Je telefoon weet alles over je, maar de aanvaller ook

Je telefoon weet alles over je, maar dat geldt ook voor de aanvaller

Mobiele apparaten zijn uitgegroeid tot de voorwerpen met de grootste informatie-intensiteit die de meeste mensen bij zich dragen. Locatiegeschiedenis, communicatiepatronen, werkagenda’s, inloggegevens, gevoelige documenten: het staat er allemaal op, op een apparaat dat in een jaszak past en elke dag verbinding maakt met tientallen netwerken. Een tijdlang beschouwde de beveiligingssector dit als een probleem voor consumenten. Die benadering is niet langer houdbaar.

Het aantal aanvallen op smartphones is in 2025 met 29% gestegen ten opzichte van het voorgaande jaar, na een stijging van 52% in 2023 alleen al, met 33,8 miljoen besmettingen, tegenover 22 miljoen het jaar daarvoor, aldus Businesswire. Malware, financiële trojans en geavanceerde spyware laten allemaal een groei met dubbele cijfers zien. Zakelijke iPhones zijn twee keer zo vaak het doelwit als consumentenapparaten. En de meest geavanceerde aanvallers wachten niet langer tot een gebruiker ergens op klikt.

Zero-click is geen sciencefiction

De categorie aanvallen die de meeste aandacht vereist, is de zero-click-exploit: een aanval waarbij het doelwit helemaal niets hoeft te doen. Van Pegasus, de door NSO Group ontwikkelde spyware, is bevestigd dat deze zowel op iOS als op Android via zero-click-methoden wordt verspreid. Het doelwit opent geen link, downloadt geen bestand en reageert niet op een bericht, wat betekent dat het apparaat al is gehackt voordat de gebruiker er iets van merkt.

Sinds 2011 hebben 74 regeringen commerciële spyware aangeschaft. Tot de doelwitten behoorden politici, diplomaten, journalisten, advocaten en topmanagers – precies het soort mensen dat dagelijks gevoelige bedrijfsinformatie op hun telefoon bij zich draagt. De veronderstelling dat detectie op eindpunten of gebruikerstraining zinvolle bescherming biedt tegen dit soort aanvallen, is onjuist. Je kunt iemand niet leren om niet op iets te klikken dat hem of haar nooit is toegestuurd.

De opzet van het probleem

Moderne smartphones zijn uiterst complexe systemen. Eén enkel apparaat bevat een mobiele modem met eigen firmware, een basebandprocessor die grotendeels buiten de controle van het hoofdbesturingssysteem om werkt, een simkaart met een eigen uitvoeringsomgeving, Bluetooth- en NFC-stacks, GPS-hardware, biometrische sensoren en tientallen bibliotheken van derden die binnen elke applicatie draaien. Elk van deze componenten vormt een afzonderlijk aanvalsoppervlak, en de meeste daarvan zijn onzichtbaar voor de gebruiker van het apparaat.

De uitdaging voor organisaties is dat deze complexiteit niet toevallig is. Ze is het resultaat van twee decennia consumentgericht ontwerp, waarbij gebruiksvriendelijkheid en functionaliteit de belangrijkste optimalisatiecriteria waren. Beveiliging werd reactief aangepakt: hier een patch, daar een machtigingsmodel, een extra laag die werd toegevoegd aan een architectuur die nooit was ontworpen met het oog op kwaadwillige acties.

Dit is de dynamiek die moet veranderen; niet door mobiel te laten vallen, maar door de manier waarop organisaties hierover beslissingen nemen fundamenteel te herzien.

De nalevingskloof wordt steeds groter

Wat de afgelopen twee jaar is veranderd, is het regelgevingskader. NIS2 is in oktober 2024 in Nederlands recht omgezet. Achttien kritieke sectoren vallen nu onder de werkingssfeer van de verordening, en communicatiemiddelen maken expliciet deel uit van het auditkader. De persoonlijke aansprakelijkheid op bestuursniveau is van kracht; de eerste boetes worden tussen 2025 en 2026 verwacht.

Tegelijkertijd blijft WhatsApp het favoriete communicatieplatform bij veel overheidsinstanties en organisaties die kritieke infrastructuur beheren. Het is in verschillende ministeries officieel verboden, maar in de praktijk is dit onuitvoerbaar. Ambtenaren sturen gevoelige beslissingen via consumenten-messagingapps. Veldtechnici bij energie- en waterbedrijven coördineren hun werkzaamheden via WhatsApp-groepen. Aannemers en externe adviseurs communiceren met kernteams via platforms die gegevens verwerken onder buitenlandse jurisdictie. Dit is niet in de eerste plaats een cultureel probleem; het is een architectuurprobleem. Er is geen haalbaar, goedgekeurd alternatief dat op grote schaal wordt ingezet, dus gebruiken mensen wat werkt.

De staatssecretaris van de NL heeft dit publiekelijk gezegd

In maart 2026 erkende de Nederlandse staatssecretaris uitdrukkelijk dat het gebruik van WhatsApp een risico vormt. De Europese Commissie startte in april 2026 een mededingingsprocedure tegen Meta en WhatsApp. Frankrijk, Duitsland en België hebben alternatieven ingezet die door de overheid zijn ontwikkeld of waarvoor de overheid een contract heeft gesloten. De Nederlandse regering test momenteel actief Europese alternatieven.

Ook de geopolitieke dimensie is scherper geworden. Salt Typhoon, de door de Chinese staat gesteunde campagne waarbij in meer dan 80 landen (waaronder Nederland) inbreuk werd gemaakt op systemen voor wettelijke interceptie van telecommunicatie, heeft aangetoond dat de onderliggende infrastructuur voor mobiele communicatie zelf een aanvalsoppervlak vormt. Wanneer het netwerk is gecompromitteerd, volstaat end-to-end-versleuteling op de applicatielaag niet.

Bewustzijn op het gebied van beveiliging is niet hetzelfde als beveiligingsarchitectuur

Organisaties investeren in trainingen voor medewerkers om phishing te herkennen, verdachte links te vermijden en sterke wachtwoorden te gebruiken; dit is natuurlijk absoluut noodzakelijk, maar voor mobiele apparaten is het niet voldoende. Een goed getrainde medewerker die een apparaat voor consumentengebruik hanteert, zonder mobiel apparaatbeheer, zonder gecontroleerde applicatieomgeving en zonder beveiligd besturingssysteem, vormt nog steeds een kwetsbaar eindpunt. De vraag is niet of ze de risico’s kennen, maar of de architectuur waarbinnen ze werken de gevolgen beperkt wanneer er iets misgaat.

De organisaties die mobiele beveiliging beschouwen als een kwestie van beleid en bewustwording, in plaats van als een kwestie van architectuur en techniek, maken dezelfde fout die twintig jaar geleden bij netwerkbeveiliging werd gemaakt. Reactief patches installeren nadat er al een inbreuk heeft plaatsgevonden, is geen strategie, en het verbieden van een tool zonder een geloofwaardig alternatief te bieden evenmin.

Terug naar de basis betekent dat we uitgaan van de dreiging

De vereiste verandering is in principe eenvoudig, ook al is de uitvoering ervan complex. Organisaties moeten beginnen met een eerlijke inventarisatie van wat er daadwerkelijk op hun mobiele apparaten staat, wie er toegang toe heeft, met welke netwerken ze verbinding maken en wat het realistische dreigingsprofiel is voor mensen in hun functie.

Voor de meeste overheidsinstanties, exploitanten van kritieke infrastructuur, organisaties die actief zijn in de defensiesector en grote ondernemingen die met gevoelige gegevens werken, zal het antwoord op die beoordeling ongemakkelijk zijn. De kloof tussen de dreiging waarmee zij worden geconfronteerd en de architectuur die zij hebben geïmplementeerd, is aanzienlijk en wordt steeds groter. De vraag is niet óf er actie moet worden ondernomen, maar hoe die kloof kan worden gedicht zonder dat apparaten onbruikbaar worden voor de mensen die ervan afhankelijk zijn.