste AI-agentplatform dat CISA verplicht laat patchen | 430.000 firewalls werden een toevoerlijn voor ransomware



